netcup Sicherheitstoken

  • Nun, wenn man nix bestellen kann, dann liegt die Priorität zur Behebung dieses bugs sicher recht weit oben auf der todo-Liste von netcup. ;)

    Formal geschlossen wegen Reichtum ;)

    Wir Serverhoarder machen sicher genug Umsatz :D

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

  • Wollte ihm App einrichten und gefragt, welche verschlüsselten Mail-Server verwendet werden: hatte natürlich keine Ahnung und daher den Provider angerufen. Dieser wiederum meinte, TLS gäbs nur gegen Aufpreis =O WTF? Gesundheitsdaten!

    Sag bitte das es im Jahr 2000 oder 2001 war... o.o

    RS Eggnog | VPS 1000 G10 | VPS 1000 G10 SE | VPS piko G11s | VPS nano G11s | VPS mikro G11s | Webhosting 4000 NUE ADV23

    Haha 1
  • Wunsch: bitte im CCP eine Möglichkeit schaffen das ich mich mit meinem CCP login bei meinen Kunden hinterlegen kann und dann von meinem 2FA geschützen Konto direkt auf alle Kundenkonten drauf komme, sofern die mich als Admin hinterlegt haben. Danke

  • Es wird nicht mehr zu https umgeleitet. Siehe http://www.customercontrolpanel.de/ und http://ccp.netcup.de/.


    Hab vor einer Woche schon ein Ticket aufgemacht (NCSUP-270416). Bisher kam aber nur

    zurück. Unaufmerksame Kunden in öffentlichen WLANs werden sich bedanken.

    Hallo Virinum,


    vielen Dank, dass du uns darauf aufmerksam machst.


    Wir haben dies nun behoben.


    Ich wünsche ein schönes Wochenende.

  • Ich selbst verwalte für ein paar Freunde/Vereine ein paar Pakete (Webhosting) und bin jetzt auch erst mal 'draußen', da natürlich die Besitzer die Personen selbst sind.


    Oh Netcup, die 2fa Lösung die Ihr hier 'selbst' verbockt habt, ist genau das was man bei einer Einführung einer MFA-Lösung vermeiden sollte: Leute 'gängeln' und halbgaren RollOut- und Recovery-Prozess entwerfen.


    Ich selbst hatte schon das vergnügen, das mir mein 2fa bei Netcup abhanden gekommen ist und Netcup meinte 5€ ist ein völlig gerechtfertigter Preis für die Wiederherstellung! Mal abgesehen das ein automatisierter Prozess zum versenden von Briefen, an die Adresse in den Stammdaten, vermutlich unter 1€ kostet, gibt es hier noch andere Möglichkeiten.


    Es gibt so schöne Lösungen und Möglichkeiten das sinnvoll zu machen. Wenn ich diese Art Prozess meinen bisherigen Kunden empfohlen hätte, würden die mich wahrscheinlich schon geteert und gefedert haben. Ich muss dazu sagen, das ich Hauptberuflich IT-Berater für MFA-Lösungen bin...


    Bitte überdenkt noch einmal die MFA-Lösung und stellt wenigstens eine Möglichkeit bereit, das man zusätzlicher Benutzer für das CCP anlegen kann. Die können dann ja Ihren eigenen Token besitzen.


    Aktuell hilft mir nur den 2fa 'auszuhebeln' und den Barcode / das Secret zu speichern und damit den Token zu vervielfältigen... Das ist ja eigentlich genau das, was man nicht machen sollte.

  • Hmmm. Ich habe ja jetzt 2FA für meinen Privataccount aktiviert.

    Wenn ich das jetzt für den Geschäftsaccount auch machen will, kommt der Google-Authentificator damit klar? Oder kann der keine zwei von netcup auseinanderhalten?

  • Ich hab das auch zum Anlass genommen 2FA zu aktivieren, also sogesehen ein voller Erfolg der Aktion von Netcup, auch wenn mir dieser "Zwang" (also entweder Token per E-Mail oder 2FA aktivieren, aber nicht "keines von beiden" mehr möglich) nicht gefällt.


    Ürbigens, wenn ich Google Authenticator lese, dann wird mir eher <X (Tut nicht nötig, bei sowas auch noch MS oder Google zu nutzen)
    Zumindest auf Android gibt es genug Alternativen.
    Ich kann auf Android den "Aegis Authenticator" empfehlen, den gibts bei F-Droid und im Google Play Store.

    Die App ist mittels Passwort / Biometrie gesichert , die Datenbank ist dann verschlüsselt gespeichert, diese lässt sich exportieren (auch im Klartext, wenn gewollt), Backup-Funktion gibt es auch.

  • otpclient und otpclient-cli funktionieren auch unter Linux.

    Man muss halt den qr-Code screenshotten und mit einem Barcode-/qr-Codescanner auslesen, dann hat man alles, was man braucht.


    Da wäre es nett, wenn das CCP beim Aktivieren des 2FA gleich noch ein PDF mit dem Code anlegen würde. Per Mail muss es ja nicht gerade verschickt werden, aber es downloaden zu können (mit QR und Klartext der totp-Url), wäre schon eine Erleichterung.

  • Ich finde es ziemlich schade, dass man plötzlich zur 2FA gezwungen wird und wünsche mir die Option, dies zu deaktivieren. Neben der bereits zuvor genannten Vielzahl an Problemen und Schwierigkeiten, die der 2FA-Zwang mit sich bringt, möchte ich noch ein weiteres Problem nennen.


    Wenn ich bspw. in phpMyAdmin arbeite, erfolgt ein automatischer Logout nach gewisser Zeit, ungeachtet meiner tatsächlichen Aktivität. Hier ist man wohl der Meinung, alle 30 Minuten einmal ausgeloggt werden zu müssen. Nicht gespeicherte Änderungen gehen zu diesen Zeitpunkten selbstverständlich verloren.


