iTAN vs Elektronik...

On Sat, 27 Aug 2022 20:56:40 +0200, Sieghard Schicktanz wrote:
Du schriebst am Sat, 27 Aug 2022 19:24:17 +0200:
Schätzung. Wieviele potentielle Opfer vertippen sich und wieviele auf
genau eine ganz bestimmte Weise?)
Alle, die die Web-Seite per Link aufrufen. [...] dazu kommt noch, daß
der _Text_ des Links und dessen _Inhalt_ nichts miteinander zu tun
haben. Und wer schaut sich schon bei einem Link an, was der Browser
ggfs. am unteren Fensterrand als Link-Ziel anzeigt?

Und ob da ein Schloß dran ist oder nicht. Und ob beim Rechtsklick auf
das Schloß ein Kontextmenü mit Zertifikat kommt, welches zum erwarteten
Inhalt bzw. Betreiber paßt. Und für dynamisches Website-Spoofing gibts
heutzutage natürlich ausgereifte Tools. Zur Not muß man eben
tatsächlich ein bisserl programmieren und mit einem HTML-Parser
herumtun, der sich die relevanten Infos aus der imitierten Bankwebsite
kratzt. Muß ja nicht in 99.99% der Fälle funktionieren. 1% reicht auch.

Volker
 
On Sat, 27 Aug 2022 22:20:02 +0200, Thomas Einzel wrote:
Wie setzt man mit einer TAN das Limit herauf und räumt gleichzeitig das
Konto ab?

Jetzt nicht gleich das German Overengineering. Mir als Verbrecher reicht
es allemal, wenn jemand, der nur 100¤ an seine Tante überweisen wollte,
auf meiner Fake-Sparkassenwebsite landet und durch Verfälschung der
dort angezeigten Daten 1000¤ seines sauer verdienten Gehalts an mich
gehen. 1k¤ scheinen mir noch ein durchaus übliches Verfügungslimit für
Onlinetransaktionen zu sein. Im Zweifel generiert man eine \"Uuuups.
Irgendwas ist schiefgelaufen. Bitte probieren Sie es
erneut!\"-Fehlermeldung mit dem jeweils halben Betrag. 90% der eiligen
Kunden kannst Du dann noch mindestens eine i/m/s7chipTAN rauslutschen.

Bequemer ist natürlich ein Smartphone-Trojaner. Eine \"zukunftsfähige
Lösung\" sozusagen.

Alles auf einem Gerät ist unsicherer als iTAN. Ein Trojaner auf den
Gerät genügt, um die Sache auszuhebeln.
Ja, genau das machen aber leider viele Leute, sie haben nur ein
Smartphone und nur eine Rufnummer. Damit wird es nach deinen Worten
sogar noch unsicherer als iTAN. Kein Sicherheitsgewinn.

Letztlich geht es ja auch gar nicht um die Sicherheit. Sondern um die
Ab_sicherung_ der Dienstanbieter. Denn deren geprellter Kunde dürfte
sich einigermaßen hart tun, zu erklären, daß die
10-Faktor-Smart-TAN-schießmichtot-Transaktion nicht von ihm initiiert
wurde.

Hatten wir doch bei den verkorksten HiTag2-Dongles weitestgehend
genauso. Die Dinger waren sicher, weil nicht sein kann, was nicht sein
darf. Dann erkläre mal der Ver*sic*sicherung, warum Deine ordnungsgemäß
abgesperrte Karre plötzlich weg ist.

https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_garcia.pdf
https://www.youtube.com/watch?v=q4fYDbQD8Q0
https://thehackernews.com/2022/03/hondas-keyless-access-bug-could-let.html
http://hackaday.com/2012/07/07/keyless-bmw-cars-prove-to-be-very-easy-to-steal/
http://jalopnik.com/5923802/watch-hackers-steal-a-bmw-in-three-minutes
http://www.zdnet.com/hackers-steal-keyless-bmw-in-under-3-minutes-video-7000000507/

Aber wie so oft: Die Bequemlichkeit siegt.

https://www.computest.nl/wp-content/uploads/2018/04/connected-car-rapport.pdf
https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
https://www.bleepstatic.com/images/news/u/986406/attacks/Vulnerabilities/VW-letter.png

Und deswegen kannst Du Dir den Mund fusselig reden, noch 1\'001
Sicherheitszäune einziehen und behaupten, die schwierige Technologie sei
ganz einfach.

Nie auf entsprechende links zu klicken und bei entsprechenden
Anrufen einfach aufzulegen halte ich für mündige Menschen für
prinzipiell erlernbar.

Wie lange dauert die Lernkurve inzwischen schon und wie sieht es um den
Lernfortschritt aus? Ich halte die Menschen in meiner Arbeit ja nicht
für prinzipiell dumm oder so. Die IT-Abteilung - die sich um einige
100\'000 PCs kümmern muß und mit der Materie mehr Erfahrung hat, aber
offenbar schon.

Letzte Schote: NNTP von @work über Port 119 geht nicht mehr. Habe dann
mit Putty nachgeforscht und festgestellt, daß nach AUTHINFO USER die
Verbindung unterbrochen wird. Merkwürdigerweise betrifft das aber nur
putty, den 40tude Dialog und den Pan-Newsreader. Eine Version vom Forte
Agent zeigte bis zum Ablauf des Testzeitraums das Verhalten nicht.

Nachfrage in der IT ergab: NNTP wird als \"High-Risk-Protocol\" eingestuft
und man müsse \"gute Gründe\" anführen, warum man das nutzen wolle. Ja,
eh, naklar.

Dass die grüne Kennzeichnung bei TLS EV-Zertifikaten (seit 2019?) bei
den meisten Browsern weggefallen ist, ist auch so ein Ding. \"Grün\"
konnte ich jedem erklären... es ist zum verzweifeln.

Wie ist das eigentlich? Hauen aktuelle Smartphones eigentlich immer noch
in regelmäßigen Abständen einen Client-Probe-Request (so hieß das doch
IIRC, oder?) für alle in ihrer Liste gespeicherten Verbindungen raus
und akzeptieren dann widerspruchslos auch unverschlüsselte
Verbindungen, selbst wenn WPA2/3-Schlüssel hinterlegt sind?

