ID Austria

xtrm

social assassin

Registered: Jul 2002
Location:
Posts: 12236

29.09.2024 - 11:04

2FA mit SMS ist halt so mit das Unsicherste, was man haben kann.

böhmi

Administrator
Spießer

Registered: May 2004
Location: Wels Land
Posts: 4777

29.09.2024 - 11:05

Unsicherer als 2FA per E-Mail?

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

29.09.2024 - 11:10

Kommt auf den case drauf an. Und unsicher ist halt relativ. Gibt x Varianten wo der 2nd factor irgendwo abgebildet ist.
Klar, Amis haben sms als mfa schon vor Jahren deprecated. Aber Alternativen sind teuer. SMS mfa versteht jeder. Gemeinsam mit einem guten Passwort + zeitlich sehr stark eingeschränkter gültigkeitsdauer ist’s dennoch besser als sms token alleine oder Passwort alleine.

Was ist die kritischste Aktion die man mit id Austria durchführen kann?
Alles rund um Grundbuch/besitztümer braucht auch eine Willenserklärung durch den Notar, damit der Enkel nicht die Wohnung der Oma vercheckt.

voyager

banned by viper780

Registered: Nov 2001
Location: offline
Posts: 4581

29.09.2024 - 11:19

Zitat aus einem Post von mat
FIDO funktioniert leider selten und man merkt, dass hier kein Fokus gesetzt wird, weil es für den Mainstream keine greifbare Lösung ist.

Face Recognition ist derzeit noch nicht so verbreitet und teilweise noch unsicherer als Thumbprint; abhängig von der Implementierung.

also ich hab in den letzten 2 Jahren kein einziges Problem mit Fido gehabt, das ist direkt im ID Austria Login Prozess implementiert, da brauchst keine Fremdapp,…. Das geht bei jeder ID Austria Anwendung, egal ob Finanzamt, „Handysignatur“, ÖGK, SVS, Gemeinde, Krankenhaus(Kages zb),…. Und ich verwende es überall regelmäßig.

Und ja, Face ID ist bei Android Geräten wie Samsung vorallem unsicher, da sich die nach wie vor teils mit Fotos noch entsperren lassen (Samsung ein bekanntes Thema seit vielen Jahren). Bei IOS ging das nie, da die einen 3D Scan machen

dio

Here to stay

Registered: Nov 2002
Location: Graz
Posts: 5013

29.09.2024 - 11:20

Die Face ID Funktion vom Pixel 4 galt doch auch als sicher? Wurde aber leider wieder gekübelt

.

voyager

banned by viper780

Registered: Nov 2001
Location: offline
Posts: 4581

29.09.2024 - 12:11

Zitat aus einem Post von dio
Die Face ID Funktion vom Pixel 4 galt doch auch als sicher? Wurde aber leider wieder gekübelt .

Weiss ich leider nicht. Hab ich da zu wenig verfolgt.

Zum Thema Samsung:

Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google.

charmin

Vereinsmitglied
stay classy!

Registered: Dec 2002
Location:
Posts: 16347

29.09.2024 - 12:40

Zitat aus einem Post von xtrm
2FA mit SMS ist halt so mit das Unsicherste, was man haben kann.

kommt ned eh dieser neue messaging standard statt sms ?

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 52456

29.09.2024 - 13:16

Zitat aus einem Post von charmin
kommt ned eh dieser neue messaging standard statt sms ?

Wird RCS von allen sauber unterstützt?
So viele mehr Sicherheit bringt der aber meins Wissens nicht

voyager

banned by viper780

Registered: Nov 2001
Location: offline
Posts: 4581

29.09.2024 - 14:37

Zitat aus einem Post von Viper780
Wird RCS von allen sauber unterstützt?

Österreich noch nicht wirklich. Magenta zb unterstützt nur Android. Das liegt daran, dass Magenta keinen RCS Messaging Server betreibt(wie es im Standard eigentlich vorgesehen ist), sondern einen Server , der von Google bereitgestellt ist, nutzt. Somit ist IOS ausgesperrt, und Magenta muss mal eine Standardkonforme Serverstruktur aufbauen.

A1 , 3 weiss ich es leider nicht wie da der stand ist.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

29.09.2024 - 15:34

Zitat aus einem Post von charmin
kommt ned eh dieser neue messaging standard statt sms ?

Nicht absehbar tbh. In Amerika mehr ein Thema. In Europa sieht es noch ganz schwach aus bei den providern. Also wirklich heiß sind sie nicht drauf in die infra zu investieren. Ich aber auch nicht: sie können es wie mms kostenpflichtig machen und damit ist es gelaufen. MFA via WhatsApp wird da eher etwas. Aber schlag das mal in .at vor. Hier will man bei den unnötigen usecases alles selbst bauen und sich ja unabhängig von den .us Firmen aufstellen.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 52456

29.09.2024 - 18:05

Finde ich bei kritischer Infrastruktur wie eine sichere Authentifizierung auch wichtig dass wir da selbst die Hand drauf haben.

