Bei manchen Webseiten und Diensten, zum Beispiel bei der Wikipedia, muss man sich gelegentlich außer durch Nutzername und Passwort noch zusätzlich legitimieren, indem ein Code an die für dieses Konto hinterlegte E-Mail-Adresse gesendet wird. Erst nach dessen Eingabe ist man eingeloggt.
So weit, so gut. Doch kurz danach bekomme ich auf eben diese E-Mail-Adresse einen Text dieser Art:
Mir ist der Sinn dieser Nachfrage unklar. Denn da ich mich via E-Mail-Code zusätzlich legitimiert habe, bin ich Herr über das Postfach, das zu diesem Account hinterlegt ist. Wenn jemand (zB ein Hacker) ein fremdes Login und das zugehörige Postfach unberechtigt nutzt, dann wird er auch die Nachfrage ignorieren oder gar löschen (für den Fall, falls der rechtmäßige Nutzer ebenfalls noch Zugriff hat). Für mich ist die Nachfrage kein Beitrag zu mehr Sicherheit und damit lästig.
Der Sinn dieser Nachfrage ist, ein eigentlich nicht erforderliches und damit illegales Cookie so zu legitimieren, dass es nach Ansicht einiger Aufsichten keiner Einwilligung bedarf, weil es angeblich der Sicherheit dient. Ob das Cookie „nur der Sicherheit“ oder auch dem Tracking dient kannst Du natürlich nicht herausfinden.
Bei der Wikipedia, wo dieses Beispiel herrührt, kann man aber davon ausgehen, dass es der Sicherheit bzw. dem Missbrauchsschutz dient.
Ergänzend: Sollte man sich mehr Sicherheit für sein Wikimedia-Konto wünschen, kann man 2FA mittels App unter https://meta.wikimedia.org/wiki/Special:AccountSecurity freischalten. Dann hört auch die Nerv-Mail auf.
Weil Matze und ich Wikipediauser sind (jedenfalls ist das eine Wikipedia-Mail)
Doch tut es: Wenn du dir auf deinem einen Gerät einen Keylogger eingefangen hast und du tatsächlich nur auf deinem anderen Gerät die 2FA-App nutzt/aufbewahrst.
Das besagt rein gar nichts darüber, ob und wofür Wikipedia diese Cookies noch verwendet. Oder habt Ihr deren Anwendung auditiert?
Ja, aber zum einen ist das ein für den normalen User irrelevantes Szenario, und zum anderen hast Du dann ganz andere Probleme, solltest aufhören, das verwanzte System zu nutzen, und damit erledigt sich das Argument automatisch.
Wo bewarst denn Du den TOTP-Schlüssel bzw. die Sicherungskopie(n) davon auf?
Wenn man es feststellt, sofort. Aber Keylogger haben ja doch die Angewohnheit, nicht aufzufallen, wenn sie gut geschrieben sind. Und so ist die erste Abwehrmaßnahme, dass man trotz befallenen System nicht sofort einen Zugang zu sämtlichen Konten hat. Dafür ist 2FA da. So lange dem Angreifer den Zugang zu verwehren bis der legitime Kontoinhaber feststellt, dass sein System befallen ist. Anschließend System plattmachen und Passwörter ändern.
Ein HW Keylogger kann meine Passwörter sowieso nicht abgreifen, denn die werden von Keepass generiert und per copy&paste kopiert.
Wenn es jemand gelingt die Installation zu manipulieren und eine Software auf dem Host zu installieren, dann ist Sicherheit sowieso vorbei - in der Zeit die die Software unentdeckt ist kann sie auch Daten löschen, verschlüsseln oder irgendetwas anderes tun.
Dagegen hilft eine vollständige Verschlüsselung des Systems und Preboot-Authentication - beides verwende ich. Je nach Risiko rate ich anderen zu Verschlüsselung mit oder ohne Preboot-Authentication.
Damit ist der Software-Keylogger ein Randthema, die Verwendung von Passwortmanager, Verschlüsselung und Preboot-Authentication ein vielfaches wichtiger und sinnvoller als MFA/2FA. Nur dass ich entsprechendes leider nirgends in dieser Deutlichkeit lesen kann.
Vielleicht verstehe ich “diese Cookies” falsch, aber nach dem Screenshot zu urteilen, den @Matze gepostet hat, handelt es sich hier um ein Login-Token zur Umsetzung des Sicherheitskonzepts “trusted device”, das auch mir regelmäßig Kopfzerbrechen bereitet. Darum auch die Formulierung “neues Gerät” im Screenshot.
Kopfzerbrechen meine ich deshalb, weil mein Firefox so eingestellt ist, dass die Login-Cookies (wie alle anderen Cookies auch, bis auf wenige auf der Whitelist) nach jeder Browser-Session gelöscht werden. So lässt sich natürlich nicht mit ‘trusted devices’ arbeiten, weil sie nicht als solche erkannt werden. Stattdessen finden (erst recht wenn man einen VPN nutzt, was ich nicht regelmäßig tue) ständig neue Login-Versuche statt, was die zunehmend heuristisch und KI-gestützten Sicherheitsalgorithmen dann verdächtig finden.
Sicherheits- und datenschutzbewusste User sind eine kleine Minderheit, das typische Muster sind hingegen User, die Logintokens bis in alle Ewigkeit im Browser behalten, weil sie sich gar nicht dafür interessieren und stattdessen froh sind, dass sie sich nicht immer neu einloggen müssen. Die werden dann auch das meist voreingestellte Häkchen bei “diesem Gerät vertrauen” nicht entfernen.
Ob die Warn-Mail nun nach oder vor dem Abfragen des Mailcodes kommt, spielt m.E. keine Rolle. Entscheidend ist die Vorannahme des Anbieters, dass ‘normale’ User auf ihren Trusted Devices permanent eingeloggt sind (per App oder Browser-Cookie). Jede Abweichung triggert dann die automatischen Warnungen, die auch ich alle Nase lang bekomme, aber nicht besonders lästig finde.
Es ist sinnvoll alles drei (oder noch besser Passkeys/FIDO-2 statt Passwort-Manager & 2FA) zu verwenden, um die Angriffsfläche auf absolute Minimum zu reduzieren.
Die klassischen Anwender haben für IT und deren Sicherheit kein Interesse, kein Verständnis oder wissen schlichtweg gar nicht, welche Möglichkeiten es gibt. Die hier angesprochenen Sicherheitsmaßnahmen werden dort in der Regel nicht benutzt oder sind gar nicht erst bekannt. Sie sind froh, wenn sie sich ein Passwort merken können.
Genau für diese User ist die MFA sinnvoll. Es schützt vor der, immer wieder genutzten, Mehrfachverwendung von Passwörtern in verschiedene Accounts.
Selbst das diesen Anwendern „beizubringen“ erfordert viel Aufwand.
Man sollte bei diesen Themen auf jeden Fall die IT-Brille abnehmen und schauen, was „da draußen“ wirklich passiert.
Auch wenn es als Sicherheitskonzept vermarktet wird, ist es nicht erforderlich und damit ohne Einwilligung illegal (berechtigtes Interesse scheidet hier meiner Meinung nach aus). Und eine Voreinstellung ist keine wirksame Einwilligung. Und wenn wir hier nicht klar sind, können Anbieter - gute wie schlechte - alles mit uns machen.