Das war (zumindest früher) immer eine Gaudi. Und wenn man da jetzt die
ARP-Tabellen noch ein bißchen... ähm... \"anpaßt\", was kann da wohl groß
schiefgehen?

https://networkradius.com/articles/2021/08/04/wifi-spoofing.html

Eigentlich ist nur die Vernetzung und die daraus resultierende
Geschwindigkeit und Entfernung das Problem. Früher musste Ganoven
zumindest für einige Teilschritte immer irgendwo vor Ort sein.
Ja, was außer Bildung, Aufklärung, Wissen,... soll sonst dagegen real
helfen?

MEHR TECHNOLOGIE! NOCH MEHR TECHNOLOGIE! Das ist doch auch die Methode
der Wahl im Kampf gegen die (zumindest medial) explodierenden
Verkehrsunfallzahlen, für den uns jedes Mittel recht sein muß:

https://www.europarl.europa.eu/news/de/press-room/20190326IPR33205/safer-roads-eu-lawmakers-agree-on-life-saving-technologies-for-new-vehicles?fbclid=IwAR2uKeGv4gGOXLWxrlOF2XEkdozwEKp8D1YRo47UvvAfDSzBAZEk4hmq334

\"[...] Nach den neuen Vorschriften müssen fast 30 verschiedene Merkmale
oder Systeme in neue Fahrzeuge verschiedener Typen eingebaut werden.
Die meisten Technologien werden im Mai 2022 für neue Modelle [...] und
ab Mai 2024 für bereits bestehende Modelle verpflichtend. [...] Das
System der intelligenten Geschwindigkeitsunterstützung (ISA) [...] gibt
dem Fahrer Feedback, basierend auf Karten und
Verkehrszeichenbeobachtung, immer dann, wenn die Höchstgeschwindigkeit
überschritten wird. [...] Zu den weiteren lebensrettenden Systemen, die
in Neufahrzeugen eingeführt werden sollen, gehören:
Notbrems-Assistenzsysteme und Notbremslicht, fortgeschrittene
Fahrerablenkungswarnung, Notfall-Spurhaltesysteme, Rückfahrwarnsysteme
und alkoholempfindliche Wegfahrsperren. [...]\"

Denn wer will nicht LEBEN RETTEN und stattdessen BLUT an seinen Händen
kleben haben...?!?!!111eisnelf

Dazu gehört natürlich auch:

https://www.adac.de/rund-ums-fahrzeug/ausstattung-technik-zubehoer/assistenzsysteme/daten-modernes-auto/

Darunter u. A. Infos über...

Nutzungsprofil:

- Getrennte Speicherung der gefahrenen Kilometer auf Autobahn,
Landstraße und in der Stadt
- Anzahl der einzelnen Fahrtstrecken, aufgeschlüsselt nach Kilometern
- Lade- und Entladezyklen mit Uhrzeit, Datum, Kilometerstand
- Einsatzdaten des Verbrenners bei Plug-in-Hybriden
- Regelmäßig GPS-Daten mit Statusbericht wichtiger Fahrzeugdaten
- Betriebsstunden der Fahrzeugbeleuchtung, getrennt nach einzelnen
Lichtquellen

Fahrstil:

- Zahl der elektromotorischen Gurtstraffungen (wie oft wird heftig
gebremst?)
- Einträge für zu hohe Motordrehzahl oder -temperatur (=Raser)
- Lade- und Zellspannung der Antriebsbatterie
- Dauer, wie lange der Fahrer die verschiedenen Modi des
Automatikgetriebes (Dauer/Manuell/Sport) nutzt

Intensität der Nutzung / Anzahl der Fahrer:

- Zahl der Verstellvorgänge des elektrischen Fahrersitzes (erlaubt
Rückschlüsse auf Anzahl der Fahrer)
- Anzahl der eingelegten Medien in das CD-/DVD-Laufwerk
- Dauer und Zeitpunkt der Telefongespräche

Ach. Macht doch nichts. Was hat man als Autofahrer schon groß zu
verbergen?

Ich habe überhaupt nichts gegen 2FA, im Gegenteil, es muss nur gut
gemacht sein, es kommt darauf an, wie sie angewendet wird.
Heute 5 Banken, 5 Verfahren, teilweise muss man sich bei jedem login
doppelt authentifizieren, teilweise auch wenn man sich mal Kontoauszüge
von vor einigen Monaten ansieht.

Wir haben @work inzwischen nur noch Paßworte einer ziemlich großen
Mindestlänge (das sei sicherheitstechnisch der letzte Schrei) in
Verbindung mit gewissen Wörterbuchschwarzlisten. Prinzipiell gute Idee.
Ich muß halt jetzt alle 5 Minuten blind
\"VolkerTrägtNachtsHeimlichRosaSchlüpfer!\"
eingeben, weil der Paßwortbildschirmschoner per Gruppenrichtlinie auf 5
Minuten festgelegt ist und man (natürlich) in der Microsoft Remote
Desktop Session keine Paßworte (mehr) hinterlegen darf. WEGEN DER
SICHERHEIT!

Mal überlegen, ob es irgendwelche Tools (AutoIt, Express ClickYes, usw.)
gibt, um das zu umgehen. https://sourceforge.net/projects/mousemover/
hat leider nicht funktioniert.

Volker
 
Thomas Einzel wrote:
> was keine Buchungsgebühren pro Posten zur Folge hat.

OK, das ist besser. Die Sparkasse verlangt für jeden Pfurz die
Bewstätigung in der App im Smartphone und jedes Mal kostet es neun Cent.
Meine Buchungsgebühr ist die Hälfte davon.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Am 27.08.22 um 20:56 schrieb Sieghard Schicktanz:
Unddazu kommt noch, daß der _Text_ des Links und dessen _Inhalt_ nichts
miteinander zu tun haben. Und wer schaut sich schon bei einem Link an,
was der Browser ggfs. am unteren Fensterrand als Link-Ziel anzeigt?

Und selbst wenn. Es gibt dutzende von Unicode-Zeichen, die lateinischen
Buchstaben hinreichend ähnlich sehen. Ich nutze das seit Jahren für die
Benamung von Musikdateien, wenn Zeichen darin vorkommen, die in
Betriebssystemen in Dateinamen Probleme machen oder gar verboten sind.

Falls der (oder evtl. auch der Mail-Editor oder gar ein PDF-Reader) das
_überhaupt_ anzeigt.)

