Leserforum

2FA nicht am PC

Angriffe auf Zwei-Faktor-Authentifizierung, c’t 11/2023, S. 16

Was lernen wir daraus? 2FA via SMS ist Mist. 2FA via Cookie als vertrauenswürdig einzurichten ist Mist. FIDO2 nicht zu implementieren ist Mist. An sich ist jede 2FA-Implementierung auf unsicheren Geräten – und das sind Computer und somit auch Handys nun mal – Mist.

Wenn ihr den Leuten das mal genau so sagt, kann sich jeder selbst überlegen, ob man das schlucken möchte. Der zweite Faktor gehört weg vom Computer.

Steffen Weißgerber

Zu viele Accounts

Ich behaupte, dass 90 Prozent aller unserer Accounts eigentlich unnötig sind. Würden wir auf diese Just-for-Fun-Dienste verzichten und alle Dienste, die man auch ohne Account (dafür etwas unbequemer) offline erledigen könnte, auf ein gesundes Maß zurückschrauben, wäre die Angriffsfläche deutlich kleiner.

TB meint...

Erschreckendes Unwissen

Im Artikel werden zwei Dinge vorgestellt. Erstens Phishing, nun eben gegen 2FA-Credentials. Es bleibt aber Phishing. Zweitens Session-Hijacking: altbekanntes Problem, das sich anbieterseitig leicht vermeiden lässt. Hier zum Beispiel die IP zur letzten erfolgreichen Authentifizierung mitspeichern. Und für kritische Aktionen diese Merkmale prüfen. Wenn diese nicht mehr passen, zum Beispiel beim Wechsel von WLAN auf Mobilfunk, dann ist eben eine neue Authentifizierung beziehungsweise 2FA-Bestätigung notwendig.

Dieser Artikel zeigt, dass sowohl bei der Implementierung von Security als auch bei deren Nutzung immer noch erschreckendes Unwissen herrscht.

pb823

2FA nervt

Für die Arbeit bekomme ich zum Teil 10 bis 15 SMS pro Tag für die Authentifizierung. Bei manchen Plattformen logge ich mich so selten wie möglich ein, weil ich da dann noch auf E-Mails warten muss. Bei anderen brauche ich extra eine Authenticator-App auf dem Handy, sodass ich teilweise erst im Gebäude rumlaufen muss, um das entsprechende Handy zu holen, welches nur für diese App existiert und somit von allen genutzt wird. Teilweise logge ich mich mit SMS ein, um eine Aktion zu machen, und muss mich für die Bestätigung der Aktion nochmals mittels 2-Faktor-Authentifizierung einloggen, und somit nochmals auf die SMS warten. Arbeitsflow sieht da echt anders aus.

foxb3b3

Bringt nichts

Widerstand gegen EU-Pläne zur Chatkontrolle, c’t 11/2023, S. 14

Es wird immer eine Möglichkeit geben, diese Abhörtrojaner zu umgehen. Beispielsweise ein gerootetes Android-Handy, auf das nur das reine Android und irgendein Chat-Tool draufkommt, das den Chat nicht an die Behörden schickt. Die, die etwas zu verbergen haben, sind sicher bestens informiert. Abgehört werden aber dadurch unbescholtene Bürger.

TheCritter

Klassische Polizeiarbeit

Die Gesetzeslage reicht dafür längst aus. Was es bräuchte, ist eine vernünftig ausgestattete und gut bezahlte Polizei, die bürgernah ist und im besten Sinne unser aller Interessen und Recht schützt. Finger weg von den Bürgerrechten!

AllesSauber

Verharmlosender Begriff

Der Begriff Chatkontrolle trägt zur Verharmlosung der Pläne bei. Zitat aus dem Artikel: „Sämtliche digitale Kommunikation von EU-Bürgern würde verdachtsunabhängig ins Visier von Strafermittlern geraten, sowohl E-Mail und Messenger-Chats als auch Dateien in Cloudspeichern.“

Bei Chats habe ich ziemlich viel Kontrolle darüber, mit wem ich kommuniziere und entsprechend was mir geschickt wird. Aber unerwünschte E-Mails mit möglicherweise zweifelhaften Inhalten (aka „Spam“) bekomme ich fast täglich.

Demnächst muss ich also befürchten, dass Vertreter des Überwachungsstaates meine Tür aufbrechen und alles, was irgendwie im weitesten Sinne mit IT-Technik zu tun hat, beschlagnahmen, weil meine E-Mail-Adresse von irgendwelchen Kriminellen, die vielleicht mit Kindesmissbrauch in Verbindung gebracht werden, angeschrieben wird. Auf Chats könnte ich noch verzichten, aber auf E-Mail nicht.

dl3led

Gleiche Erfahrung

Wie Amazon mit fremdem Eigentum umgeht, c’t 11/2023, S. 56

Die gleiche Erfahrung habe ich auch gemacht, in meinem Fall habe ich versehentlich einen Artikel von einem Marketplace-Anbieter mit in ein Paket gelegt, in dem ich andere Artikel von Amazon retourniert habe. Ist dann im Logistikzentrum vermerkt worden, war aber nicht mehr auffindbar. Knapp 80 Euro Verlust. Ich vermeide es auch, mehrere in getrennten Paketen gelieferte Artikel in einem Paket zurückzuschicken, das gibt bei der Erstattung zu oft Probleme.

gargancian

Citybikes?

