netcup Sicherheitstoken

    Ich finde es ja gut, dass man in Sicherheitsdingen mit dem Stand der Technik geht, aber kann man das nicht zeitgerecht und terminisiert vorankündigen, wenn man das in einer Woche mit einem langen Wochenende vor Weihnachten zwangsweise ausrollen zu müssen glaubt?


    Das wirft bei mir gerade ein paar soziale Probleme auf:

    Einerseits verwalte ich einen CCP-Account für jemand nicht it-affinen, mit dem ich sehr gut befreundet bin, eben als Freundschaftsdienst mit. Wenn ich jetzt mitten in der Nacht Wartungen mache, darf ich den netten Herrn also jetzt anrufen, um den Sicherheitstoken aus seinem Postfach bei Hoster XYZ zu bekommen, das ebenfalls mit 2FA abgesichert ist. Ob sich das vom Aufwachen bis zum Eintippen der Codes ausgehen wird, darf bezweifelt werden *lach*.


    Andererseits wird sich auch mein Arbeitgeber sehr freuen, wenn sein Handy im Meeting klingelt, weil ich über seinen Firmenaccount was für die Firma bestelle oder an einer Domain was ändern muss... halt nein,... letzteres machen wir wegen solcher Aktionen wohl auch weiterhin bei einem anderen Anbieter... *hust*.


    Dasselbe Problem wird sich bei einem Verein stellen, den ich gerade für netcup anwerbe. Das Hostingpaket für den Verein habe ich schon auf eigene Rechnung erworben und in meinem Account und werde es transferieren, sobald der Verein einen eigenen Account hat, wofür wir aber erst noch ein paar Dinge organisatorisch regeln müssen...


    Und lustig wird das sicher bei den Leuten, die den Token auf ein Konto bei einem bei netcup gehosteten Postfach bekommen, und ihr IMAP-Passwort versemmelt haben oder über das Webmail einsteigen...


    Das eine oder das andere Folgeproblem könnte man lösen, wenn man den 2FA TOTP via Google Authenticator pro Gerät haben könnte - denn dann kann ich einfach mein Gerät zusätzlich zu dem des formellen Accountinhabers dort einrichten.

    Eine andere Alternative wären Subaccounts oder Multiuser-Logins, wie sie manche Mitbewerber seit jeher haben.


    Man könnte den DNS-Teil des Problems auch mit der DNS-API lösen, aber dem Beschreibungstext im CCP nach, habe ich als Privatkunde mit der DNS-API das Nachsehen, wenn es um etwa um Bestellungen ginge. Und in der Firma hat mein Chef mir beispielsweise sprichwörtlich schon ein paar mal zwischen Tür und Angel einen Domainwunsch genannt. Machen wir aber, wie geschrieben gegenwärtig sowieso noch bei einem anderen Anbieter.


    Wie geschrieben, ich habe Verständnis für notwendige Sicherheitsfeatures, aber dann bitte auch an solche praktischen Dinge denken.

    Microsoft 365 hat bei den Firmenlizenzen aus gutem Grund die Möglichkeiten der Recovery-Keys, des TOTP/Oauth für mehrere Geräte/Nutzer, des SMS oder des Anrufs auf eine oder mehrere Recoverynummern, usw.



    [netcup] Alexander W. Jetzt aber eine Interessensfrage - Du wirst ja in Deinem Konzern nicht alle Tasks an Dich reißen, damit es Dich im Wortsinn dann umreißt, und wirst vermutlich Assistenten haben, die eigenständig Deine Wünsche innerhalb vorgegebener Parameter erfüllen. Dürfen die Dich dann rund um die Uhr wegen so Kleinigkeiten wie einem 2FA für Logins stören und Deine kostbare Managementzeit dafür beanspruchen? Wohl nicht, oder?

    Sehe ich zum Teil genauso. Ich habe da Privat für mich jetzt zwar kein Problem mit und kann das ganze auch nachvollziehen, da Sicherheit und 2FA halt wirklich sinnvoll ist.
    ABER dann halt vernünftig, nicht so wie du geschildert hast, da die Probleme halt bestehen, wenn man für andere die Sachen erledigt. Und ich wäre da auch nicht sehr begeistert, wenn mich deswegen jemand nachts aus dem Bett klingelt.
    Außerdem wäre ich halt genauso wenig begeistert, wenn ich dafür dann meine E-Mail ändern müsste bzw. demjenigen dann Zugriff auf meine Mails geben müsste.