Die geöffnete Seite in Browser wäre immer noch hinreichend. Wenn man die
nur ansieht, ist nicht mehr verifiziert, als dass die Mail gelesen und
der Link geklickt wurde.


Marcel
 
Am 27.08.22 um 23:12 schrieb Axel Berger:
Thomas Einzel wrote:
teilweise muss man sich bei jedem login
doppelt authentifizieren, teilweise auch wenn man sich mal Kontoauszüge
von vor einigen Monaten ansieht.

Dahinter sehe ich einen ganz anderen Grund. Es begann mit der SMS-TAN.
Die kostete für jeden nachvollziehbar Fremdgebühr. Das war zwar
ärgerlich aber verständlich. Die Nachrichten an die App kosten die Bank
genau gar nichts. Trotzdem werden die Gebühren, an die sich Kunden ja
gewöhnt haben, einfach weiter erhoben und im Vergleich zu anderen
Buchungsgebühren pro Posten sind sie recht heftig.

Wenn einem die Gebühren zu groß sind, wechselt man die Bank.
Ich habe noch nie eine Transaktionsgebühr bezahlt und auch keine
Grundgebühr.
Wenn man mit der Bank zufrieden ist, akzeptiert man vielleicht auch
(geringe) Kosten. Aber wenn es signifikant ausufert, dann sollte man
etwas unternehmen.


Marcel
 
Am 28.08.22 um 10:23 schrieb Volker Bartheld:
Alles auf einem Gerät ist unsicherer als iTAN. Ein Trojaner auf den
Gerät genügt, um die Sache auszuhebeln.
Ja, genau das machen aber leider viele Leute, sie haben nur ein
Smartphone und nur eine Rufnummer. Damit wird es nach deinen Worten
sogar noch unsicherer als iTAN. Kein Sicherheitsgewinn.

Letztlich geht es ja auch gar nicht um die Sicherheit. Sondern um die
Ab_sicherung_ der Dienstanbieter. Denn deren geprellter Kunde dürfte
sich einigermaßen hart tun, zu erklären, daß die
10-Faktor-Smart-TAN-schießmichtot-Transaktion nicht von ihm initiiert
wurde.

Tatsächlich ist man mit dem Anscheinsbeweis in diesem Dunstkreis
erstaunlich vorsichtig. Wenn der Kunde nicht offenkundig grob fahrlässig
gehandelt hat, bleibt er oft nicht auf dem Schaden sitzen.


Nachfrage in der IT ergab: NNTP wird als \"High-Risk-Protocol\" eingestuft
und man müsse \"gute Gründe\" anführen, warum man das nutzen wolle. Ja,
eh, naklar.

Es ist halt uralt und hat keine signifikanten Sicherheitsmechanismen.
Und mit einem DOS auf den Time-Server kann man schon ganz schön Schaden
anrichten, wenn Geräte ohne RTC (z.B. Thin-Clients) und Kerberos o.ä.
genutzt werden.
Vielleicht trauen sie auch einfach der Implementierung des Servers
nicht. ;-) Jeder Dienst, der nicht läuft, ist halt ein potenzielles
Risiko weniger. Das ist erst mal nicht von der Hand zu weisen.


Wir haben @work inzwischen nur noch Paßworte einer ziemlich großen
Mindestlänge (das sei sicherheitstechnisch der letzte Schrei) in
Verbindung mit gewissen Wörterbuchschwarzlisten. Prinzipiell gute Idee.
Ich muß halt jetzt alle 5 Minuten blind
\"VolkerTrägtNachtsHeimlichRosaSchlüpfer!\"

Das geht sowieso nicht mehr lange gut. In ein paar Jahren wird jede
bessere Gaming-GraKa in der Lage sein, Passwörter, die sich ein normal
sterblicher Nicht-Autist noch merken kann, in absehbarer Zeit zu knacken.
Dann sind nur noch Passworteingaben sicher, die nur sehr wenige Versuche
erlauben. Aber auch das hat seine Schattenseiten. Es ist ein leichtes
das für eine DOS-Attacke zu nutzen. Wenn ich die IBAN einer Person
kenne, kann ich problemlos das Konto sperren. Und wenn ich das
gelegentlich wiederhole, hat die Person faktisch kein Konto mehr.

Windows bekommt das sogar von ganz alleine hin. Einfach von mehreren
Rechnern in einer Domäne aus Laufwerksfreigaben des Servers mit
demselben Account nutzen. Wenn man dann an einem das Passwort ändert,
stehen die Chancen gut, dass in Kürze der Account gesperrt ist, wenn man
es nicht schafft in ein, zwei Minuten auf alles Systemen einmal den
Bildschirm zu sperren und mit dem neuen Passwort zu entsperren. Das war
zumindest mit Win7 gut reproduzierbar.


eingeben, weil der Paßwortbildschirmschoner per Gruppenrichtlinie auf 5
Minuten festgelegt ist und man (natürlich) in der Microsoft Remote
Desktop Session keine Paßworte (mehr) hinterlegen darf. WEGEN DER
SICHERHEIT!

Das schreit irgendwie nach FIDO2 o.ä. Tatsächlich hat der klassische
Schlüssel (Besitz) immer noch nicht ausgedient.

Mal überlegen, ob es irgendwelche Tools (AutoIt, Express ClickYes, usw.)
gibt, um das zu umgehen. https://sourceforge.net/projects/mousemover/
hat leider nicht funktioniert.

Womit wir wieder bei der genannten Bequemlichkeit sind.

Tatsächlich reicht wohl ein einfaches Skript, was immer mal die (unter
Windows nutzlose) Rollen-Taste drückt, um den Bildschirmschoner
fernzuhalten.


Marcel
 
On Sun, 28 Aug 2022 11:59:40 +0200, Marcel Mueller wrote:
[Website-Spoofing] Es gibt dutzende von Unicode-Zeichen, die lateinischen
Buchstaben hinreichend ähnlich sehen.
Falls der (oder evtl. auch der Mail-Editor oder gar ein PDF-Reader) das
_überhaupt_ anzeigt.)
Die geöffnete Seite in Browser wäre immer noch hinreichend. Wenn man die
nur ansieht, ist nicht mehr verifiziert, als dass die Mail gelesen und
der Link geklickt wurde.

.... sowie der (natürlich veraltete) Browser mit irgendwelchen Exploits
infiziert. ;-)

Volker
 
Axel Berger schrieb:
Thomas Einzel wrote:
was keine Buchungsgebühren pro Posten zur Folge hat.

