Community

2-Faktor Authentifizierung


#21

Ihr habt damit Recht das unser System durchaus sicherer werden kann und sollte.
Wenn ich jedoch keinen Zugriff von außen möchte dann betreibe ich das autark und nutze nur noch VPN.
Also es gibt Mittel und Wege das eigene Smarthome zu sichern.


#22

ich möchte das hier nicht bis ins Unendliche diskutieren, offenbar gibt es verschiedene Meinungen.

VPN aber ist völlig unpraktikabel für den Dauereinsatz und völlig konträr zur Usability.
@wildsparrow: Das Risiko eines Angriffs ist gering? Ich kenne deinen Wissensstand nicht. Ich bin seit 8 Jahren in der IT Security und kann deine Aussage mit vielen Beispielen widerlegen und wundere mich sehr um es mal freundlich zu formulieren. Ich nenne nur mal Google oder Shodan als Stichwort, alles weitere würde diesen Post unübersichtlich machen.


#23

Erhelle mich mit den letzten bundesweiten Angriffen auf SmartHomes. Welche Sicherheitslücken bei Fibaro/Devolo/AVM/homee wurden praktikabel ausgenutzt und welcher Schaden ist dem User entstanden?


#24

In erster Linie schützt eine 2 - Faktor - Authentifizierung vor dem Klau eines Kennwortes (und Benutzername). Ich finde dieses Feature daher prinzipiell sehr sinnvoll, damit man sich sorglos aus von einem fremden Rechner aus am homee anmelden kann.

Angriffe werden wohl eher Lücken ausnutzen, vor denen auch ein zweiter Faktor nur bedingt bzw. nicht schützt. Aber ich würde sagen, hier sind verschiedene Meinungen absolut erlaubt.

Eher kritisch sehe ich Äußerungen, dass man ja nicht nur das Kennwort, sondern auch die ID und den Benutzernamen kennen muss. Das ist prinzipiell richtig, aber bei der 2 - Faktor Authentifizierung geht es ja eben darum, dass man einen Faktor benötigt, der auf einem anderen Gerät erzeugt / generiert wird und eben nicht um einen weiteren Faktor der sich nicht ändert.

Jemand der sagt, dass er mehrere Jahre im Bereich IT - Security unterwegs ist sollte in meinen Augen hier deutlich sinnvoller argumentieren als "[quote=“camisy, post:22, topic:928”]
Ich nenne nur mal Google oder Shodan als Stichwort, alles weitere würde diesen Post unübersichtlich machen.
[/quote]
, bei mir sorgt solche Aussage leider eher für “Ach, ein Computer Bild Leser” mit seinem Halbwissen. Das muss nicht stimmen und möchte ich nicht unterstellen, jedoch möchte ich gerne darlegen, wie es bei mir ankommt :slight_smile:

VPN finde ich für jeden eine gute Wahl und es muss nicht kompliziert sein, jedoch ist es sicher nicht für jeden geeignet. Aber auch hier gilt, unterschiedliche Meinungen sind wichtig.


#25

Wie gesagt ich wünsche keinem dass er persönliche Erfahrungen sammeln darf. Aber ich darf mich auch arbeitstechnisch etwas mit der Thematik befassen und wer Erfahrungen mit Einbruch- und/oder Daten- bzw. Identitätsdiebstahl sammeln durfte und zu Weihnachten die bekloppte Werbung mit Sicherheitskameras dann erleben durfte macht sich so seine Gedanken

Nach dem was ich mir die letzten Wochen dann von Bosch bis Siemens und Co angesehen habe, ist meine Wahl auf den Würfel gefallen. Ich sehe da einiges an Potential und - auch wenn ich es persönlich sehr bedauere dass es wir uns überhaupt darüber unterhalten müssen - über den wirksamen Schutz der “eigenen Vier Wände” incl. der Daten.

Ja und speziell auch aus anderen Netzwerken heraus wäre das deutlich sicherer.

Aber ich denke das ist in der Tat eine Frage der Prioritäten.


#26

Lieber @ducky: das Mirai Botnet habe ich schon genannt als Beispiel. Wir schweifen hier etwas von der eigentlichen Thematik ab weil 2FA ja auch nur ein kleiner Teil von Security ist.