    Das mit dem Mail-Postfach bei NetCup ist zwar generell nicht empfohlen, soll aber wohl doch oft genug vorkommen. Wäre was, woran ich gar nicht gedacht hätte, guter Punkt.
    Au0erdem sollte man so etwas definitiv frühzeitig vorher ankündigen. Das finde ich ist Pflicht,. Am besten mehrfach per E-Mail und/oder SMS sowie im CCP vorher angezeigt. War heute auch sehr verwundert, warum mit Mal nach 2FA gefragt wurde ohne, dass ich dieses eingerichtet hatte.
    Außerdem hab ich mittlerweile außer zum Beispiel bei Google den ganzen 2FA Kram einfach aus gelassen, da mir etwaige Fehler oder anderweitige Probleme richtig auf den Sack gehen. Google hat das recht gut gelöst mit verschiedenen Methoden zur Wiederherstellung usw. Da konnte ich immer wieder in den Account rein.


    Bei Netcup hatte ich schon das Problem, das mein Handy kaputt gegangen ist und ich erstmal 5€ zahlen durfte zum wiederherstellen des Accounts.
    Bei Dropbox z.B. sind alle meine Daten verloren, da keiner von denen Zugriff darauf hat, An sich zwar ein Zeichen von Sicherheit aber auf der anderen Seite halt voll Kacke, da 50 GB Daten einfach weg sind. Löschen geht auch nicht, sowie per E-Mail oder SMS senden die keine Daten. Richtige verarsche. Einen neuen Account erstellen, geht auch nicht. Richtiger Fail bei denen. Dementsprechend halt nicht das große Paket im TB Bereich gebucht.

    Also von daher hab ich da leider einige negative Erfahrungen gemacht und bin da vorsichtiger geworden.
    Dann lieber deutlich sicherere Passwörter usw.
    Bis jetzt bin ich auch zumindest merklich noch nie gehackt worden.
    Bei meinen Servern setze ich einfach Passwörter mit über 100 stellen ein, die sind dann im PW Manager und fertig.
    Geht zwar immer besser und andere Möglichkeiten aber bis jetzt immer alles gut gegangen, zumindest was die Passwörter an geht.


    MfG :)

    Ich schließe mich dem an - das hätte (nein MÜSSTE) man definitiv prominenter und vorab ankündigen.
    Persönlich stehe ich nun auch vor dem Problem: ich verwalte für einige meiner Kunden die Webseiten und brauche (selten aber doch hin und wieder) Zugriff aufs CCP. Bleibt also nur Email-Adresse ändern (mit eingerichteter Weiterleitung damit der Sicherheitscode direkt bei mir ankommt) oder den 2FA Account auf mehreren Geräten einrichten (auch wenn ich es besser fände wenn man mehrere Geräte hinterlegen kann)

    MfG

    Quote from X-Nightmare-X

    Bei Netcup hatte ich schon das Problem, das mein Handy kaputt gegangen ist und ich erstmal 5€ zahlen durfte zum wiederherstellen des Accounts.
    Bei Dropbox z.B. sind alle meine Daten verloren, da keiner von denen Zugriff darauf hat, An sich zwar ein Zeichen von Sicherheit aber auf der anderen Seite halt voll Kacke, da 50 GB Daten einfach weg sind. Löschen geht auch nicht, sowie per E-Mail oder SMS senden die keine Daten. Richtige verarsche. Einen neuen Account erstellen, geht auch nicht. Richtiger Fail bei denen. Dementsprechend halt nicht das große Paket im TB Bereich gebucht.

    Richtig:

    pasted-from-clipboard.jpg


    Das ist ja besonders lustig, wenn das Webhosting-Paket, auf das via Singlesignon/Autologin per CCP aufs WCP umleitet, schnell ein paar Updates für eine kritische Sicherheitslücke braucht. Während der Brief unterwegs ist, kann also kräftig gespammt werden... Nicht im Sinne des Erfinders.