OK, das ist besser. Die Sparkasse verlangt für jeden Pfurz die
Bewstätigung in der App im Smartphone und jedes Mal kostet es neun Cent.
Meine Buchungsgebühr ist die Hälfte davon.

Es ist nun wirklich keine besondere Neuigkeit, dass die Sparkassen
einerseits die teuersten unter all den Banken und andererseits die mit
dem schlechtesten Service sind

MfG
Rupert
 
On 08/28/2022 12:30, Marcel Mueller wrote:
Am 28.08.22 um 10:23 schrieb Volker Bartheld:
Alles auf einem Gerät ist unsicherer als iTAN. Ein Trojaner auf den
[...]
Ich muß halt jetzt alle 5 Minuten blind
\"VolkerTrägtNachtsHeimlichRosaSchlüpfer!\"

Das geht sowieso nicht mehr lange gut. In ein paar Jahren wird jede bessere Gaming-GraKa in der Lage sein, Passwörter, die sich ein normal sterblicher Nicht-Autist noch merken kann, in absehbarer Zeit zu knacken.

Da habe ich Zweifel; Ist wohl zu optimistisch.

ge#wurZ31|(seNk%)sfT22

Ich glaube nicht, daß das in genügend kurzer Zeit geknackt werden kann.
Es sind doch nur 3 Versuche möglich.
Nach drei Fehlversuchen ist der Zugang dauerhaft gesperrt!

Ein anderes Thema ist das Knacken der Verschlüsselung von Daten.
Da ist BruteForce tatsächlich möglich.



--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On Sun, 28 Aug 2022 12:30:33 +0200, Marcel Mueller wrote:
Am 28.08.22 um 10:23 schrieb Volker Bartheld:
Nachfrage in der IT ergab: NNTP wird als \"High-Risk-Protocol\" eingestuft
Es ist halt uralt und hat keine signifikanten Sicherheitsmechanismen.

Ich bin mir nicht ganz sicher, welche Sicherheitsmechanismen es bei
einem rein textbasierenden Protokoll geben sollte oder müßte. Da werden
genauso irgendwelche Strings hin- und hergeschickt wie bei SMTP/POP3,
welches unserer IT offenbar keinerlei Kopfschmerzen bereitet. Oder
meinst Du potentiell kaputte Clients, die nach Erhalt des tödlichen
Witzes der Welt [1] bzw. des Amish-Virus [2] die SSD formatieren?

Und mit einem DOS auf den Time-Server kann man schon ganz schön Schaden
anrichten

Was hat das mit NNTP auf Port 119 zu tun? Vielleicht bin ich auch zu
naiv oder verstehe zu wenig davon.

Wir haben @work inzwischen nur noch Paßworte einer ziemlich großen
Mindestlänge (das sei sicherheitstechnisch der letzte Schrei) in
Verbindung mit gewissen Wörterbuchschwarzlisten. Prinzipiell gute Idee.
Das geht sowieso nicht mehr lange gut. In ein paar Jahren wird jede
bessere Gaming-GraKa in der Lage sein, Passwörter, die sich ein normal
sterblicher Nicht-Autist noch merken kann, in absehbarer Zeit zu knacken.

Jup. Wenn man irgendwie Zugriff auf die Hashes kriegt, denn sonst...

Dann sind nur noch Passworteingaben sicher, die nur sehr wenige Versuche
erlauben. Aber auch das hat seine Schattenseiten. Es ist ein leichtes
das für eine DOS-Attacke zu nutzen.

Allerdings. Aber solange die HR-Abteilung nach Umstellung auf IIRC ADP
eTime (die Vorgängerversion benutzte noch - I kid you not! - Flash und
lief dann unglücklicherweis auf nichtanachronistischen Browsern nicht
mehr) sämtliche Paßworte auf einen globalen Default zurücksetzt, mache
ich mir über DOS-Attacken eher keine Sorgen. Für Tage konnte also
jeder, der die E-Mailadresse seines Kollegen wußte, in seinem Namen
Urlaubsanträge stellen - zumindest, bis der sein Paßwort änderte.
Ablauffrist für Paßworte gabs nicht, ich bin daher zuversichtlich, daß
25% der Mitarbeiter immer noch auf diesem Paßwort arbeiten, weil es
Chrome so eingespeichert hat.

Wenn ich die IBAN einer Person
kenne, kann ich problemlos das Konto sperren. Und wenn ich das
gelegentlich wiederhole, hat die Person faktisch kein Konto mehr.

Genau. Aber das wäre ja dann strafbar! ;-)

Mal überlegen, ob es irgendwelche Tools (AutoIt, Express ClickYes, usw.)
gibt, um das zu umgehen. https://sourceforge.net/projects/mousemover/
hat leider nicht funktioniert.

Womit wir wieder bei der genannten Bequemlichkeit sind.

Naja, mei. Nachdem das Single-Sign-On-Versprechen nicht eingehalten
wurde, ich @work für GIT, Jira, Confluence, Jenkins, Urlaubsanträge,
Zeitabrechnung, IT-Tickets, Zoom, Skype, Windows-Logon/Remote Desktop
und das phänomenale Intranet jeweils separate Benutzerdaten eingeben
muß und die Ablauffrist für Paßworte WIMRE 2 Monate beträgt, muß ich
halt zusehen, daß ich in einem 8-Stunden-Arbeitstag noch Anderes
gebacken kriege als mich einzuloggen.

Wenn es nach unserer IT ginge, sollte ich den Rechner ja auch brav jeden
Abend herunterfahren, anstatt ihn in Standby zu versetzen (war
BIOS-Hack und Treiberfummelei nötig, wegen Wake-on-LAN und
USB-Wake-Events). Ja, eh klar. Ich hab da voll Bock drauf, die 50
Browsertabs wiederherzustellen und x Paßworte neu einzugeben. Reichen
schon die unsäglichen Disclaimer, die man bei Pulse-VPn ständig
abnicken muß und der hypochondrische Forescout-Secure-Connector.

