Systemischer Irrsinn aka 2FA

Heute habe ich mein iPhone 15 Pro komplett zurückgesetzt, und zwar aus mindestens drei Gründen:

  1. Wenn man manche Apps löscht, weil man die damit verbundenen Benutzerdaten loswerden möchte, dann werden diese Benutzerdaten nicht mitgelöscht. Damit meine ich nicht den Zwischenspeicher (Cache), sondern grundlegende Kontodaten. Instagram zum Beispiel ist so ein Kandidat. Ich muss diese Konten aber neu eintragen, weil es mit der App vermehrt Bugs gab.
  2. Es gibt einen Bug auf meinem iPhone (und bei einigen, aber nicht allen Nutzern), die bei der Apple Watch dazu führen, dass verpasste Anrufe dauerhaft angezeigt werden. Die verschwinden erst, wenn man das kleine X im Kreis drückt. Jedes Mal. So ruft man aus Versehen den Anrufer zurück wenn man da ungünstig an die Taste kommt. Mich hat das bei drei verschiedenen Apple Watches und drei verschiedenen iPhones immer genervt, und ob der Bug jetzt verschwunden ist, kann ich nicht mehr nachprüfen, da ich mit den Apple Watches für mich abgeschlossen habe (haben keinen Mehrwert für mich und nerven eher). Jedenfalls: Dieser Bug wurde immer von einem Backup zum nächsten migriert. Und wenn man ein iPhone als neues iPhone einrichtet und nicht aus dem Backup wiederherstellen lässt, lädt einem Apple trotzdem die Gesundheitsdaten der letzten Jahre aufs frisch geplättete iPhone. Ist ja ganz nett und für viele sicherlich toll, nur: Ich möchte das nicht und setze es gerade zurück, um den Schrott an Daten loszuwerden.
  3. Die Problematik mit der Zwei-Faktor-Autorisierung wollte ich jetzt mal für mich durchspielen, weil ich neuerdings als IT-Admin arbeite und es diesen Fall immer wieder geben wird.

Zwei-Faktor-Autorisierung

An sich eine gute Idee: Es gibt ein zweites Gerät, meistens das persönliche Smartphone, auf dem eine App installiert ist und einen temporären Code erzeugt. Gab es früher in Form von Schlüsselanhängern, die einen Code erzeugt haben. Kennt man von der Einwahl in VPNs. Gibt es heuezutage für viele Dienste und ist eigentlich auch gut.

Dann letzte Woche die Nachricht bei HackerNews, dass es bei der beliebten 2FA-App “Authy” ab Mitte März 2024 keine Desktop-App mehr geben wird.

Sprich: Dein Handy fällt herunter, Du musst es ersetzten, benötigst zur Bestätigung von Konten neben Benutzernamen und Kennwort noch einen solchen Code, kannst ihn aber auf dem Handy nicht mehr erzeugen, weil das Handy nicht mehr funktioniert oder nicht mehr vorhanden ist. Was also tun?

Früher gab es dafür die App auf dem Computer. Auf einem zweiten Gerät also. Authy war beliebt, weil es die Verwendung der App unter verschiedenen Betriebssystemen und Endgeräten ermöglichte.

Und es ist kein Einzellfall. Fürs Online Banking, für die Krankenkasse, für irgendwelchen behördlichen Zugänge, für die Zahnzusatzversicherung, für dieses und alle weiteren Blogs, für Backups und zur Einwahl auf den Netzlaufwerken, zur Einwahl ins Firmen-VPN, ins Firmenkonto usw. – für all diese Dienste wird so eine App benötigt. Die Sicherheit unserer Benutzerkonten ist davon abhängig, dass so eine App von irgendwoher funktioniert.

Login-Schleifen

Und ich meine jetzt nicht uns Nerds. Wir haben oft einen Plan B, eine Absicherung in einem Passwortmanager, ausgedruckte Codes für solche Fälle, Kopien der Apps auf anderen mobilen Endgeräten (iPad, zweites iPhone, iCloud, usw.). Aber versucht mal bei jedem Durchschnittsnutzenden dieses 2FA-System zu etablieren. Wenn das nicht ausfallsicher und idiotensicher funktioniert, dann ist da Chaos vorprogammiert.

Ich hatte in meiner Selbstständigkeit im IT-Bereich viele ältere Kunden, die mit diesem neumodischen, mobile first / mobile only Ansatz total überfordert waren. Wie soll sich das alles noch entwickeln, wenn wir uns als Gesellschaft von solchen IT-Vorgaben systemisch so abhängig machen müssen?

