Two Factor Authentication (2FA) mittels TOTP


Ist es in nächster Zeit geplant, dass A1 2FA einführt? Ich habe gesehen, dass es bereits hierfür vor 3 Jahren einen Thread gegeben hat, aber anscheinend hat sich seitdem nichts getan.

Ein (freiwilliger) 2FA würde den Kontoschutz stark erhöhen und ich verstehe ehrlich gesagt nicht, dass der größte ISP Österreichs nicht bereits so ein Feature seinen Kunden zur Verfügung stellt. Es gibt bereits so viele Unternehmen, die das unterstützen und es weit weniger kritisch wäre, wenn das Konto “gehackt” würde. Man müsste ja außerdem auch keine eigene Authentication schreiben sondern könnte einfach TOTP verwenden und der Kunde kann selbst entscheiden, welche Authenticator-App dieser verwenden will.

Ich weiß, da hierauf wahrscheinlich nicht viele Kunden wert legen, aber ist es nicht im Sinne eines Unternehmens die Kundenkonto bestmöglich zu schützen, damit es unter anderem nicht zu schlechter PR kommt?


8 Antworten

Benutzerebene 2

Pro Tipp: Warte mit dem Ändern des Kennwortes, bis sie die A1 Rechnung deiner Eltern bezahlt haben ;)

PS: Hast du hoffentlich schon geändert alles, auch von den Mail-Adressen etc.?

Haha, ja, wäre eh interessant, was die Angreifer mit den A1 Zugangsdaten gemacht hätten. Vermutlich zum Verschicken von Spam oder Einbruch in andere Konten die diese E-Mail verwenden.

Ja, Passwörter für Mail-Adressen sind schon geändert. Alle anderen Konten, welche die betroffenen Mail-Adressen verwenden, werden auch geändert.

Benutzerebene 7
Abzeichen +9

Pro Tipp: Warte mit dem Ändern des Kennwortes, bis sie die A1 Rechnung deiner Eltern bezahlt haben ;)

PS: Hast du hoffentlich schon geändert alles, auch von den Mail-Adressen etc.?

Benutzerebene 2

Die Anmeldedaten meiner Eltern wurde soeben via berater-informationen[.]su gephished.

Ich würde das Feature deshalb sehr gerne haben und aktivieren.

Benutzerebene 3
Abzeichen +2

Hi @grudoa! Natürlich ist gerade bei uns der Datenschutz sehr wichtig. Wir arbeiten bereits an der Umsetzung der 2FA für unsere Business- und Privatkunden. 

Ja das stimmt, aber ich hoffe nicht, dass A1 hier Klartext-Passwörter oder als MD-5 speichert. Man wird hier wohl zumindest SHA-1 oder noch besser SHA-3 verwenden. Aber ja sonst wäre das Limit auch logisch nur gehe ich bei so einem großen Anbieter nicht davon aus, dass sie so wenig Wert auf Security legen. 

Okay damit hab ich mich noch nicht beschäftigt. Danke für die Info :)

Gibt mir aber jetzt nicht besonders viel Vertrauen in A1 :joy:

 

Benutzerebene 7
Abzeichen +8

Passwort längen Limits braucht  es, wenn man ein schlechtes Hash verfahren oder klartext Passwörter verwendet.

 

Nach dem man sich sowieso mit dem PPPoE Passwort anmelden kann, welches beim letzten mal wo ich mir es angesehen habe, automatisch per Fernwartung ins Modem eingespielt wird, hat man sowieso große Probleme.

Um ein Passwort wo eintragen zu können, muss es irgendwie entschlüsselbar oder im Klartext vorliegen. Manche Modems geben das Passwort auch  wieder her, was dann blöd ist, wenn man gebrauchte Modems wo findet.

Wenns ganz blöd her geht, kann man das auch aus dem WAN auslesen.

 

 

Ja genau. Wenn jemand derzeit dein A1 Passwort hat, kann er wirklich viel mit deinem Account anstellen und 2FA würde das schon einmal verhindern.

Und ich denke, dass viele Privatkunden von A1 sowieso nicht besonders starke Passwörter nutzen (wenn ich als Referenz daran denke, welche Passwörter meine Eltern nutzen würden). Außerdem limitiert hier A1 die Passwörter auf 16 Zeichen, was für mich auch nicht ganz nachvollziehbar ist.

Es wäre wirklich ein Security Boost, welcher aus meiner Sicht auch nicht allzu schwierig zu implementieren sein sollte, da es bereits (Open-Source-)Frameworks usw gibt.

 

Aber es scheint so, dass hier österreichische Unternehmen sowieso nicht besonders gut dastehen, da auch die Österreichische Post 2FA nicht unterstützt und somit theoretisch jeder der mein Passwort hat auch dort meine Pakete bei der Abholstation abholen könnte.

Benutzerebene 7
Abzeichen +8

Dann könnte man die a1 user nicht mehr so ganz leicht hacken.

Nachdem manche Passwörter bei A1 wieder verwendet werden und manche auch im Klartext (bzw. wieder entschlüsselbar ) gespeichert sind, habe ich aber wenig Hoffnung.

Antworten