    Der Prozess des erneuten Logins und der Navigation zu phpMyAdmin und dem Wiederholen der verlorengegangenen Arbeit kostet mich jedes mal unnötig Zeit und Nerven. Bitte geht dieses Problem umbedingt an, liebes netcup Team!


    Zurück zur 2FA: wenn man hier der Meinung ist, die Kunden dazu zwingen zu müssen und zu bevormunden, dann bitte mit einer besser durchdachten Lösung als der aktuellen. WIe wäre es damit, dass man vertrauenswürdige Geräte hinterlegen kann? Ich sehe keinen realen Merwert für die Sicherheit meines netcup-Kontos, wenn ich täglich in einem privaten, sonst abgeschlossenen Raum vor einem kennwortgeschützten Computer mit verschlüsseltem Laufwerk sitze und dann alle 30 Minuten via 2FA erneut bestätigen muss, dass wirklich ich der berechtigte Nutzer bin... Hier würde ich zugunsten einens praktikableren Worfklows die vermuteten "Risiken" in Kauf nehmen und darauf verzichten.


    Cheers,

    Tom

    Electrical engineer by profession, web dev by passion, musician at night.

    Like 5 Happy Duck 1
  • Sicherheit zu deaktivieren finde empfinde ich als keine gute Alternative.


    Klar wurde es im Vorfeld nicht gut kommuniziert. Aber dennoch kann man sich doch zumindest zur eignen Sicherheit einen temporären Token per Mail zusenden lassen.

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

    Like 1
  • Nehmen wir das Beispiel PayPal. Ich würde unterstellen, dass Sicherheit dort großgeschrieben wird. Dennoch erlaubt PayPal mir, meinen Computer als vertrauenswürdig zu markieren, sodass ich nicht täglich zehn mal die 2FA benutzen muss.


    Dieses Feature würde mir sehr weiterhelfen.


    Cheers


    Tom

    Electrical engineer by profession, web dev by passion, musician at night.

    Like 1
  • Wenn ich bspw. in phpMyAdmin arbeite, erfolgt ein automatischer Logout nach gewisser Zeit, ungeachtet meiner tatsächlichen Aktivität. Hier ist man wohl der Meinung, alle 30 Minuten einmal ausgeloggt werden zu müssen. Nicht gespeicherte Änderungen gehen zu diesen Zeitpunkten selbstverständlich verloren.

    Alternativ, wenn man es so viel und oft braucht, kannst du auch eine lokale Version installieren und darüber arbeiten.

    Dann gibt’s keinen Logout.

    Dafür muss die DB aber von extern erreichbar sein / oder du installierst das auf einem Webhosting.

  • Da bin ich auch dafür!

    Das bekommt selbst eine Hinterhof Bank hin.

    Ansonsten lasst mich selbst entscheiden ob ich das überhaupt möchte mit dem Token oder 2FA.

  • Ich könnte mir durchaus vorstellen, dass dieser Schritt eine verzweifelte Reaktion auf die diversen Phishing-Kampagnen der letzten Monate war. Wenn da pro Tag vielleicht dutzende CCP-Accounts von Unbekannten übernommen wurden...


    (Was nicht heißt, dass ich den Ärger der fehlenden Vorankündigung nicht nachvollziehen kann. Betrifft mich persönlich Dank 2FA aber nicht.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Like 4
  • Am Anfang waren viele verwundert da es spontan eingesetzt wurde ohne vorher zu kommunizieren.


    Jedoch müssten nach ein paar Tage mit Token die meisten von uns dran gewöhnt haben.


    Ente (Hommage an die Netcup Ente) gut, alles gut :!:

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

    Edited once, last by Borgqueen ().

    Happy Duck 2 Sad 1
  • Am Anfang waren viele verwundert da es spontan eingesetzt wurde ohne vorher zu kommunizieren.


    Jedoch müssten nach ein paar Tage mit Token die meisten von uns dran gewöhnt haben.


    Ente (Hommage an die Netcup Ente) gut, alles gut :!:


    Ja, das Kommunikationsdefizit war ärgerlich. Vor allem die mangelnde Information darüber, wie man das sinnvoll umstellt und das Fehlen eines downloadbaren QR-Codes/Secrets, respektive das Fehlen von Recovery-Methoden haben mich doch sehr verwundert und ich erhalte diese Kritik weiter aufrecht, auch, wenn ich selbst mir helfen konnte und dabei etwas dazugelernt habe.


    „Aber Ende gut, alles gut“ möchte ich weiterhin nicht dazu sagen, weil es ja doch ein gehöriger Zeitaufwand ist, wenn auch andere involviert sind, wie im oben genannten Beispiel. Ich möchte nicht wissen, welchen Kostenaufwand das bei Menschen macht, die gewerblich 10 oder mehr Kundenaccounts mitbetreuen, nicht nur einen einzigen.


    Und da da bleibe ich auch beim Feature-Request [netcup] Alexander W.: „Tech-C“-Freigaben im CCP, damit technisch versierte Vertrauensleute bestimmte Berechtigungen im CCP mit ihrem eigenen Account delegiert bekommen können. Das ist sicher auch für Agenturen interessant, die auf Kundenaccounts Anpassungen vornehmen, dient aber ebenso dem Opa, dessen Enkerl ihm das Sogo oder die Domain einrichtet.

  • Also ich finde den Email Token absolut garnicht schlimm. Die Funktion is absolut simpel, die Email kommt ohne Verzögerung sofort im Postfach an anders als bei manch anderen Seiten die das auch so handhaben.

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Confused 1