Aktueller Podcast vom Heise-Team, vielleicht interessant für den ein oder anderen:
Gehackt trotz 2-Faktor-Authentifizierung: Wie ihr euch dagegen schützt | c’t uplink 48.2c
Die sogenannte Zweifaktor-Authentifizierung gilt im Allgemeinen als sicher. Wir geben einen Überblick der wichtigsten Methoden: per SMS, per Hardware – vor allem FIDO2-kompatiblen USB-Sticks wie dem YubiKey – oder per TOTP. Letzteres sind diese sechsstelligen PINs, die eine spezielle App erzeugt, die sogenannten Einmalpasswörter (Time Based One Time Password). Google hatte dazu vorige Tage eine Änderung der Authenticator-App angekündigt, das wir kurz (als noch nicht gut genug) einsortieren.
Wie das SMS-Verfahren knackbar ist, ist schon länger bekannt – neuerdings aber lassen sich auch die TOTP-Logins abgreifen, und zwar mit einem aufwändigen Phishing-Verfahren, das wir erklären. Dagegen hilft vor allem die übliche Vorsicht beim Anklicken von Links in zwielichtigen Mails, die allerdings auch immer weniger zwielichtig aussehen. Noch besser schützen die FIDO2-Keys, da sie die URL mitcodieren und daher bei einer falschen URL gar kein Passwort liefern.
https://invidious.snopyta.org/watch?v=PfYwMvRmwLA&local=true