Warum ich nach jedem Softwareupdate WIEDER den Google Softwarereporter
aktiviert bekomme, eine deutsche Version von Inkscape, VLC und Edge
sowie ein dutzend nutzlose Desktop-Icons, will ich gar nicht weiter
ergründen. Auch nicht, warum der Windows-Taschenrechner nun ein
IrfanView Icon hat. Für den Update-Müll mache ich mir vielleicht mal
ein Skript, während ich drauf warte, daß mich ADP seine erstklassige
Software benutzen läßt. Die ist so erstklassig, daß sie Dich darauf
hinweist, die Session sei abgelaufen und Du mögest Dich beim nächsten
Mal doch bitte ordentlich abmelden. Einen Browserrefresh später bist Du
dann wieder eingeloggt, ganz ohne Benutzername und Paßwort.

Tatsächlich reicht wohl ein einfaches Skript, was immer mal die (unter
Windows nutzlose) Rollen-Taste drückt, um den Bildschirmschoner
fernzuhalten.

Muß ich bei steigendem Leidensdruck nochmal ausprobieren. Das letzte
Mal, als ich einfach Tastendrucke mit SendInput(), SendMessage() oder
keybd_event() an Jedermann schickte, klappte es irgendwie nicht. Muß
man wohl noch ein paar Schichten tiefer gehen und war mir irgendwann zu
kompliziert. Vielleicht reicht ja auch ein (lokaler) GPO-Override, der
dann bis zum nächsten Sync hält.

Volker

[1] https://de.wikipedia.org/wiki/Der_t%C3%B6dlichste_Witz_der_Welt
[2] http://www.devries.org/
 
Marcel Mueller schrieb:
Volker Bartheld:
Letztlich geht es ja auch gar nicht um die Sicherheit. Sondern um die
Ab_sicherung_ der Dienstanbieter. Denn deren geprellter Kunde dürfte
sich einigermaßen hart tun, zu erklären, daß die
10-Faktor-Smart-TAN-schießmichtot-Transaktion nicht von ihm initiiert
wurde.

Tatsächlich ist man mit dem Anscheinsbeweis in diesem Dunstkreis
erstaunlich vorsichtig. Wenn der Kunde nicht offenkundig grob fahrlässig
gehandelt hat, bleibt er oft nicht auf dem Schaden sitzen.

Es gibt hier keinen Anscheinsbeweis, für was auch?
Es ist grundsätzlich Sache des Zahlungsdienstleisters, der Bank, zu
beweisen, dass die ausgeführte Zahlung auch tatsächlich vom Kontoinhaber
autorisiert worden war.

Nachfrage in der IT ergab: NNTP wird als \"High-Risk-Protocol\" eingestuft
und man müsse \"gute Gründe\" anführen, warum man das nutzen wolle. Ja,
eh, naklar.

Es ist halt uralt und hat keine signifikanten Sicherheitsmechanismen.
Und mit einem DOS auf den Time-Server kann man schon ganz schön Schaden
anrichten, wenn Geräte ohne RTC (z.B. Thin-Clients) und Kerberos o.ä.
genutzt werden.
Vielleicht trauen sie auch einfach der Implementierung des Servers
nicht. ;-) Jeder Dienst, der nicht läuft, ist halt ein potenzielles
Risiko weniger. Das ist erst mal nicht von der Hand zu weisen.

Es ist vor allem auch gute Praxis, nur genau das zuzulassen, was auch
wirklich gebraucht wird. Nur so hat man einen Überblick, was im Netz
erlaubterweise vor sich geht und kann \"böse\" Dinge, ob sie nun von innen
oder auch von außen kommen mögen, deutlich leichter identifizieren als
wenn alle Dienste erlaubt wären, die nicht explizit gesperrt werden.

eingeben, weil der Paßwortbildschirmschoner per Gruppenrichtlinie auf 5
Minuten festgelegt ist und man (natürlich) in der Microsoft Remote
Desktop Session keine Paßworte (mehr) hinterlegen darf. WEGEN DER
SICHERHEIT!

Das schreit irgendwie nach FIDO2 o.ä. Tatsächlich hat der klassische
Schlüssel (Besitz) immer noch nicht ausgedient.

In der Tat. Es schreit aber auch nach dem Betriebsrat (wenn es wirklich
nur 5 Minuten und das Entsperrpasswort tatsächlich 25 Zeichen lang sein
sollte)...

Mal überlegen, ob es irgendwelche Tools (AutoIt, Express ClickYes, usw.)
gibt, um das zu umgehen. https://sourceforge.net/projects/mousemover/
hat leider nicht funktioniert.

Womit wir wieder bei der genannten Bequemlichkeit sind.

Tja

Tatsächlich reicht wohl ein einfaches Skript, was immer mal die (unter
Windows nutzlose) Rollen-Taste drückt, um den Bildschirmschoner
fernzuhalten.

Es soll Betriebe geben, wo der Datenschutzbeauftragte (oder einer seiner
Knechte) oder der Sicherheitsbeauftragte (oder einer seiner Knechte)
gelegentlich mal nach verwaisten (Kollege ist draußen beim Rauchen oder
hockt gar in der Kantine?) und dennoch nicht gesperrten PCs sieht. Je
nach Sicherheitsdoktrin des Unternehmens kann das zu einer Abmahnung
und, im Wiederholungsfalle, gar zu einer Kündigung führen.
Man sollte nicht vergessen, dass gerade auch derlei Dinge dem
Direktionsrecht des Arbeitgebers unterliegen und dass es darüber hinaus
ja das Geld des Arbeitgebers ist, welches durch die vermeintlich
verschwendete Arbeitszeit für die Passworteingabe verbraten wird. Es
kommt regelmäßig auch nicht darauf an, ob der betreffende Kollege eine
andere Ansicht zu Notwendigkeit und Wirksamkeit konkreter
Sicherheitsmaßnahmen und sonstiger Anweisungen hat

MfG
Rupert
 
On Sun, 28 Aug 2022 13:20:04 +0200, Rupert Haselbeck wrote:
Es ist grundsätzlich Sache des Zahlungsdienstleisters, der Bank, zu
beweisen, dass die ausgeführte Zahlung auch tatsächlich vom Kontoinhaber
autorisiert worden war.

Reicht ein erfolgreicher Zahlungsvorgang, der per Logon durch
Benutzername/Paßwort, IBAN und mTAN abgewickelt wurde, hierfür aus?
Oder wird verlangt, mein Smartphone einzuschicken, zwecks forensischer
Untersuchung?

NNTP wird als \"High-Risk-Protocol\" eingestuft
Es ist halt uralt und hat keine signifikanten Sicherheitsmechanismen.
Es ist vor allem auch gute Praxis, nur genau das zuzulassen, was auch
wirklich gebraucht wird.

