Telekom: Endlich mit 2FA-Möglichkeit
von caschy | 23 Kommentare
Nach einiger Zeit des Testens erlaubt es nun auch die Telekom ihren Kunden, ihren Account per 2FA per SMS oder App abzusichern.
Wer 2FA zum ersten Mal hört: Zwei-Faktor-Authentifizierung (auch Zwei-Faktor-Authentisierung). Eine 2FA mit Code über eine Authenticator-App ist eine Sicherheitsmaßnahme, die verhindert, dass jemand anderes auf euer Online-Konto zugreifen kann, selbst wenn er das Passwort kennt.
Das bedeutet, dass ihr zwei Dinge braucht, um euch anzumelden: die Kombination aus Nutzernamen und Passwort sowie einen temporären Code, den eine App ausspuckt. Es gibt verschiedene Authenticator-Apps, wie z. B. den Google Authenticator oder den Microsoft Authenticator, die man mit verschiedenen Online-Diensten verbinden kann. Mittlerweile bieten viele Passwortmanager diese Funktion auch an, sodass man alles aus einer Hand bekommt.
Alternativ muss man nicht zur App greifen. Die Telekom erlaubt auch das Empfangen des Codes über eine SMS. Kunden, die ihr Konto und die damit verbundenen Dienste dahingehend absichern wollen, finden die Option im Kundencenter im Bereich Sicherheit vor. Ein Hilfe-Dokument gibt es hier.
Wird geladen ...
Wurde Zeit.
Nun in meiner App Nr. 25 für 2FA.
Was für ein Schrott. Um das ganze abzuschließen, muss man eine Mobilfunknummer hinterlegen.
Ebay ist seit Jahren auch nicht in der Lage, 2FA umzusetzen. Aber immer von Digitalisierung schreiben.
Klar dürfen die von Digitalisierung schreiben und trotzdem die Sicherheit weg lassen.
Erwiesenermaßen (siehe die letzten 10 Jahre) hat Digitalisierung in der Wirtschaft praktisch nie mit Sicherheit zu tun. Bei Digitalisierung geht es nur um Spareffekte. Zusätzliche Sicherheit einbauen kostet. Daher kommt sie nachrangig.
Ist nach unserer Wirtschaftslogik alles völlig normal und kein Grund zur Aufregung.
Das ist ein Fallback, der nötig ist, weil viele zu dämlich sind, ihre 2FA Token zu sichern. Dann wird das Handy verloren oder gewechselt und die Menschen kommen nicht mehr an ihre Token. Ich betreue Webseiten mit mehreren 1000 Nutzenden, bei denen es keinen Fallback per SMS gibt, und es ist die Pest.
Endlich <3
Vielen Dank für diese Nachricht! Gleich eingerichtet.
Kurz gefreut, dann sah ich aber: Man soll trotz Authenticator-App immer noch eine Handynummer für Backup-SMS angeben. Damit zerfällt der Sicherheitsaspekt wieder. SMS sind unverschlüsselt, außerdem gibt es auch über SIM-Swapping einen Angriffsvektor. Warum die Telekom nicht einfach mit Backup-Codes hantiert, die man sich notieren sollte, versteh ich nicht.
Ja, das dachte ich mir auch. Ein totaler Anachronismus, SMS für 2FA überhaupt noch anzubieten. Passt aber zur Telekom. Es verhindert somit keinen gezielten Angriff, aber es hilft gegen einen Chinesen der mal eben dein Konto entern möchte trotzdem noch.
Hä, geht mit der Authenticator-App super.
Es kommt nur einmal eine SMS, dann kommt der QR-Code.
Die IT-Systeme der Telekom sind historisch gewachsen (wie auch bei Vodafone). Da sind haufenweise Altlasten dabei. Viele Dinge funktionieren nur sehr, sehr umständlich. Das merkst du schnell, wenn du nicht nur einen Telefonvertrag managen musst, sondern im Geschäftsumfeld noch weitere Lösungen oder komplexe Leistungen hast. Da wirst du innerhalb eines Produkts zu verschiedenen Logins weiter geleitet. Völlig chaotisch und schlecht gemacht.
