Posts by TomH

    Ich stimme dir zu, frage mich aber dann, warum das beim SCP noch nicht der Fall ist, sondern bisher "nur" beim CCP

    Ich denke das Problem hier könnte in der nicht ganz einfachen Umsetzung liegen. Das SCP soll ja unabhängig vom CCP durch einen Techniker genutzt werden können. Dort ist es dementsprechend nicht praktikabel eine E-Mail an den Zahlenden Kunden zu senden da dies der falsche Empfänger wäre.

    Man müsste also erst mal eine 2FA Lösung für das SCP implementieren (gibt es außer in Form des Sicherheitsmodus bislang ja gar nicht) und dann irgendwie die Kunden dazu bewegen diese auch einzurichten. Sei es die Möglichkeit zur Angabe einer separaten Adresse für den Empfang der Tokens für das SCP oder TOTP oder was auch immer.

    Selbst wenn man es in einer Übergangsphase ermöglicht 2FA für das SCP vom SCP aus einzurichten (ohne Bestätigung durch einen existierenden zweiten Faktor) so müsste man für eine 2FA Pflicht eigentlich irgendwann einen Cut-Off machen und dann muss der Kunde eingreifen wenn die Einrichtung bis dahin nicht passiert ist. Und informieren kann man über diesen Breaking Change nur den Kunden und nicht den Techniker weil es für diesen überhaupt keine Kontaktmöglichkeit gibt. Wenn es diese gäbe könnte man darüber ja auch einfach den 2FA Code direkt zustellen.


    Am Ende ist es eine Änderung welche einen aktiven Eingriff erfordert was man natürlich soweit wie möglich vermeiden möchte.

    Insofern ist die Situation beim SCP wohl leider schwieriger als beim CCP und verplichtende 2FA dort nicht der Fall. Wenngleich es sicherlich sinnvoll wäre. Ich denke das CCP war halt ein einfacher erster Schritt, ob Netcup weiter macht wird man sehen. Aber meine Aussage bezog sich auch nur auf das CCP.

    Für Netcup ist es im geschäftlichen Interesse das ihre Kunden gute Sicherheitspraktiken nutzen. Geklaute oder "gehackte" Passwörter und Accounts bedeuten Ärger mit Abuse, genervten Kunden, Kunden die gerne eine Wiederherstellung von xy wollen und das alles natürlich möglichst kostengünstig oder am besten kostenlos. Manche kommen vermutlich auch daher und wollen Geld für die Unannehmlichkeiten ...

    Das alles kann man drastisch reduzieren wenn man 2FA verplichtend macht. Was sie ja mit der Einführung der Code Mails effektiv gemacht haben. Ich denke schon das es Absicht ist das es nicht deaktivierbar ist. Denn es gibt vermutlich schon eine gute Schnittmenge zwischen denen mit schlechtem Passwort oder schlechter Passwort Lagerung und denen die von jeder Form von 2FA genervt sind. Und wenngleich es beim einzelnen vielleicht nie schief geht wird es über die Gesamtheit aller Kunden schief gehen.



    Was ich mir jedoch wünschen würde wäre die Unterstützung von FIDO2. Das würde es nochmal sicherer und einfacher machen für die Leute die ihren Account tatsächlich ordentlich absichern wollen. Einfach nur noch auf den YubiKey oder ein anderes Produkt einer anderen Marke drücken und schon hat man die Bestätigung. :)

    Hat jemand eine Idee, wie ich dieses verfluchte Sicherheitstoken töten kann ?

    Ich muss sagen ich finde deine Ausdrucksweise extrem unfreundlich und bedenklich.


    Mag ja sein das sie dich nerven aber trotzdem kein Grund pampig zu werden oder irgendwas "töten" zu wollen.

    Ich habe gerade nochmal nachgeschaut, und es wurde nun überarbeitet:



    Die erweiterte Validierung (Extended Validation) bietet zur Zeit die sicherste Form der Validierung an. Diese Zertifikate werden nur nach einer strengen Prüfung von der CA ausgestellt. Bei Klick auf das Siegel oder Schloss wird Ihr Firmenname im Zertifikat angezeigt. EV-Zertifikate schaffen damit noch mehr Vertrauen und eine deutliche Sicherheit für Ihre Besucher. Zertifikate mit EV werden für den Austausch von streng vertraulichen Informationen genutzt, z.B. von Geldinstituten.


    Super :thumbup:

    Auf den Seiten wo die EV Zertifikate zum Kauf angeboten werden ist die Rede davon, das man damit eine "grüne Adressleiste im Browser" erhält:


    Die erweiterte Validierung (Extended Validation) bietet zur Zeit die sicherste Form der Validierung an. Diese Zertifikate werden nur nach einer strengen Prüfung von der CA ausgestellt. Belohnt wird dieses mit einer grünen Adresszeile auf der Seite des Websitennutzers. Mit dieser deutlich sichtbaren Veränderung versichern Sie Ihren Kunden, dass Sie den Schutz ihrer Daten sehr Ernst nehmen. Zertifikate mit EV werden für den Austausch von streng vertraulichen Informationen genutzt, z.B. von Geldinstituten.

    Thawte SSL Webserver EV ist die Zertifikatslösung mit Extended Validation von Thawte. Websites mit einem EV Zertifikat, sorgen für eine grüne Adressleiste im Browser.

    GeoTrust TrueBusinessID EV ist ein Zertifikat, dass nach einer strengen und vollständigen Authentifizierung Ihrer Firma und der Internetseite ausgestellt wird. Ihre Besucher bekommen dieses durch eine grüne Adressleiste angezeigt. Dies sorgt für ein hohes Maß an Vertrauen bei den Besuchern Ihrer Internetseite.


    Da aber nun ja schon länger sowohl Firefox als auf Chrome diese nur noch nach einem "Klick auf das Schloss" anzeigen, wäre es vielleicht mal an der Zeit das anzupassen, da ein sehr großer Teil der Nutzer diese besondere Hervorhebung eben nicht mehr sehen dürfte.


    Quelle dazu: https://www.golem.de/news/exte…vorheben-1908-143151.html



    Viele Grüße

    Tom