    Hier gehören erst einmal anständige Recovery-Methoden her, bevor man Kunden in die Richtung nudgt, dass sie doch bitte auf 2FA umstellen.

    Dank 2FA gar nichts davon mitbekommen... Und hätte es ohne diesen Beitrag wahrscheinlich auch nicht.

    Aber ja, bei solchen gravierenden Änderungen an den Login-Bedingungen ist eine vorherige Ankündigung obligatorisch.

    [RS] 2000 G11 | 1000 G11 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 1

    Die einzige Möglichkeit, zumindest was das Problem mit verlorene/beschädigte Geräte an geht, ist der Google Authenticator. Mittlerweile haben die ein Cloud Backup eingeführt. Ich weiß nur nicht, ob man mit den Backup quasi dann auch 2 Geräte nutzen kann. Damit könnte man das Problem lösen,

    Sollten mehrere Geräte die Codes über das Backup abrufen können, könnte man einen extra Account nur für die Codes an legen, welcher dann auf dem Handy des Besitzers, sowie dem Gerät des jeweiligen Administrators eingebunden wird

    Das wäre eine spontane Idee dafür.

    Quote from X-Nightmare-X

    Die einzige Möglichkeit, zumindest was das Problem mit verlorene/beschädigte Geräte an geht, ist der Google Authenticator. Mittlerweile haben die ein Cloud Backup eingeführt. Ich weiß nur nicht, ob man mit den Backup quasi dann auch 2 Geräte nutzen kann. Damit könnte man das Problem lösen,

    Sollten mehrere Geräte die Codes über das Backup abrufen können, könnte man einen extra Account nur für die Codes an legen, welcher dann auf dem Handy des Besitzers, sowie dem Gerät des jeweiligen Administrators eingebunden wird

    Das wäre eine spontane Idee dafür.

    Ich bin gerade wirklich nicht in der Laune, es ausprobieren zu wollen. Das Drupal des netten Herren braucht gerade etwas Starthilfe.

    Ja, das dachte ich mir auch. Hab da auch garnicht drüber nachgedacht. An sich die 5€ grundsätzlich kein Problem und verständlich aber das mit dem Brief usw halt schon so eine Sache. Also gut, dass es überhaupt so klappt. Hat mir was das an geht halt den A... gerettet. Aber dann wie gesagt, wie bei z. B. Google, kann da nur gut drüber sprechen, die haben so viele Wiederherstellungsmöglichkeiten und dennoch ist es sicher. Also ist zumindest ein gutes Beispiel.

    Bei Dropbox wäre mir das auch recht, hab denen auch angeboten mit Ausweis usw. eiskalt einfach keine Möglichkeit.
    Daten weg, Konto weg, Daten schwirren jetzt "für immer" da bei denen rum, können nicht gelöscht werden, keine Möglichkeit ein neues Konto mit der Mail zu erstellen. Das finde ich sowas von lächerlich und traurig. Im Endeffekt könnten die eh auf meine Daten zugreifen, wenn die wollten. Das zum einen da keine "normalen" vom Customer Service einfach die Codes oder ähnliches zurücksetzen können verständlich, aber dann bitte n richtiger Admin.
    Außerdem, wenn ich das ganze per Mail oder SMS bekomme, ist das für die wahrscheinlich kein Sicherheitsunterschied..

    Naja was soll man machen. War eigentlich gut zu sprechen auf die, jetzt bin ich richtig pissed.

    Und was NetCup an geht, ist das halt etwas fraglich das ganze einfach stumpf zu aktivieren.
    Grundsätzlich halt nachvollziehbar und sinnvoll aber dann mit GROßER Vorankündigung sowie Möglichtkeit der Wiederherstellng per Mail bzw. SMS.
    Ansonsten könnte man das ja wahrscheinlich auch dann auf Dauer gesehen ein wenig wie Geld drucken bezeichnen. Wie viele Leute von 75000 verlieren den Code bzw. das Handy wohl mal oder löschen was usw.

    Das wird ganz schön viel Arbeit aber gibt dann ja dementsprechend das Geld..

    Ich hab bei mir seit Monaten / Jahren das normale 2FA aktiv, daher hab ich das wie einige andere gar nicht mitbekommen. Es gibt hier einige Punkte, welche ich nachvollziehen kann.


