> Das sehe ich anders. netcup kann die Stärke deines Passwortes ja nicht beurteilen.
Das stimmt nun gar nicht. Bei jeder Anmeldung die auch ein Passwort verwendet, wird das Passwort an Netcup gesendet.
Zumindest ist das die uebliche Methode, ist dir schon einmal aufgefallen dass viele Webseiten die Pruefen:
- Wie lange das Passwort ist
- Ob es verschiedene Kombinationen an Zeichen enthaelt
- Und vielleicht hast du dich auch schon auf einer Webseite angemeldet, die dir gesagt hat, wie stark dein Passwort ist.
2FA ist gar nicht so viel sicherer wie Passwoerter. Denn wenn man unsicher mit seinen Faktoren umgeht, ist alles unsicher.
Im einfachten Fall ist es einfach nur ein zweites, kodiertes Passwort, das sogar der Provider in derselben Kodierten form hat wie deine 2FA-App.
Im besseren Fall ist es eben eine Mail, aber wenn du dein Passwort auch fuer dein Email-Postfach verwendest, und ein Angreifer das eine hat, hat er auch das andere.
Dann hat die ganze 2FA nichts genutzt.
> Und wenn es zu Missbrauch kam, dann müssen sie reagieren, schon aufgrund der regulatorischen Vorgaben.
Soso. Und wieso haben dann andere grosse Cloud-Provider noch immer das Angebot, ein sicheres Passwort statt 2FA zu verwenden?
OCI zum Beispiel macht das so:
The password must have at least 12 characters. The password cannot exceed 40 characters. The password cannot contain the First Name of the user. The password cannot contain the Last Name of the user. The password cannot contain the user name. The password must have at least 1 lowercase characters. The password must have at least 1 uppercase characters. The password must have at least 1 numeric characters. Cannot repeat last 4 passwords
Und natuerlich prueft Oracle das.
Und beim Einloggen muss man in einem Fixen Intervall das Passwort aendern.