Ich verwende WhatsApp auch nur sehr reduziert. 2FA über Signal können wir reden

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

29.09.2024 - 20:53

Zitat aus einem Post von Viper780
Finde ich bei kritischer Infrastruktur wie eine sichere Authentifizierung auch wichtig dass wir da selbst die Hand drauf haben.

Ich verwende WhatsApp auch nur sehr reduziert. 2FA über Signal können wir reden

Kritische Infrastruktur id Austria? So wie das beinand ist, ist mfa das geringste Problem.
Im Bereich der kritischen infra läuft defacto alles auf .us code und Hardware. Genau das meine ich. Da wird die Flughöhe massiv verpasst. MFA tokens via WhatsApp (und ja, gerne auch Alternativen), macht das Kraut nicht fett aber weltweit nutzbar und deutlich weniger mitm anfällig als sms. Wobei ich wie gesagt bei SMS das große Drama nicht sehe als mfa tbh.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 52456

29.09.2024 - 21:05

Es gibt gute Gründe warum man SMS nicht (dafür) nutzen sollte https://www.ccc.de/de/updates/2024/2fa-sms
Aber besser als kein zweiter Faktor ist es alle mal.

Mit der id Austria kannst sehr viele Rechtsgeschäfte abschließen. Wenn das nicht kritisch ist was dann?

Und ja ich finde es auch bedenklich dass wir in Europas keine Hyperscaler haben und jegliches SaaS Angebot auf Azure, AWS, Alibaba Cloud oder GCP läuft.
Noch schlimmer finde ich den Vormarsch der Cloudprovider und SaaS Angebote

Bei Banken oder Versicherungen könnte man annehmen dass es deren Business ist die Daten in eigenen Rechenzentren sicher zu verwahren

hynk

Vereinsmitglied
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 11088

30.09.2024 - 13:37

Zitat aus einem Post von mat
Ich verwende immer die Webapp von A-Trust: https://www.a-trust.at/pdfsign/

Die WebApp benotigt mehr Schritte. PDF-Over ist etwas komfortabler und erlaubt es schneller viele PDFs zu signieren. Eine elegante Lösung für Bulk Signatures fehlt mir noch.

voyager

banned by viper780

Registered: Nov 2001
Location: offline
Posts: 4581

30.09.2024 - 16:43

Weils zum Thema passt.

Yubikey hat wohl ne „kleine“ Lücke, deswegen können die nicht mehr mit der ID Austria verknüpft werden. Andere Hersteller gehen weiterhin neu zu verknüpfen.

