Two Factor Authentication (2FA) mittels TOTP


Ist es in nächster Zeit geplant, dass A1 2FA einführt? Ich habe gesehen, dass es bereits hierfür vor 3 Jahren einen Thread gegeben hat, aber anscheinend hat sich seitdem nichts getan.

Ein (freiwilliger) 2FA würde den Kontoschutz stark erhöhen und ich verstehe ehrlich gesagt nicht, dass der größte ISP Österreichs nicht bereits so ein Feature seinen Kunden zur Verfügung stellt. Es gibt bereits so viele Unternehmen, die das unterstützen und es weit weniger kritisch wäre, wenn das Konto “gehackt” würde. Man müsste ja außerdem auch keine eigene Authentication schreiben sondern könnte einfach TOTP verwenden und der Kunde kann selbst entscheiden, welche Authenticator-App dieser verwenden will.

Ich weiß, da hierauf wahrscheinlich nicht viele Kunden wert legen, aber ist es nicht im Sinne eines Unternehmens die Kundenkonto bestmöglich zu schützen, damit es unter anderem nicht zu schlechter PR kommt?


5 Antworten

Benutzerebene 7
Abzeichen +3

Dann könnte man die a1 user nicht mehr so ganz leicht hacken.

Nachdem manche Passwörter bei A1 wieder verwendet werden und manche auch im Klartext (bzw. wieder entschlüsselbar ) gespeichert sind, habe ich aber wenig Hoffnung.

Ja genau. Wenn jemand derzeit dein A1 Passwort hat, kann er wirklich viel mit deinem Account anstellen und 2FA würde das schon einmal verhindern.

Und ich denke, dass viele Privatkunden von A1 sowieso nicht besonders starke Passwörter nutzen (wenn ich als Referenz daran denke, welche Passwörter meine Eltern nutzen würden). Außerdem limitiert hier A1 die Passwörter auf 16 Zeichen, was für mich auch nicht ganz nachvollziehbar ist.

Es wäre wirklich ein Security Boost, welcher aus meiner Sicht auch nicht allzu schwierig zu implementieren sein sollte, da es bereits (Open-Source-)Frameworks usw gibt.

 

Aber es scheint so, dass hier österreichische Unternehmen sowieso nicht besonders gut dastehen, da auch die Österreichische Post 2FA nicht unterstützt und somit theoretisch jeder der mein Passwort hat auch dort meine Pakete bei der Abholstation abholen könnte.

Benutzerebene 7
Abzeichen +3

Passwort längen Limits braucht  es, wenn man ein schlechtes Hash verfahren oder klartext Passwörter verwendet.

 

Nach dem man sich sowieso mit dem PPPoE Passwort anmelden kann, welches beim letzten mal wo ich mir es angesehen habe, automatisch per Fernwartung ins Modem eingespielt wird, hat man sowieso große Probleme.

Um ein Passwort wo eintragen zu können, muss es irgendwie entschlüsselbar oder im Klartext vorliegen. Manche Modems geben das Passwort auch  wieder her, was dann blöd ist, wenn man gebrauchte Modems wo findet.

Wenns ganz blöd her geht, kann man das auch aus dem WAN auslesen.

 

 

Ja das stimmt, aber ich hoffe nicht, dass A1 hier Klartext-Passwörter oder als MD-5 speichert. Man wird hier wohl zumindest SHA-1 oder noch besser SHA-3 verwenden. Aber ja sonst wäre das Limit auch logisch nur gehe ich bei so einem großen Anbieter nicht davon aus, dass sie so wenig Wert auf Security legen. 

Okay damit hab ich mich noch nicht beschäftigt. Danke für die Info :)

Gibt mir aber jetzt nicht besonders viel Vertrauen in A1 :joy:

 

Benutzerebene 2

Hi @grudoa! Natürlich ist gerade bei uns der Datenschutz sehr wichtig. Wir arbeiten bereits an der Umsetzung der 2FA für unsere Business- und Privatkunden. 

Antworten