Die meisten zusätzlichen Authentisierungsfaktoren setzen neben dem Passwort (Faktor: Wissen) auf den Faktor Besitz (TOTP, Hardwaretoken, Push-Benachrichtigungen, …)
Hierbei muss klar sein, dass diese je nach Implementierung einen unterschiedlichen Schutz bieten, so kann
der gestohlenen TOTP Token für ein Zeitfenster von i.d.R. 30 Sekunden verwendet werden, dies ist bei der Verwendung von Push-Benachrichtungen als zweiten Faktor i.d.R. nicht möglich
der per Mail/SMS übertragene einmaltoken auf der Übertragung abgegriffen werden
einen die App-Benachrichtigungen Nachts so lange nerven, dass man einfach zustimmt
…
Bei TOTP aber auch z.B. bei der Push-Benachrichtigung ist es möglich, dass diese Faktoren (Wissen und Besitz) gemeinsam gespeichert werden können.
Wie sinnvoll oder riskant das ist, hängt vom eigenen Bedrohungsmodell ab. I.d.R. verbessert MFA die Sicherheit, wenn man beide Faktoren zusammen speichert besteht im Extremfall entweder der Komplettverlust zum System oder der Vollzugriff durch einen Dritten dem Sicherheits- und Komfortgewinn gegenüber.
Die Gewichtung sollte individuell und auch Systemspezifisch erfolgen, was beim Kuketz-Forum vll. noch i.O. ist, sollte man bei der Bank wohl eher vermeiden.
In meinen Augen ist weniger das Abfangen das Problem (höchstens bei Banking Sachen) sondern eher die Frage der Gültigkeit und wie diese verwendet werden kann.
TOTP ist zwar lokal, aber ist halt für den kompletten Zeitrahmen gültig, der Ausgangstoken kann repliziert werden usw.