netcup Sicherheitstoken

Zitat von aRaphael

Nun, wenn man nix bestellen kann, dann liegt die Priorität zur Behebung dieses bugs sicher recht weit oben auf der todo-Liste von netcup.

Formal geschlossen wegen Reichtum

Wir Serverhoarder machen sicher genug Umsatz

Zitat von charmin.armin

Wollte ihm App einrichten und gefragt, welche verschlüsselten Mail-Server verwendet werden: hatte natürlich keine Ahnung und daher den Provider angerufen. Dieser wiederum meinte, TLS gäbs nur gegen Aufpreis WTF? Gesundheitsdaten!

Sag bitte das es im Jahr 2000 oder 2001 war... o.o

Wunsch: bitte im CCP eine Möglichkeit schaffen das ich mich mit meinem CCP login bei meinen Kunden hinterlegen kann und dann von meinem 2FA geschützen Konto direkt auf alle Kundenkonten drauf komme, sofern die mich als Admin hinterlegt haben. Danke

Zitat von Virinum

Es wird nicht mehr zu https umgeleitet. Siehe http://www.customercontrolpanel.de/ und http://ccp.netcup.de/.

Hab vor einer Woche schon ein Ticket aufgemacht (NCSUP-270416). Bisher kam aber nur

zurück. Unaufmerksame Kunden in öffentlichen WLANs werden sich bedanken.

Hallo Virinum,

vielen Dank, dass du uns darauf aufmerksam machst.

Wir haben dies nun behoben.

Ich wünsche ein schönes Wochenende.

Ich selbst verwalte für ein paar Freunde/Vereine ein paar Pakete (Webhosting) und bin jetzt auch erst mal 'draußen', da natürlich die Besitzer die Personen selbst sind.

Oh Netcup, die 2fa Lösung die Ihr hier 'selbst' verbockt habt, ist genau das was man bei einer Einführung einer MFA-Lösung vermeiden sollte: Leute 'gängeln' und halbgaren RollOut- und Recovery-Prozess entwerfen.

Ich selbst hatte schon das vergnügen, das mir mein 2fa bei Netcup abhanden gekommen ist und Netcup meinte 5€ ist ein völlig gerechtfertigter Preis für die Wiederherstellung! Mal abgesehen das ein automatisierter Prozess zum versenden von Briefen, an die Adresse in den Stammdaten, vermutlich unter 1€ kostet, gibt es hier noch andere Möglichkeiten.

Es gibt so schöne Lösungen und Möglichkeiten das sinnvoll zu machen. Wenn ich diese Art Prozess meinen bisherigen Kunden empfohlen hätte, würden die mich wahrscheinlich schon geteert und gefedert haben. Ich muss dazu sagen, das ich Hauptberuflich IT-Berater für MFA-Lösungen bin...

Bitte überdenkt noch einmal die MFA-Lösung und stellt wenigstens eine Möglichkeit bereit, das man zusätzlicher Benutzer für das CCP anlegen kann. Die können dann ja Ihren eigenen Token besitzen.

Aktuell hilft mir nur den 2fa 'auszuhebeln' und den Barcode / das Secret zu speichern und damit den Token zu vervielfältigen... Das ist ja eigentlich genau das, was man nicht machen sollte.

Hmmm. Ich habe ja jetzt 2FA für meinen Privataccount aktiviert.

Wenn ich das jetzt für den Geschäftsaccount auch machen will, kommt der Google-Authentificator damit klar? Oder kann der keine zwei von netcup auseinanderhalten?

Bei mir kommt er damit klar.

Ich hab das auch zum Anlass genommen 2FA zu aktivieren, also sogesehen ein voller Erfolg der Aktion von Netcup, auch wenn mir dieser "Zwang" (also entweder Token per E-Mail oder 2FA aktivieren, aber nicht "keines von beiden" mehr möglich) nicht gefällt.

Ürbigens, wenn ich Google Authenticator lese, dann wird mir eher (Tut nicht nötig, bei sowas auch noch MS oder Google zu nutzen)
Zumindest auf Android gibt es genug Alternativen.
Ich kann auf Android den "Aegis Authenticator" empfehlen, den gibts bei F-Droid und im Google Play Store.

Die App ist mittels Passwort / Biometrie gesichert , die Datenbank ist dann verschlüsselt gespeichert, diese lässt sich exportieren (auch im Klartext, wenn gewollt), Backup-Funktion gibt es auch.

Mein Open-Source-Favorit: https://2fas.com/

Ich finde es ziemlich schade, dass man plötzlich zur 2FA gezwungen wird und wünsche mir die Option, dies zu deaktivieren. Neben der bereits zuvor genannten Vielzahl an Problemen und Schwierigkeiten, die der 2FA-Zwang mit sich bringt, möchte ich noch ein weiteres Problem nennen.