    Aber mal im Ernst, wenn ihr eh bereits Zugangsdaten von den "Kunden" habt, wo ist das Problem einfach das normale 2FA aktivieren und das 2FA Secret zu sharen? Ja ist nicht 100% sicher, aber ist doch genau wie ein Backup vom Secret eine Möglichkeit den Zugang ohne großes Drama zu erhalten. Dann hat man im Falle der Fälle auch keine Briefkosten und Wartezeiten.


    Klar, Backup Keys und SMS Reset wären toll. Außerdem eine frühere Ankündigung, damit sich diese Spezialfälle vorab um den Zugang kümmern können.

    Quote from Mikey

    Ich hab bei mir seit Monaten / Jahren das normale 2FA aktiv, daher hab ich das wie einige andere gar nicht mitbekommen. Es gibt hier einige Punkte, welche ich nachvollziehen kann.


    Aber mal im Ernst, wenn ihr eh bereits Zugangsdaten von den "Kunden" habt, wo ist da s Problem einfach das normale 2FA aktivieren und das 2FA Secret zu sharen? Ja ist nicht 100% sicher, aber ist doch genau wie ein Backup vom Secret eine Möglichkeit den Zugang ohne großes Drama zu erhalten. Dann hat man im Falle der Fälle auch keine Briefkosten und Wartezeiten.


    Klar, Backup Keys und SMS Reset wären toll. Außerdem eine frühere Ankündigung, damit sich diese Spezialfälle vorab um den Zugang kümmern können.

    Das Problem ist, dass diese Netcup-Kunden mit ihrer eigenen E-Mailadresse registriert sind und das Sicherheitstoken an diese geht, weil kein 2FA aktiviert ist. Es ist 00:45 Uhr und ich repariere etwas, wegen dem ich um 21:00 angerufen worden bin und komme mit den Zugangsdaten nicht ohne das Sicherheitstoken, das es erst seit heute geben dürfte, hinein.


    Wie geschrieben: Vorlaufzeit wäre sinnvoll, um sich um so etwas vorab kümmern zu können. Der andere netcup-Kunde soll freilich auch ohne mich in seinen Account kommen... er muss ja auch die Rechnungen bezahlen und seine Stammdaten anpassen können.

    Auch das könnte man lösen, indem man anderen Kunden mit ihrem eigenen Login Berechtigungen erteilt- quasi „Tech-C“, „Admin-C“.... Gibt es aber aber auch nicht.

    Ja,ich war gestern auch etwas überrascht von der Geschichte und habe dannerst einmal 2FA aktiviert. Allerdings denke ich aktiv darüber nach,lieber wieder per Mail das Sicherheitstokenzu bekommen. An die Mail komme ich von jedem meiner PCs und vom Smartphone, somit bin ich nicht an ein Gerät gebunden, das jederzeit kaputtgehen kann.


    Überhaupt frage ich mich, warum ich mir das 24-stellige Passwort eingeprägt habe,auf das ich umgestellt hatte, weil mein altes Passwort mir zu einfach erschien und einer meine Reverse-DNS Einträge eines Servers plötzlich geändert war. Da habe ich vorsichtshalber das Passort geändert. Natürlich war der Account nicht gehackt, sondern der Nameserver hatte wohl mal wieder gesponnen. Jetzt mit dem 2FA kann ich ja wohl beruhigt auf das Passwort 12345678 umstellen :rolleyes:^^;( .

    Quote from Bud

    Dank 2FA gar nichts davon mitbekommen... Und hätte es ohne diesen Beitrag wahrscheinlich auch nicht.

    Aber ja, bei solchen gravierenden Änderungen an den Login-Bedingungen ist eine vorherige Ankündigung obligatorisch.

    So geht es mir auch, vollkommen überrascht von diesen Beiträgen - da 2FA von Anfang an aktiviert. So sehr ich Euren Ärger über mangelhafte Kommunikation verstehe und berechtigt finde:


    Nehmt doch eine TOTP-App (ja, es gibt eine Welt jenseits von Google) und teilt das 2FA-Secret. Fertig. Mache ich so mit einer Person meines Vetrauens, schon aus Business-Continuity-Gründen...