Was wird denn schon \"wirklich gebraucht\"? SMTP/POP3 etwa, wenn
Outlook/Exchange die MUAs/MTAs der Wahl sind und per RPC miteinander
reden? Darf ich als C++ Entwickler einschlägige C++ Newsgroups
frequentieren? Mal abgesehen davon, daß ein Workaround mit Groupsgoogle
weiterhin möglich aber unpraktisch wäre.

weil der Paßwortbildschirmschoner per Gruppenrichtlinie auf 5
Minuten festgelegt ist
Das schreit irgendwie nach FIDO2 o.ä. Tatsächlich hat der klassische
Schlüssel (Besitz) immer noch nicht ausgedient.
In der Tat. Es schreit aber auch nach dem Betriebsrat (wenn es wirklich
nur 5 Minuten und das Entsperrpasswort tatsächlich 25 Zeichen lang sein
sollte)...

Ob es genau 5 Minuten sind, werde ich noch herausfinden. Ob es
tatsächlich 25 Zeichen sein müssen, weiß ich nicht. Irgendwann hatte
ich die Experimentiererei satt und eine ziemlich lange Passphrase
eingegeben.

Es soll Betriebe geben, wo der Datenschutzbeauftragte [...]
gelegentlich mal nach verwaisten [...] und dennoch nicht gesperrten
PCs sieht.

Darf er gerne. Zum Sperren des Bildschirms gibts eine Tastenkombination
(oder den Batchbefehl Rundll32.exe user32.dll,LockWorkStation als
Desktoplink falls man ein Nerd ist) dafür brauche ich keinen
Zwangsautomatismus.

Je nach Sicherheitsdoktrin des Unternehmens kann das zu einer
Abmahnung und, im Wiederholungsfalle, gar zu einer Kündigung führen.

*schauder* Und was erst, wenn sich jemand an § 10 Abs. 1 des
Arbeitsvertrags erinnert:

\"Die Nutzung dem Mitarbeiter [...] überlassener Hardware [...] der
betrieblichen Telekommunikationsanlagen [...] darf ausschließlich zu
dienstlichen Zwecken erfolgen. Eine private Nutzung durch den
Mitarbeiter ist grundsätzlich nicht gestattet.\"

.... oder Abs. 10 Satz 2:

\"das Down- oder Uploaden von Dateien, die in keinem Zusammenhang zur
arbeitsvertraglichen Tätigkeit des Mitarbeiters stehen, insbesondere
[...] das Streaming [sind verboten]\"

und schließloch (Abs. 11):

\"[...] Äußerungen im Internet [...] im Hinblick auf das
Arbeitsverhältnis [...] zu tätigen.\".

Auweh. Ich bin am Arsch.

Vol\"Kann den SomaFM Sünde sein?\"ker
 
Am 28.08.22 um 14:15 schrieb Volker Bartheld:

On Sun, 28 Aug 2022 13:20:04 +0200, Rupert Haselbeck wrote:
Es ist grundsätzlich Sache des Zahlungsdienstleisters, der Bank, zu
beweisen, dass die ausgeführte Zahlung auch tatsächlich vom Kontoinhaber
autorisiert worden war.

Reicht ein erfolgreicher Zahlungsvorgang, der per Logon durch
Benutzername/Paßwort, IBAN und mTAN abgewickelt wurde, hierfür aus?

Die Bank muss glaubhaft darlegen, das du diese Zahlung willentlich
veranlasst hast. Was dafür ausreicht, entscheidet der Richter im Einzelfall.

Wenn du regelmäßig ähnliche Zahlungen machst, wird die Latte niedriger
hängen als bei einem heraus stechenden Einzelfall. Wenn es sich um eine
Zahlung an ein seriöses Unternehmen handelt, wird die Latte niedriger
hängen, als bei einer Zahlung an eine obskure Kontonummer im Ausland.
Wenn du im betreffenden Land zeitnah Urlaub gemacht hast, wird die Latte
niedriger hängen, als wenn du nachweislich nicht vor Ort warst.


Oder wird verlangt, mein Smartphone einzuschicken, zwecks forensischer
Untersuchung?

Das dürfte wohl nur im Krimi vorkommen.


Es ist vor allem auch gute Praxis, nur genau das zuzulassen, was auch
wirklich gebraucht wird.

Was wird denn schon \"wirklich gebraucht\"? SMTP/POP3 etwa, wenn
Outlook/Exchange die MUAs/MTAs der Wahl sind und per RPC miteinander
reden?

Wenn für die Geschäftsprozesse hausintern kein SMTP/POP/IMAP eingesetzt
wird, wirst du begründen müssen, warum du das (im Gegensatz zu deinen
Kollegen) unbedingt an deinem Arbeitsplatz brauchst.


Darf ich als C++ Entwickler einschlägige C++ Newsgroups
frequentieren? Mal abgesehen davon, daß ein Workaround mit Groupsgoogle
weiterhin möglich aber unpraktisch wäre.

Gib das als Begründung an und warte ab, was passiert.
Begründe alle deine Anfragen nach Port-Freigaben stichhaltig, und es
bestehen gute Chancen, das das irgendwann blind abgenickt wird oder man
deinen Arbeitsplatz komplett sogar freischaltet.


*schauder* Und was erst, wenn sich jemand an § 10 Abs. 1 des
Arbeitsvertrags erinnert:

\"Die Nutzung dem Mitarbeiter [...] überlassener Hardware [...] der
betrieblichen Telekommunikationsanlagen [...] darf ausschließlich zu
dienstlichen Zwecken erfolgen. Eine private Nutzung durch den
Mitarbeiter ist grundsätzlich nicht gestattet.\"

Wenn das vertraglich so klar geregelt ist, lässt du dir Ausnahmen von
deinem Vorgesetzten besser ausdrücklich genehmigen.
 
Volker Bartheld wrote:
[...] darf ausschließlich zu dienstlichen Zwecken erfolgen.
insbesondere [...] das Streaming [sind verboten]\"

Ehrlich gesagt finde ich das weder unangemessen noch neu. Lange,
ausführliche, oder überhaupt Privatgespräche vom Arbeitsplatztelephon in
der Arbeitszeit waren auch schon immer verpönt, lange vor Mail und Web.

