Community

2-Faktor Authentifizierung


#42

Okay.
Wenn ich das den nächsten aus 20 Jahren Erfahrung als Softwareentwickler erzähle, kommt vielleicht als nächstes noch das die Freimaurer das Internet erfunden haben und wir es abschalten müssen.

Glaub das so… Ich mag nicht mehr. :man_facepalming:


#43

Was auch immer du als Glaubensfrage betrachtest, belehre mich eines Besseren.

Bin leider erst im 3. Jahr als Softwareentwickler. :wink:


#44

Kommt manchmal besser an als jemand der mit seiner langen Berufserfahrung prahlt. Zeit sagt wenig über das tatsächliche Know-how aus :wink:

Aber ich glaube es ist ok wenn nicht jeder die Meinung des anderen teilt. Ich finde einen klassischen 2. Faktor auch besser. Außerdem sein wir ehrlich…homee wird beides nicht integrieren :joy:


#45

meine Rede! Leider kümmern sich die wenigsten drum. Wenn ich schon lese „ist mir egal ob jemand meine Heizung hoch dreht“.

Es geht ja auch darum, dass das Gerät missbraucht werden kann, zB für Angriffe auf andere Geräte (DDoS Attacken). Dies kann homee und das gesamte Netzwerk extrem Performance kosten und niemand wird herausfinden woran das liegt. Wenn jemand Zugriff auf das Gerät hat kann er wahrscheinlich auch auf mein LAN zugreifen. Ich könnte auf meine Gewohnheiten ausspioniert werden, die Daten werden dann an gewöhnliche Einbrecher verkauft. homee ist im „Urlaubsmodus“? Prima!!


#46

Ich muss doch als Kunde und User nicht immer alles selber wissen. Warum soll ich mich noch in Netzwerksicherheit etc einstudieren? Es ist einem nicht egal, ob jemand die Heizung steuern kann. Man erwartet, dass das nicht geht. Wie es der Hersteller löst: weder die Aufgabe noch die Pflicht vom Kunden. Router werden z.B. mit individuellen SSID Passwörtern ausgeliefert. Warum erhalten WLAN Kameras teilweise immer das gleiche Passwort? Da schlampt der Hersteller, nicht der Kunde.


#47

ich teile deine Meinung, aber nicht ganz. Der User steht auch in der Verantwortung seine Accounts bestmöglich abzusichern und Sicherheit darf ihm nicht egal sein. Natürlich muss es vom Hersteller aber die Werkzeuge geben.
Aber es ist überall das selbe Thema: Meta Awareness, also Awareness für Awarenesss schaffen ist nicht immer einfach.


#48

Das interessiert die Hersteller von Kühlschränken und Waschmaschinen überhaupt nicht. :wink:


#49

Sehe ich genau so, zumal hier im Forum ja der google authenticator bereits im Einsatz ist.

@anon42585115
“Ich finde einen klassischen 2. Faktor auch besser.”
Jo, warum neu erfinden und ganz so kompliziert ist das nicht. Ich kenne einige die das nutzen.

@camisy
Geht mir genau so "Wenn ich schon lese „ist mir egal ob jemand meine Heizung hoch dreht“. Das sollte nicht der Anspruch hier sein.

Wäre toll wenn ihr bei Gelegenheit mal Kapazitäten frei hättet und das Thema nicht immer nur Anlass bezogen nach oben kommt. Beruflich kann ich nur sagen, dass die aktuelle Berichterstattung außergewöhnlich viele Mitbürger aufgescheucht hat. Das wäre ein super Zeitpunkt für das Produkt…


#50

Den Webzugang von WhatsApp würde ich aber nicht als Vorbildlich ansehen. Immerhin reicht es einmalig den zu scannen. Man kann Monate später sich da noch anmelden. Das ist m.E. eher ein Negaitivbeispiel und typisch für den Frazebook-Bereich.
web.threma hat da zumindest noch ein PW zur Entsperrung eingebaut. Man sollte schon den Anwender ein wenig vor sich selbst schützen…


#51

2FA ist mittlerweile absoluter Standard bei allen auch nur halbwegs sensiblen Anwendungen und wird als Nummer eins Maßnahme zur Steigerung der Sicherheit von jedem empfohlen, der sich einigermaßen auskennt. Bei einer zentralen Steuerungseinheit wie homee - die ein Single Point of Failure für die gesamte Haussteuerung ist - verstehe ich überhaupt nicht, wie man darüber auch nur diskutieren kann.

Ich habe mich bewusst auch aus Sicherheitsgründen für homee entschieden, um meine Abhängigkeit von IFTTT und Cloud-Anwendungen zu reduzieren. Zumindest die Option für 2FA hätte ich schlicht vorausgesetzt. Wer für sich entscheidet, dass Bequemlichkeit vor Sicherheit geht, muss ja nicht davon Gebrauch machen.

Welche Art der 2FA ist m.E. nebensächlich, wobei “don’t reinvent the wheel” bei Sicherheitsfragen immer ein guter Ratschlag ist. Mit OATH-TOTP (aka Google Authenticator) scheint mir aber bereits ein bewährter, von zig Augen geprüfter und einfacher Standard zu existieren, der schnell implementiert sein dürfte.


#52

Wer findet den Widerspruch? :wink:


#53

:joy::crazy_face:


#54

@hblaschka
Ich finde keinen; aber du kannst mich sicher erhellen?!
Oder wolltest du nur auf “hehe, er hat Google gesagt” hinaus?:wink:

Zur Umsetzung:
Einmalpasswörter sind mir zu aufwendig. Wenn 2FA, dann wenigstens mit Push. Sonst kann ich ja auch mit VPN arbeiten.:stuck_out_tongue_winking_eye:


#55

Cloudless und Google schließen sich aus…


#56

Das stimmt nicht und hört sich für mich nach Vorurteil an. Bitte erst den Mechanismus verstehen und dann urteilen.

Beim OTP handelt es sich um eine App (IOS, Android), Programm (z.B. Windows) oder einem Stück Hardware (z.B. RSA SecureID). Sofern die Uhrzeit stimmt und der shared secret key (Meist per QR-Code) stimmt, dann kommt offline eine 6stellige-PIN raus (meist jede Minute) als 2. Faktor zur Anmeldung. Das hat nichts mit Cloud zu tun.

Und das Stück Software gibt es von beliebigen Herstellern - Es muss nicht der Google Authenticator sein.

Ich benutze es täglich auf der Arbeit…


#57

Gut, dann erklär mir wie die homees das „cloudless“ / offline implementieren sollen.


#58

In der Regel ist mit OTP ein Algorithmus gemeint, der aus Uhrzeit und einem Shared Key eine PIN errechnet. Das ganze hat nichts mit Online oder Cloud zu tun. Ganz wie @sublevel7 versucht hat zu beschreiben.


#59

Wäre das den eine Option, ein 2Faktor Authentifizierung bei homee einzubauen, um einen “Angriff” von außen über den Proxy zu erschweren?


#60

OK, gebe mich geschlagen - nachdem ich die Doks überflogen habe…


#61

Nein, da eine Authentifizierung immer direkt an eurem homee stattfindet. Ein “Angriff von außen” ist bei der derzeitigen Proxyarchitektur in dieser Form gar nicht möglich.