So gibt es den Zwang beim BSP (Business Service Portal) ständig das Passwort zu wechseln und den Account zu bestätigen. Wenn du mehrere Accounts verwaltest, passiert es schnell, dass du die Bestätigung im falschen Account machst und dein Zugang gesperrt wird. Schwachsinnig.
Dass man als Telefonieanbieter dann weiterhin auf SMS als zweiten Weg setzt, ist da nur konsequent.
Backup-Codes wollte man vermutlich den vielen „normalen“ Kunden nicht zumuten. ;o)
Obwohl wiederum „normale“ Kunden sowieso nix mit 2FA anfangen können.
Ich habe glei die SMS gewählt, die AuthApp macht ohne Backup-Codes und mit BackupSMS keinen Sinn, IMO. Habe es mit AuthApp getestet, dort einfach „kein Zugang zur AuthApp“ anklicken und es kommt die SMS.
Ich kann mich nur anschließen: Mit erzwungender Backup-SMS ist der ganze Spaß leider ziemlich sinnlos.
Evtl. könnte da mal wer nachhaken. Ein Techblogger o.ä. 😉
Was ist, wenn ich nur SMS also meine Handynummer hinterlege; aber ich mich anmelden will, weil genau die Handynummer ein Problem macht? Dann bekomme ich die SMS nie und kann mich auch nicht mehr anmelden.
Endlosschleife?
Das ganze Sicherheitskonzept wird immer komplizierter und der Kunde hat irgendwann keine Lust mehr die X-te App zu installieren oder noch eine Abfrage und noch ein Code einzugeben. Wir haben in Deutschland seit Jahren den ePerso, damit sollte man sämtliche Dienste einrichten und authentifizieren, so wäre wenigstens auch sicher gestellt, dass möglichst wenige Fake Accounts angelegt werden.
Oh ja, grandiose Idee alles an einen Perso zu binden ernsthaft, das macht super viel Sinn und man braucht nicht mal eine weitere App, weil das die meisten PW-Manager unterstützen wenn man es will und das sollte wirklich jede Person heute haben, die es halbwegs ernst meint mit der Sicherheit.
So ein Code funktioniert auch in der ganz normalen 2fa App, warum soll man seinen ganzen Perso rausholen um sich irgendwo anzumelden, noch komplizierter geht es ja wohl nicht.
Also 2fa Anmeldung sind doch wohl das beste was es gibt, habe jeden Account wo das geht darauf umgestellt.
Eine 2FA App sollte inzwischen jeder Mensch auf dem Handy haben.
Perfekt, nächste 2fa bei mir und Frauchen aktiviert! 😀
Sehr cool! Was lange währt … definiert am Ende jeder anders. 😉
Schade, weder Passkey noch richtige Security Keys werden unterstützt, somit leider nicht das maximum an Sicherheit ermöglicht sondern nur das Mindestmaß.
Klar nicht. Ist sicher wieder was selbst gefrickeltes, was beim ersten schief ansehen auseinander fällt. Statt auf freie Lösungen wie Keycloak dafür zu setzen. Ein Trauerspiel.
Jup, das hätte man gleich mit Passkeys umsetzen können, wenn man es schon macht. Das Projekt zu 2FA wurde allerdings wahrscheinlich vor 2-3 Jahren gestartet, da waren Passkeys noch nicht verfügbar.
Witzig wie sich hier alle über 2FA bei der Telekom freuen. Ich finde es viel problematischer, wie schlecht und langsam die Seite der Telekom überhaupt sind. Man findet Optionen in Verträge nur durch 8 Umwege, beim MagentaTV Login kommt ständig: Da hat etwas nicht funktioniert, und und und…
Einfach furchtbar. Und ich bin schon lange Telekom-Kunde, da ich dort auch meine Ausbildung gemacht habe.