Ich beziehe mich auf dieses Thema:
https://www.wer-weiss-was.de/t/kein-login-moeglich-google-authenticator/
Wenn also jemand meinen Mailaccount knackt und das Team freundlich darum bittet, die 2FA für meinen www-Account zu deaktivieren, dann wird das selbstverständlich gemacht. Der Hacker hat damit vollen Zugriff auf meinen www-Account.
Bisher dachte ich immer, die 2FA sei dazu da, genau solche Fälle durch die Verwendung eines zweiten Faktors zu verhindern. Liege ich da falsch?
Äh, du brauchst immer noch das Passwort als 1. Faktor, auch wenn du keine 2FA mehr hast.
Anmeldeseite>„Ich habe mein Passwort vergessen“
Herr im Himmel!
„Gib deinen Benutzernamen oder deine E-Mail-Adresse ein. Wir senden dir eine E-Mail zum Zurücksetzen des Passworts.“
Der Hacker braucht auch noch Zugriff auf dein E-Mail-Konto. Ist deine E-Mail-Adresse [email protected]? Dann könnte ich versuchen, das Konto zu knacken. 
Noch mehr so wahnwitzige Ideen?
Äh? Ich schrieb doch:
Es reicht nicht, deinen E-Mail-Account zu knacken, er müsste auch wissen, dass du mit DEM Account HIER registriert bist. Glaubst du, ein Hacker hat nichts Besseres zu tun, als auszuprobieren, wo du überall mit der E-Mail-Adresse angemeldet ist und in irgendwelchen Foren Unfug zu betreiben?
Glaube ich natürlich nicht. Und deshalb habe ich hier auch die 2FA nicht aktiviert. Ich frage mich auch, wozu die gut sein soll.
Es ist schon sicherer als nur ein Passwort, aber wie gesagt, Foreninhalte zählen für mich nicht dazu.
Vermutlich hat man sich vorher die IP-Adressen angeschaut, die von den jeweiligen Accounts benutzt werden.
Die 2FA spielt ihren Vorteil aus, wenn jemand für deinen Zugang einfach Hunderttausende Passwörter testen würde. Oder wenn jemand durch Einbruch auf Deinem Rechner Anmeldename und Passwort erfahren würde. Oder wenn, ich gehe davon aus, dass es sowas bei Discourse nicht gibt, eine Anmeldenamen-Passwort-Klartext-Liste nach einem Hack herunter laden könnte.
Wie Du mitbekommen hast, ist die 2FA nicht mit einem Klick durch den Nutzer oder andere Nutzer z.B. mit Mod-Rechten zurück zu setzen. Ob der Prozess der Kontrolle, ob der reklamierende Nutzer auch der berechtigte ist, stabil genug ist, um Missbrauch so weit wie menschenmöglich ausgeschlossen ist, kann ich Dir leider nicht sagen, da ich nicht beim Community Management im Büro sitze.
Wenn ich lange genug drüber nachdenke, komme ich allerdings zu dem Schluss, von dem ich annehme, dass es auch Deinem Gedankengang entspricht, dass es konsequent wäre, die 2FA nicht wieder abzuschalten. Wenn 2FA aktiviert und der zweite Faktor geht verloren -> Pech gehabt.
2FA schützt dich - genauso wenig wie ein Passwort - vor dem Betreiber eines Dienstes. Wenn ein Betreiber auf Zuruf 2FA ausstellt, dann ist das nicht die Schuld der 2FA, sondern des Betreibers.
2FA schützt dich davor, dass dir jemand beim Eintippen des Passworts auf die Finger schaut. Auch vor Keyloggern schützt es. Es ist halt eine weitere Lage Sicherheit.
2FA schützt dich niemals, wenn es kein 2. Faktor ist. Wie viele Leute machen auf ihrem Smartphone Onlinebanking und geben da das Passwort ein und haben zudem ne App, die die Anmeldung bestätigt. Das ist dann kein 2. Faktor. Sowas ist aber auch nicht die Schuld der 2FA, sondern des dummen Anwenders.
2FA kann sehr wohl schützen und ich persönlich aktiviere es immer da, wo es geht und wo es per TOTP realisiert ist. Ein Quatsch wie SMS als 2. Faktor würde ich nie machen, wenn ich nicht müsste (ich spreche mit dir, PayPal).
Darum ging es mir. Bei wer-weiss-was ist mir das egal, aber wenn meine Bank das so machen würde, fände ich das bedenklich. Bei der muss man, wenn einem das Smartphone mit der Sicherheits-App verloren geht, einen neuen Aktivierungscode anfordern. Dieser wird per Post zugestellt. Ist auch nicht besonders sicher, aber besser als Abschalten der 2FA auf Zuruf.
Doch klar ist das sicher. Dann ist nämlich dein Briefkastenschlüssel der neue 2. Faktor, bis deine App wieder geht.
Dieses Thema wurde automatisch 30 Tage nach der letzten Antwort geschlossen. Es sind keine neuen Nachrichten mehr erlaubt.