Wenn ich bspw. in phpMyAdmin arbeite, erfolgt ein automatischer Logout nach gewisser Zeit, ungeachtet meiner tatsächlichen Aktivität. Hier ist man wohl der Meinung, alle 30 Minuten einmal ausgeloggt werden zu müssen. Nicht gespeicherte Änderungen gehen zu diesen Zeitpunkten selbstverständlich verloren.

Der Prozess des erneuten Logins und der Navigation zu phpMyAdmin und dem Wiederholen der verlorengegangenen Arbeit kostet mich jedes mal unnötig Zeit und Nerven. Bitte geht dieses Problem umbedingt an, liebes netcup Team!

Zurück zur 2FA: wenn man hier der Meinung ist, die Kunden dazu zwingen zu müssen und zu bevormunden, dann bitte mit einer besser durchdachten Lösung als der aktuellen. WIe wäre es damit, dass man vertrauenswürdige Geräte hinterlegen kann? Ich sehe keinen realen Merwert für die Sicherheit meines netcup-Kontos, wenn ich täglich in einem privaten, sonst abgeschlossenen Raum vor einem kennwortgeschützten Computer mit verschlüsseltem Laufwerk sitze und dann alle 30 Minuten via 2FA erneut bestätigen muss, dass wirklich ich der berechtigte Nutzer bin... Hier würde ich zugunsten einens praktikableren Worfklows die vermuteten "Risiken" in Kauf nehmen und darauf verzichten.

Cheers,

Tom

Sicherheit zu deaktivieren finde empfinde ich als keine gute Alternative.

Klar wurde es im Vorfeld nicht gut kommuniziert. Aber dennoch kann man sich doch zumindest zur eignen Sicherheit einen temporären Token per Mail zusenden lassen.

Nehmen wir das Beispiel PayPal. Ich würde unterstellen, dass Sicherheit dort großgeschrieben wird. Dennoch erlaubt PayPal mir, meinen Computer als vertrauenswürdig zu markieren, sodass ich nicht täglich zehn mal die 2FA benutzen muss.

Dieses Feature würde mir sehr weiterhelfen.

Cheers

Tom

Zitat von Tom West

Wenn ich bspw. in phpMyAdmin arbeite, erfolgt ein automatischer Logout nach gewisser Zeit, ungeachtet meiner tatsächlichen Aktivität. Hier ist man wohl der Meinung, alle 30 Minuten einmal ausgeloggt werden zu müssen. Nicht gespeicherte Änderungen gehen zu diesen Zeitpunkten selbstverständlich verloren.

Alternativ, wenn man es so viel und oft braucht, kannst du auch eine lokale Version installieren und darüber arbeiten.

Dann gibt’s keinen Logout.

Dafür muss die DB aber von extern erreichbar sein / oder du installierst das auf einem Webhosting.

Zitat von Tom West

Hier ist man wohl der Meinung, alle 30 Minuten einmal ausgeloggt werden zu müssen. Nicht gespeicherte Änderungen gehen zu diesen Zeitpunkten selbstverständlich verloren.

deshalb empfehle ich Adminer

Zitat von Tom West

Nehmen wir das Beispiel PayPal. Ich würde unterstellen, dass Sicherheit dort großgeschrieben wird. Dennoch erlaubt PayPal mir, meinen Computer als vertrauenswürdig zu markieren, sodass ich nicht täglich zehn mal die 2FA benutzen muss.

Dieses Feature würde mir sehr weiterhelfen.

Cheers

Tom

Alles anzeigen

Da bin ich auch dafür!

Das bekommt selbst eine Hinterhof Bank hin.

Ansonsten lasst mich selbst entscheiden ob ich das überhaupt möchte mit dem Token oder 2FA.

Ich könnte mir durchaus vorstellen, dass dieser Schritt eine verzweifelte Reaktion auf die diversen Phishing-Kampagnen der letzten Monate war. Wenn da pro Tag vielleicht dutzende CCP-Accounts von Unbekannten übernommen wurden...

(Was nicht heißt, dass ich den Ärger der fehlenden Vorankündigung nicht nachvollziehen kann. Betrifft mich persönlich Dank 2FA aber nicht.)

Am Anfang waren viele verwundert da es spontan eingesetzt wurde ohne vorher zu kommunizieren.

Jedoch müssten nach ein paar Tage mit Token die meisten von uns dran gewöhnt haben.

Ente (Hommage an die Netcup Ente) gut, alles gut

Also ich finde den Email Token absolut garnicht schlimm. Die Funktion is absolut simpel, die Email kommt ohne Verzögerung sofort im Postfach an anders als bei manch anderen Seiten die das auch so handhaben.