https://www.a-trust.at/de/%C3%BCber...05_de_post.html

xtrm social assassin Registered: Jul 2002 Location: Posts: 12236	29.09.2024 - 11:04 2FA mit SMS ist halt so mit das Unsicherste, was man haben kann.
böhmi Administrator Spießer Registered: May 2004 Location: Wels Land Posts: 4777	29.09.2024 - 11:05 Unsicherer als 2FA per E-Mail?
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	29.09.2024 - 11:10 Kommt auf den case drauf an. Und unsicher ist halt relativ. Gibt x Varianten wo der 2nd factor irgendwo abgebildet ist. Klar, Amis haben sms als mfa schon vor Jahren deprecated. Aber Alternativen sind teuer. SMS mfa versteht jeder. Gemeinsam mit einem guten Passwort + zeitlich sehr stark eingeschränkter gültigkeitsdauer ist’s dennoch besser als sms token alleine oder Passwort alleine. Was ist die kritischste Aktion die man mit id Austria durchführen kann? Alles rund um Grundbuch/besitztümer braucht auch eine Willenserklärung durch den Notar, damit der Enkel nicht die Wohnung der Oma vercheckt.
voyager banned by viper780 Registered: Nov 2001 Location: offline Posts: 4581	29.09.2024 - 11:19 Zitat aus einem Post von mat FIDO funktioniert leider selten und man merkt, dass hier kein Fokus gesetzt wird, weil es für den Mainstream keine greifbare Lösung ist. Face Recognition ist derzeit noch nicht so verbreitet und teilweise noch unsicherer als Thumbprint; abhängig von der Implementierung. also ich hab in den letzten 2 Jahren kein einziges Problem mit Fido gehabt, das ist direkt im ID Austria Login Prozess implementiert, da brauchst keine Fremdapp,…. Das geht bei jeder ID Austria Anwendung, egal ob Finanzamt, „Handysignatur“, ÖGK, SVS, Gemeinde, Krankenhaus(Kages zb),…. Und ich verwende es überall regelmäßig. Und ja, Face ID ist bei Android Geräten wie Samsung vorallem unsicher, da sich die nach wie vor teils mit Fotos noch entsperren lassen (Samsung ein bekanntes Thema seit vielen Jahren). Bei IOS ging das nie, da die einen 3D Scan machen
dio Here to stay Registered: Nov 2002 Location: Graz Posts: 5013	29.09.2024 - 11:20 Die Face ID Funktion vom Pixel 4 galt doch auch als sicher? Wurde aber leider wieder gekübelt .
voyager banned by viper780 Registered: Nov 2001 Location: offline Posts: 4581	29.09.2024 - 12:11 Zitat aus einem Post von dio Die Face ID Funktion vom Pixel 4 galt doch auch als sicher? Wurde aber leider wieder gekübelt . Weiss ich leider nicht. Hab ich da zu wenig verfolgt. Zum Thema Samsung: Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google.
charmin Vereinsmitglied stay classy! Registered: Dec 2002 Location: Posts: 16347	29.09.2024 - 12:40 Zitat aus einem Post von xtrm 2FA mit SMS ist halt so mit das Unsicherste, was man haben kann. kommt ned eh dieser neue messaging standard statt sms ?
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 52456	29.09.2024 - 13:16 Zitat aus einem Post von charmin kommt ned eh dieser neue messaging standard statt sms ? Wird RCS von allen sauber unterstützt? So viele mehr Sicherheit bringt der aber meins Wissens nicht
voyager banned by viper780 Registered: Nov 2001 Location: offline Posts: 4581	29.09.2024 - 14:37 Zitat aus einem Post von Viper780 Wird RCS von allen sauber unterstützt? Österreich noch nicht wirklich. Magenta zb unterstützt nur Android. Das liegt daran, dass Magenta keinen RCS Messaging Server betreibt(wie es im Standard eigentlich vorgesehen ist), sondern einen Server , der von Google bereitgestellt ist, nutzt. Somit ist IOS ausgesperrt, und Magenta muss mal eine Standardkonforme Serverstruktur aufbauen. A1 , 3 weiss ich es leider nicht wie da der stand ist.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	29.09.2024 - 15:34 Zitat aus einem Post von charmin kommt ned eh dieser neue messaging standard statt sms ? Nicht absehbar tbh. In Amerika mehr ein Thema. In Europa sieht es noch ganz schwach aus bei den providern. Also wirklich heiß sind sie nicht drauf in die infra zu investieren. Ich aber auch nicht: sie können es wie mms kostenpflichtig machen und damit ist es gelaufen. MFA via WhatsApp wird da eher etwas. Aber schlag das mal in .at vor. Hier will man bei den unnötigen usecases alles selbst bauen und sich ja unabhängig von den .us Firmen aufstellen.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 52456	29.09.2024 - 18:05 Finde ich bei kritischer Infrastruktur wie eine sichere Authentifizierung auch wichtig dass wir da selbst die Hand drauf haben. Ich verwende WhatsApp auch nur sehr reduziert. 2FA über Signal können wir reden
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	29.09.2024 - 20:53 Zitat aus einem Post von Viper780 Finde ich bei kritischer Infrastruktur wie eine sichere Authentifizierung auch wichtig dass wir da selbst die Hand drauf haben. Ich verwende WhatsApp auch nur sehr reduziert. 2FA über Signal können wir reden Kritische Infrastruktur id Austria? So wie das beinand ist, ist mfa das geringste Problem. Im Bereich der kritischen infra läuft defacto alles auf .us code und Hardware. Genau das meine ich. Da wird die Flughöhe massiv verpasst. MFA tokens via WhatsApp (und ja, gerne auch Alternativen), macht das Kraut nicht fett aber weltweit nutzbar und deutlich weniger mitm anfällig als sms. Wobei ich wie gesagt bei SMS das große Drama nicht sehe als mfa tbh.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 52456	29.09.2024 - 21:05 Es gibt gute Gründe warum man SMS nicht (dafür) nutzen sollte https://www.ccc.de/de/updates/2024/2fa-sms Aber besser als kein zweiter Faktor ist es alle mal. Mit der id Austria kannst sehr viele Rechtsgeschäfte abschließen. Wenn das nicht kritisch ist was dann? Und ja ich finde es auch bedenklich dass wir in Europas keine Hyperscaler haben und jegliches SaaS Angebot auf Azure, AWS, Alibaba Cloud oder GCP läuft. Noch schlimmer finde ich den Vormarsch der Cloudprovider und SaaS Angebote Bei Banken oder Versicherungen könnte man annehmen dass es deren Business ist die Daten in eigenen Rechenzentren sicher zu verwahren
hynk Vereinsmitglied like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 11088	30.09.2024 - 13:37 Zitat aus einem Post von mat Ich verwende immer die Webapp von A-Trust: https://www.a-trust.at/pdfsign/ Die WebApp benotigt mehr Schritte. PDF-Over ist etwas komfortabler und erlaubt es schneller viele PDFs zu signieren. Eine elegante Lösung für Bulk Signatures fehlt mir noch.
voyager banned by viper780 Registered: Nov 2001 Location: offline Posts: 4581	30.09.2024 - 16:43 Weils zum Thema passt. Yubikey hat wohl ne „kleine“ Lücke, deswegen können die nicht mehr mit der ID Austria verknüpft werden. Andere Hersteller gehen weiterhin neu zu verknüpfen. https://www.a-trust.at/de/%C3%BCber...05_de_post.html

ID Austria

Forum Index > Digital Life > Internet & Provider

xtrm

böhmi

Smut

voyager

dio

voyager

charmin

Viper780

voyager

Smut

Viper780

Smut

Viper780

hynk

voyager