Fünf smarte Citybikes von Ampler bis VanMoof im Test, c’t 11/2023, S. 62

Manchmal frage ich mich, wieso Fahrräder ohne Gepäckträger und Schutzbleche als Citybikes durchgehen. Jeder, der schon mal mit einem Fahrrad ohne Schutzbleche unterwegs war, weiß, wie er aussieht, wenn es etwas feucht war draußen. Und ohne Gepäckträger? Auch sehr praktisch.

Homer_S

Ohne Motor schneller

Ein modernes Rad mit dünnen Slicks rollt derart gut, das sollte man auf jeden Fall Probe fahren, bevor man sich im Flachland ein E-Bike kauft. Gefühlt rollt mein Rad bei gleicher Anstrengung fast genauso leicht, dafür bin ich schneller und kann auch bei Bedarf sprinten. Außerdem muss ich mein normales Bike nicht am Bahnhof hüten wie meinen Augapfel, sondern nur die Lichter mitnehmen.

langweilig

Wer braucht kleine SATA-SSDs?

Zehn SATA-SSDs im Test, c’t 11/2023, S. 96

So kleine Speicher ergeben überhaupt nur noch Sinn als Systemspeicher. Und dieser sollte heutzutage eigentlich als schnelle M.2 im Rechner stecken. Alte Rechner sollten längst eine System-SSD haben. Rechner, die nur einen SATA-Slot haben, sind ja meist Notebooks, und diesen gibt man weit größere SSDs, damit da auch ein paar Daten draufpassen.

spooooon

Standard-PC reicht aus

Bauvorschlag für eine optimale Audio-Workstation, c’t 11/2023, S. 108

Ich mache seit Mitte der 90er mit PCs Musik und mir hat immer ein Standard-PC locker ausgereicht. Früher musste man bei Windows noch ein wenig optimieren, aber das ist seit Windows 7 endgültig Geschichte. Es ist alles so schnell geworden. Es gibt natürlich immer Plug-ins, die einen Rechner in die Knie zwingen, aber auch die andere Seite, wie Sachen von Valhalla oder FabFilter.

Frank.Mueller

Mehr RAM und Speicher

An sich eine schöne Zusammenstellung. Lädt man Cubase und eine Orchester-Suite, kann man mit 32 GByte RAM schon an die Grenzen kommen. Ich würde eher 64 GByte nehmen. Und mindestens eine 2-TByte-Disk.

dengderengdengdeng

Auch bei älterer Hardware zu empfehlen

FAQ: Prozessor aufrüsten, c’t 10/2023, S. 180

Die CPU muss ja nicht neu sein, auf dem Gebrauchtmarkt gibt es alte leistungsfähige CPUs auch zu kaufen. Mein HP Microserver Gen8 wurde vom Celeron G1610T auf Xeon E3-1220Lv2 von mir für 30 Euro aufgerüstet. Das hat richtig was gebracht und ihm ein längeres Leben beschert.

uschatko

Ergänzungen & Berichtigungen

Newtonmeter statt Nanometer

Von Lastenrad bis Stadtflitzer: So finden Sie das richtige E-Bike, c’t 11/2023, S. 58

Wir nannten die Maßeinheit für das Drehmoment irrtümlich Nanometer, richtig sind Newtonmeter.

Fehlende Werte in der Tabelle

Sechs kleine Rechner von gebraucht bis nobel, c’t 10/2023, S. 106

In der Tabelle fehlt die Angabe zur Volllastleistungsaufnahme des HP Pro Mini 260 G9. Bei reiner CPU-Last setzt er 25,2 Watt um; arbeitet auch die Grafikeinheit, sind es 25,8 Watt.

WhatsApp-Konto auf mehr Handys

Tipps & Tricks: WhatsApp auf Zweithandy, c’t 10/2023, S. 176

Der beschriebene Umweg, um ein WhatsApp-Konto auf einem zweiten Smartphone zu nutzen, ist nicht mehr nötig. Kurz nach Druckschluss hat der WhatsApp-Mutterkonzern Meta angekündigt, dass zukünftig WhatsApp-Konten offiziell auf bis zu vier Handys eingerichtet werden können – bislang ist das nur im Browser und mit den Apps für PCs und Tablets möglich.

Ein frisch installiertes WhatsApp zeigt dann beim ersten Start neben „Gib deine Telefonnummer an“ ein Dreipunkt-Menü mit dem Eintrag „Gerät hinzufügen“. Fehlt dieser, ist das Update noch nicht für Ihr Handy ausgespielt. Tippen Sie darauf, erscheint der QR-Code, mit dem Sie dieses Handy ans WhatsApp-Konto eines anderen Smartphones anbinden können.