Kurze Rückfragen zum kranken Kind zu Hause waren natürlich immer
geduldet, aber als Ausnahme, nicht als Normalfall.

Dazu kommen bekloppte Betreiebsräte, die freiwillige Großzügigkeit der
Arbeitgeber zunichtemachen. Wenn jemandem erlaubt wird, am
Arbeitsplatzrechner private Emails zu schreiben, dann bleibt es ein
Arbeitsplatzrechner. Wenn ich als Kunde an eine Firme schreibe und die
mir bekannte direkte Mailadresse eines Mitarbeiters verwende, dann
erwarte und verlange ich, daß sich bei dessen Krankheit oder Urlaub ein
anderer der Sache annimmt. Den Rechner oder Mailaccount darf keiner
anfassen, weil Privates drauf sein könnte, ist sowas von absurd und
lächerlich -- kam aber vor. Dann eben nicht und Totalverbot. Bei
Bekloppten hilft nichts anderes.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Am 26.08.22 um 15:09 schrieb Hans-Peter Diettrich:
Speziell die Postbank macht mir das Online-Banking schwer. Alle paar
Wochen wird mein Account gesperrt und ich muß mir eine neue PIN per Post
schicken lassen. Will mich vielleicht jemand ärgern und loggt sich mit
meiner ID und (natürlich) falschem Passwort so oft ein, bis mein Account
gesperrt wird? So eine Art DoS Attacke? :-(

bin auch bei der Postbank und nutze BestSign. Da muss ich den LogIn über
die BestSign App auf meinem iPhone mit meinem Fingerabdruck bestätigen.
Ist für mich komfortabel und kommt mir sicher vor.
Jede Aktion/Überweisung muss ich ebenso mit dem Fingerabdruck bestätigen.

Grüsse, bernd
 
On Sun, 28 Aug 2022 15:23:39 +0200, Hergen Lehmann wrote:
Am 28.08.22 um 14:15 schrieb Volker Bartheld:
On Sun, 28 Aug 2022 13:20:04 +0200, Rupert Haselbeck wrote:
Es ist grundsätzlich Sache des Zahlungsdienstleisters, der Bank, zu
beweisen, dass die ausgeführte Zahlung auch tatsächlich vom
Kontoinhaber autorisiert worden war.
Reicht ein erfolgreicher Zahlungsvorgang, der per Logon durch
Benutzername/Paßwort, IBAN und mTAN abgewickelt wurde, hierfür aus?
Die Bank muss glaubhaft darlegen, das du diese Zahlung willentlich
veranlasst hast. Was dafür ausreicht, entscheidet der Richter im
Einzelfall.

So ungefähr hatte ich mir das vorgestellt. Eine 1\'000¤-Überweisung auf
ein deutsches Konto, wie es heutzutage offenbar jeder Verbrecher mit
gefälschter Identität einrichten kann, dürfte vermutlich kaum
Stirnrunzeln generieren.

Was wird denn schon \"wirklich gebraucht\"? SMTP/POP3 etwa, wenn
Outlook/Exchange die MUAs/MTAs der Wahl sind und per RPC miteinander
reden?
Wenn für die Geschäftsprozesse hausintern kein SMTP/POP/IMAP eingesetzt
wird, wirst du begründen müssen, warum du das (im Gegensatz zu deinen
Kollegen) unbedingt an deinem Arbeitsplatz brauchst.

Ich wunderte mich nur, warum ich plötzlich nicht mehr NNTP auf Port 119
z. B. comp.std.c++, comp.lang.c++, comp.lang.c++.leda,
comp.lang.c++.moderated, alt.games.unreal, de.sci.electronics für meine
Entwicklungstätigkeiten nutzen darf, wenn jeder Mitarbeiter
unnötigerweise Zugriff auf POP3/SMTP bekommt. Wo man damit doch total
high-risk-mäßig den Exchange-Virenscanner unterlaufen könnte.

Darf ich als C++ Entwickler einschlägige C++ Newsgroups
frequentieren?

Gib das als Begründung an und warte ab, was passiert.

Nichts.

Was erst, wenn sich jemand an § 10 Abs. 1 des
Arbeitsvertrags erinnert:
\"Die Nutzung dem Mitarbeiter [...] überlassener Hardware [...] der
betrieblichen Telekommunikationsanlagen [...] darf ausschließlich zu
dienstlichen Zwecken erfolgen. Eine private Nutzung durch den
Mitarbeiter ist grundsätzlich nicht gestattet.\"

Wenn das vertraglich so klar geregelt ist, lässt du dir Ausnahmen von
deinem Vorgesetzten besser ausdrücklich genehmigen.

Ehrlich: Ich riskiere lieber eine Kündigung als diesen Firlefanz
mitzumachen.

Volker
 
On Sun, 28 Aug 2022 15:23:39 +0200, Hergen Lehmann wrote:
Am 28.08.22 um 14:15 schrieb Volker Bartheld:
On Sun, 28 Aug 2022 13:20:04 +0200, Rupert Haselbeck wrote:
Es ist grundsätzlich Sache des Zahlungsdienstleisters, der Bank, zu
beweisen, dass die ausgeführte Zahlung auch tatsächlich vom
Kontoinhaber autorisiert worden war.
Reicht ein erfolgreicher Zahlungsvorgang, der per Logon durch
Benutzername/Paßwort, IBAN und mTAN abgewickelt wurde, hierfür aus?
Die Bank muss glaubhaft darlegen, das du diese Zahlung willentlich
veranlasst hast. Was dafür ausreicht, entscheidet der Richter im
Einzelfall.

So ungefähr hatte ich mir das vorgestellt. Eine 1\'000¤-Überweisung auf
ein deutsches Konto, wie es heutzutage offenbar jeder Verbrecher mit
gefälschter Identität einrichten kann, dürfte vermutlich kaum
Stirnrunzeln generieren.

Was wird denn schon \"wirklich gebraucht\"? SMTP/POP3 etwa, wenn
Outlook/Exchange die MUAs/MTAs der Wahl sind und per RPC miteinander
reden?
Wenn für die Geschäftsprozesse hausintern kein SMTP/POP/IMAP eingesetzt
wird, wirst du begründen müssen, warum du das (im Gegensatz zu deinen
Kollegen) unbedingt an deinem Arbeitsplatz brauchst.