Ich kenne auch deinen Wissenstand nicht aber für die Allgemeinheit mal 2 Links:

http://www.ardmediathek.de/tv/Plusminus/Smart-Home-So-leicht-haben-es-Einbrec/Das-Erste/Video?bcastId=432744&documentId=40709860 (zugegeben, stellenweise übertrieben=

Ein paar Fakten: https://securelist.com/honeypots-and-the-internet-of-things/78751/


#27

Eine Seite beschreibt das ganz passend:

Die Malware sucht nach internetfähigen Geräten, die mit öffentlich bekannten voreingestellten Anmeldedaten ausgeliefert werden,

Dem ist bei den Smart Home Zentralen nicht der Fall.


#28

Nachdem die Anmeldung am Forum nun einen 2. Faktor unterstützt, wird es auch für homee Zeit :wink:


#29

Oha. Tolle Sache - Danke für den Hinweis!
Ja jetzt wäre es umso toller, wenn Homee das unterstützen würde, wo es für mich durchaus relevanter wäre.


#30

Ja, aber da scheint sich aktuell nichts zu tun.


#31

Wie sieht es denn hier jetzt aus?

Immer mehr Services bieten Zwei-Faktor Authentifizierung an. Mir wäre es schon recht, wenn ich zu mindestens nur gewisse Geräte für den Zugriff freischalten lassen kann.

Die Integration von Google Athenticator, Microsoft Authentcator oder ähnliche, sollte doch nicht soo das Problem sein.

Aber wenn ich dran denke, dass jemand mit meinem Passwort, Rolläden, Garage aufmachen kann und auch noch Licht schalten kann, ist das nicht so lustig.

Bitte arbeitet schnellstmöglich dran.


#32

Eine Sache, wäre übrigens serh einfach. Ihr registriert ja bereit sjetzt, welche Geräte sich einmal mit Homee verbunden haben, jetzt wäre es nur noch gut, eine Info zu bekommen, wenn ein neues Gerät sich einloggt und am besten dies nur erlauben, wenn der Admin dies bestätigt und freigibt.


#33

Hallo.

Ich möchte auch meinen Senf hier abgeben.
Ich habe darüber auch schon mehrmals nachgedacht und mich echt schon geärgert wie umständlich und gleichzeitig unsicher es ist, sich über den Browser einzuloggen, wenn man mal verstanden hat was die Zahlen bedeuten.

Hier wird von zwei-Weg Authenticator geredet, aller Google und keine Ahnung was für ein bi pa po.
Sorry, aber das checken viele nicht.

Ich will es sicher und einfach.
Sorry Leute. Einfach ist das von Google usw. nicht.

Ich liebe aber den Zugang aller WhatsApp.
Ein QR für wenige Sekunden aktiv und nur möglich wenn man in der APP den QR scannt.
Mehr Sicherheit geht eigentlich mit einer aktuellen SSL nicht.

In der APP ist schon ein QR Scanner programmiert der scheinbar nur eine einzige Aufgabe hat. BRAIN scannen.
Baut die Funktion aus für Login.

Keine Eingabe mehr von Userdaten oder Braindaten.

Eindeutiger QR für 30 Sekunden.
Scannst du den in der Homee APP wirst mit dem User der APP eingeloggt.
So einfach, das der WAF gegeben wäre.


#34

Und wie soll der QR generiert und dann eingescannt werden? Soll ich jedes mal für einen kurzen Login einen Code einscannen? Mit 2 verschiedenen Geräten?


#36

Scheint als hättest du den webzugang von WhatsAPP noch nie genutzt.

Die Abfrage brauchst du nur wenn du dich nicht über die Homee-APP einloggen willst.
Diese wiederum ist mit deinem Account in der HomeeAPP verifiziert ist.

Ander Vorschläge verlangen eine weiter APP und mühseliges hin und her schalten zwischen den APPs und Browsern.

Mein Vorschlag:
Schritt 1
Homee-APP Downloaden Brain konfigurieren und Account anlegen.
Ist heute schon der Fall und muss oder so gemacht werden.

Schritt 2: zB über PC anmelden.
MyHomee öffnen wo ein QR angezeigt wird.

Schritt 3: QR vom Bildschirm mit der Homee-APP abscannen und man ist eingeloggt.
Keine Logindaten, keine andere APP oder sonst irgendwas.

Gegenüber heute:
Schritt 2 über den PC anmelden.

Schritt 3
Homee-APP öffnen weil mein PC immer vergisst welche Nummer der Brain hat oder ich an einen fremden PC sitze.