    Mattes

    Mein anderer Serverprovider hat mich vor der Zwangseinführung von 2FA mit ausreichender Reaktionszeit informiert. Fand ich besser.


    So wie 2FA meistens eingesetzt wird, ist das nur nervtötend aber kaum ein Sicherheitsgewinn. Selbstverständlich landet das Secret als weiteres Passwort im Passwortmanager. Wie schon mehrfach geschildert gibt es operative Anforderungen, die mit einem einzelnen Hardwaretoken für einen Account nicht zu erfüllen sind, solange es nicht wenigstens ein System mit mehreren Unteraccounts und Rechteverwaltung gibt.


    BOFH: "Wir haben Sie zur Sicherheit von der Benutzung Ihres eigenen Accounts ausgeschlossen."

    Ich finde es auch sehr misslungen und sehr schlecht kommuniziert...
    Jetzt erstelle ich halt Postfächer mit Weiterleitungen, damit ich den Token abgreifen kann wenn ich mich kümmern muss, aber meine Eltern ihre Rechnung nach wie vor selbst bekommen ..... irgendwie blöd...


    Was passiert wenn ein Webhosting gesperrt wird? Funktionieren Mails dann noch?

    Ich lasse alles von netcup tatsächlich via gmail laufen, welches es dann automatisch auf mein Postfach weiterleitet.
    Da von mir hier alles gehostet ist, also Domain, (Mail-)Server ist das der beste Weg. Sollte ich nämlich hier den Zugriff verlieren: Meine gmail bleibt bestehen.

    Kann ich nur empfehlen das ebenfalls so zu machen
    Edit: Oder natürlich ein anderer externer Mailanbieter, welcher ggf. auch Datenschutztechnisch besser ist als der ABC Konzern.

    Das Postfach hatte ich halt noch rum trümmern 😅

    Quote from Homwer

    Ich finde es auch sehr misslungen und sehr schlecht kommuniziert...

    Dem stimme ich zu!
    Ich saß gestern (hyperfokusiert) vorm Rechner und musste nebenbei ins CCP. Ich habe es im ersten Moment gar nicht geblickt welch Prozedere von mir verlangt wurde zum einloggen. Klar konnte ich mich einloggen. Aber über die Änderung ohne zu vorige Ankündigung war ich dennoch verwundert.

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

    Like 3

    Die E-Mail Adresse die im CCP hinterlegt ist, sollte aber auch nicht auf den eigenen Netcup Produkten laufen. Das sagt der gesunde Menschenverstand.

    Ein Mensch hat zwei Beine, ein Regenwurm hat keine.

    Like 4

    [netcup] Alexander W.: Was ich beim Umstellen auf 2FA vermisst habe, ist die Möglichkeit, Backup-Codes zu generieren, wie es bei Mitbewerbern eigentlich Standard ist. Wenn man also nicht mindestens zwei Tokengeneratoren mit sich führen kann und einer fällt aus (Beispiel: Geräteverlust), steht man hier vor einem Problem, solange ein zweiter Tokengenerator nicht kurzfristig erreichbar/einrichtbar ist.

    Auch die einmalige Delegation von CCP-Aktionen an einen Dritten wird dadurch erschwert, weil man ja für derartige Fälle dort nicht gleich das "Secret" teilen oder im Nachgang durch ein neues ersetzen will.

    (Bei Implementation von Backup-Codes bitte daran denken, ein entsprechendes Logging zu implementieren (inkl. E-Mail-Benachrichtigung)!)


    EDIT: An dieser Stelle nochmal zur Erinnerung: Wenn man auf einem Smartphone sowohl einen Passwortmanager als auch "Google Authenticator" oder eine vergleich­bare App verwendet (sofern der Passwortmanager nicht auch TOTP-Funktionalität gleich mitbringt und man das "Secret" dort hinterlegt), hat man 2FA direkt wieder auf 1FA reduziert. Und schlimmstenfalls liegt dann das "Secret" gleich noch irgendwo (ggf. mitsamt Passwort) "in der Cloud".

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE

    Edited once, last by m_ueberall ().

    Like 6 Thanks 1 Confused 1