Ich wunderte mich nur, warum ich plötzlich nicht mehr NNTP auf Port 119
für z. B. comp.std.c++, comp.lang.c++, comp.lang.c++.leda,
comp.lang.c++.moderated, alt.games.unreal, de.sci.electronics für meine
Entwicklungstätigkeiten nutzen darf, wenn jeder Mitarbeiter
unnötigerweise Zugriff auf POP3/SMTP bekommt. Wo man damit doch total
high-risk-mäßig den Exchange-Virenscanner unterlaufen könnte.

Darf ich als C++ Entwickler einschlägige C++ Newsgroups
frequentieren?

Gib das als Begründung an und warte ab, was passiert.

Nichts.

Was erst, wenn sich jemand an § 10 Abs. 1 des
Arbeitsvertrags erinnert:
\"Die Nutzung dem Mitarbeiter [...] überlassener Hardware [...] der
betrieblichen Telekommunikationsanlagen [...] darf ausschließlich zu
dienstlichen Zwecken erfolgen. Eine private Nutzung durch den
Mitarbeiter ist grundsätzlich nicht gestattet.\"

Wenn das vertraglich so klar geregelt ist, lässt du dir Ausnahmen von
deinem Vorgesetzten besser ausdrücklich genehmigen.

Ehrlich: Ich riskiere lieber eine Kündigung als diesen Firlefanz
mitzumachen.

Volker
 
Axel Berger schrieb:
Volker Bartheld wrote:
[...] darf ausschließlich zu dienstlichen Zwecken erfolgen.
insbesondere [...] das Streaming [sind verboten]\"

Ehrlich gesagt finde ich das weder unangemessen noch neu. Lange,
ausführliche, oder überhaupt Privatgespräche vom Arbeitsplatztelephon in
der Arbeitszeit waren auch schon immer verpönt, lange vor Mail und Web.

Das sind natürlich durchaus nachvollziehbare und vernünftige Gründe

Kurze Rückfragen zum kranken Kind zu Hause waren natürlich immer
geduldet, aber als Ausnahme, nicht als Normalfall.

Auch das ist durchaus gängig

Dazu kommen bekloppte Betreiebsräte, die freiwillige Großzügigkeit der
Arbeitgeber zunichtemachen. Wenn jemandem erlaubt wird, am
Arbeitsplatzrechner private Emails zu schreiben, dann bleibt es ein
Arbeitsplatzrechner.

Es bleibt zwar ein Arbeitsplatzrechner, aber es darf weder der
Arbeitgeber noch ein Kollege, auch kein Vertreter oder dergleichen, das
Postfach einsehen. Daran ist nicht ein bekloppter Betriebsrat schuld
sondern die DSGVO zusammen mit den Datenschutzgesetzen des Bundes und
der Länder, welche es verbieten, dass ein Dritter ohne ausdrückliche
Zustimmung des Betroffenen auf möglicherweise private Dokumente wie
Emails zugreifen kann. Nur wenn die private Nutzung ausdrücklich
verboten ist (und die Einhaltung des Verbots wirksam kontrolliert wird
sowie Verstöße sanktioniert werden) darf ein Vertreter oder sonst ein
Kollege auf das Email-Konto eines Kollegen zugreifen können. Und nur
damit ist Teamarbeit möglich, wenn man nicht etwa die verpönten Adressen
wie \"Versand@xyz-gmbh.de\" oder \"Einkauf@...\" verwenden möchte, sondern
die personalisierten Adressen der einzelnen Mitarbeiter

Wenn ich als Kunde an eine Firme schreibe und die
mir bekannte direkte Mailadresse eines Mitarbeiters verwende, dann
erwarte und verlange ich, daß sich bei dessen Krankheit oder Urlaub ein
anderer der Sache annimmt.

Eben!

Den Rechner oder Mailaccount darf keiner
anfassen, weil Privates drauf sein könnte, ist sowas von absurd und
lächerlich -- kam aber vor.

Das ist in deinen Augen ja vielleicht lächerlich oder absurd aber es
entspricht schlicht und ergreifend der Rechtslage :->

Dann eben nicht und Totalverbot. Bei
Bekloppten hilft nichts anderes.

Niemand ist bekloppt, nur weil du nicht verstehen willst oder kannst,
dass es Gründe für ein dir missliebiges Verhalten geben mag

MfG
Rupert
 
On 8/28/22 8:20 PM, Rupert Haselbeck wrote:

Es bleibt zwar ein Arbeitsplatzrechner, aber es darf weder der
Arbeitgeber noch ein Kollege, auch kein Vertreter oder dergleichen, das
Postfach einsehen. Daran ist nicht ein bekloppter Betriebsrat schuld
sondern die DSGVO zusammen mit den Datenschutzgesetzen des Bundes und
der Länder, welche es verbieten, dass ein Dritter ohne ausdrückliche
Zustimmung des Betroffenen auf möglicherweise private Dokumente wie
Emails zugreifen kann.

Gerüchteweise[tm] soll es private Accounts geben, die mit dem
Firmen-Login nicht erreichbar sind. Und vielleicht auch umgekehrt, daß
im privaten Account kein Zugriff auf Firmendaten möglich ist. Wer setzt
nur so absurde Behauptungen in die Welt? ;-)

DoDi
 
Thomas Einzel schrieb:
Ich habe überhaupt nichts gegen 2FA, im Gegenteil, es muss nur gut gemacht sein, es kommt darauf an, wie sie angewendet wird.
Heute 5 Banken, 5 Verfahren, teilweise muss man sich bei jedem login doppelt authentifizieren, teilweise auch wenn man sich mal Kontoauszüge von vor einigen Monaten ansieht.

Eine Bank, die ich nicht mehr lange haben werde, hat eine
Secure-login-App. Ist man drin, kann man die davon verschiedene
Banking-App starten. Irgendwann gibt es verschiedene Apps
für die verschiedenen Dienstleistungen¹ der Bank.

5 Banken 5 Verfahren ist wohl passé.

Wie die Verkehrsstatistiker, die vor nicht allzulanger Zeit
sich (zurecht) darüber aufgeregt haben, die Besetzungszahlen
der Autos nähmen ab, würde sich mittlerweile 1 nähern.
Aber tiefer geht\'s dann nicht.
Irgendwie haben die aktuelle Trends verschlafen.

¹ Lies: Ausreden für die hohen Gebühren.

--
mfg Rolf Bombach
 

Welcome to EDABoard.com

Sponsor

Back
Top