Schritt 4
Nummer eingeben

Schritt 5 loginname welchen man sich merken muss.
Schritt 6 Passwort was man sich merken muss


#37

Sehe da schon ein Problem:
my.hom.ee kannst du auch auf dem Handy im Browser aufrufen …

Den Rest kannst du dir vielleicht denken. :wink:


#38

Genau. Push Nachricht wie bei BankenAPPs.
Funktioniert und ist very easy zum programmieren.


#39

Das sind nur eine halbgare Lösungen.
Lieber zu offiziellen Lösungen greifen, die schon lange Bestand haben (Google Authenticator etc.), aber dafür hat das homee-Team gerade keine Kapa.

Die Idee 2FA finde ich gut, aber wenn man es selbst baut schleichen sich evtl. Fehler ein, was deine Zentrale anfälliger macht.

Man muss das Rad nicht neu erfinden …


#40

Verstehe nicht warum so um Ecken gedacht wird.

Eine Abfrage zu mehreren APPs wie Google oder Microsoft oder was dann noch alles verlangt wird, bringt den gleichen bis höheren Aufwand an der Programmierung und Planung, als wie wenn man selbst eine Lösung baut. Unter der Voraussetzung das man selbst schon eine APP hat.

Ich kenne nur Google, Microsoft und Cryptobörsen mit schlechten bzw ursprünglich schlechten APPs die auf diese System zurückgreifen und halt noch haben, weil man es nicht mehr weg bekommt.
Es ist nicht komfortabel und vor allem für Menschen ohne technische Begeisterung ein schwer verständliches Instrument mit erheblichen Zeitaufwand.
Will man weite Reichweite und nicht nur technikbegeisterte Leute erreichen, muss es KIS(S) sein und einen WAF besitzen. Ist es das nicht, ist das Produkt von der Masse nicht akzeptiert.

Homee verdankt seinen Erfolg dem UI in der APP.
Die APP ist KISS in der Bedingung und Übersicht und hat WAF für nicht technische Leute.
Die Homepage nutzen vermutlich durch die Bedienung des Logins unter 1/4 aller User, wenn nicht sogar weit weniger.

Ein Login mit Google 2FA hat die Loginrate bei einem mir bekannten Projekt so trastisch verschlechtert, dass es wieder raus geflogen ist. Es haben sich plötzlich fast keinen Frauen mehr angemeldet, obwohl die Auswahl offen blieb. Aber alleine zu zeigen das der Account nicht so sicher ist wie es sein könnte und es aber nicht verstanden wurde was zu machen ist, hat eine Welle ausgelöst.

Ein einfacher Login mittels QR konnte den Login nachweislich bei allen Usern stark verbessern (Gemessen über 2 Monate) und die Empfehlungsrate ist nach Livegang gestiegen.

Ein so ein QR Code in einer Datenbank abzulegen und abzurufen wenn er gescannt wurde ist kein großes Ding und bietet weit mehr Sicherheit und Komfort als alles andere was mir bekannt ist.

Die APP sendet einen eindeutigen API Schlüssel oder Zugangcode. Das was du eintippst macht die APP für einen. Nur schneller und besser.

Und Push?
Homee hat schon Push und das muss ein APP Programmierer aus dem FF können.
Die mir bekannten Tastaturlayouts fragen dann sogar schon nach „Code übernehmen?“


#41

Deswegen wurden Daten von Politikern und “Stars” geklaut, weil sich niemand um seine Daten kümmert, vielleicht weil es “viel zu kompliziert ist”.
Bei vielen Apps geht es um Bequemlichkeit, weil sich wirklich sehr viele Menschen nicht darum scheren, wie sie ihre Daten und Accounts absichern. Im Smarthome-Bereich sehe ich das ähnlich. Es gibt genügend Cams, die frei zugänglich im Internet angesteuert werden können, weil die Menschen sich nicht über das Gerät informieren und schon gar nicht absichern. Viel zu kompliziert.

Es braucht einen 2. FAKTOR, wenn man das in die App einbaut, dann ist das kein zweiter Faktor.
Ob du jetzt eine zusätzliche App, SMS, E-Mail oder einen Hardware-Token verwendest …
Dein Handy könnte kompromittiert sein und jemand wartet darauf, dass du einen Fehler machst …

Beim Push hast du den Nachteil, dass das heutzutage nicht alles vom Gerät gepusht wird sondern von der App über die Cloud und wieder auf dein Gerät angezeigt wird. Das kannst du natürlich besser abfangen.