Den Vogel schoss heute der MS Authenticator ab, der zur Einrichtung seiner selbst einen Code in seiner App anzeigen lassen wollte – die man aber gerade erst einrichtet! Es ist wie so viele Dinge bei Microsoft exemplarisch für das enorme Chaos bei diesem Saftladen, wo die Abteilungen untereinander alle ihr eigenes Ding machen und es einfach überhaupt kein einheitliches, stimmiges Konzept im Backend gibt. Als normaler Nutzer geht es noch, aber als Admin ist jedes Backend von Microsoft das reinste Chaos. Es ist auch schon besser geworden, aber viele Nutzenden werden sich vermutlich an die Login-Schleifen erinneren, die einem bei Teams & Co immer wieder vorgesetzt werden. Auch MS Teams ist aus meiner Sicht ein schlecht programmiertes Produkt. Es ist der Wahnsinn, dass die IT der Welt von der Experimentalsoftware von Microsoft abhängig ist. Wo soll das noch hinführen? Überhaupt, die meiste Software auf Computern empfinde ich mittlerweile als Beleidigung. Da waren wir früher wesentlich weiter! Schlanke Programme, die teilweise besser funktioniert haben. Im Grunde ist es wie bei den Autos: vom Kleinwagen zum SUV, der keinen Mehrwert bietet – außer dem Hersteller. Bloatware und SUVs, für die immer leistungsfähigere Computer und breitere Straßen gebaut werden müssen. Der systemische Wahnsinn!

RIP, Authy Desktop

Zurück zu Authy: Gibt es Alternativen? Ich suche eine 2FA-App, die sowohl mobil, als auch aufm Desktop unter Windows, OSX oder Linux läuft. So wie Authy bisher, das war ideal und gut. Leider werden gute Dinge immer zerstört. Ich weiß nicht wieso, denn es wird viele Nutzenden dazu führen, Authy zukünftig nicht mehr zu verwenden.

Eben wollte ich mich auf dem iPhone in Google Maps einloggen. Als erste App von Google. Die 2FA-Methode von Google schlägt mir vor, eine nicht installierte App zu öffnen, und dort “JA” zu tippen. Haha, sehr witzig. Ok, SMS? Geht nicht, weil zu unsicher und vor Jahren deaktiviert für Gmail. Aber ich habe Glück: Auf meinem Chromebook soll das wohl möglich sein.

Heißt im Klartext: Wer kein Zweitgerät zur Verfügung hat, kommt nur dann an seine Daten, wenn er die 2FA-Methode nur auf einem ganz einfachen Level verwendet, oder aber Backup-Codes eingibt. Das ist doch der totale Irrsinn!

Datentrennung

Mein iPhone derweilen: Ich bin gespannt, ob jetzt alle Bugs verschwunden sind. In iOS ist ja über die Jahre auch schon vieles verbessert worden. Es müsste aber auf allen Endgeräten die Möglichkeit geben, dass Apps und Benuzterdaten einheitlich getrennt werden und auf Knopfdruck der Ausgangszustand wiederhergestellt werden kann und die Benutzerdaten einzeln geladen werden können. Es ist derzeit alles noch miteinander zu verzahnt. Backups und deren Wiederherstellung sind möglich, aber es gibt keine klare Trennung. Gerade wo das Thema “Datensicherheit” so eine große Rolle spielt, müsste es eigentlich für Nutzende klar erkennbar sein, welche ihrer Daten wo liegen und was davon relevant ist bzw. dauerhaft gespeichert werden müsste und was nur temporär relevant ist.

Die meisten Nutzenden interessieren sich leider für all das nicht, die wollen nur, dass der Kram funktioniert und nicht nervt. Eigentlich will ich auch nur, dass es gut funktioniert, deswegen habe ich ja schon ein iPhone und kein Android Smartphone (als primäres Gerät), weil ich keine Lust auf den Einstellungszoo habe. Ich möchte aber eine klare Trennung der Daten auf den Geräten haben und dazu auch noch ein stimmiges Sicherheitssystem. Ohne Abhängigkeit von irgendwelchen Firmen, die ihre Geschäftsinteresseren vor die positive Benutzererfahrung (user experience) stellen.

Fazit

Für genau diesen systemischen Abfuck habe ich es auf mich genommen, das lang gepflegte Backup zu ignorieren und das iPhone als zentrales Mobilgerät komplett neu einzurichten. Muss man wollen und muss man sich zeitlich leisten können. Wenn ich keine Backup-Methoden hätte, um meine Identitäten zu bestätigen, dann wäre ich jetzt richtig verloren. Ich kenne genügend Nutzenden, die keine Passwortmanager haben, ihre drei Passwörter für alles verwenden, die bei jeder Passworteingabe raten müssen und die dazu mit ihren Geräten nicht so sorgfältig umgehen.

Und dafür, dass heutzutage ALLES von einem funktionierenden mobilen Endgerät abhängt, ist das Sicherheitskonzept für all diese Geräte erstaunlich schlecht und eindimensional. Wenn es läuft, dann gut. Aber wehe das Gerät ist nicht verfügbar/funktionsfähig, dann ist Ärger vorprogrammiert.

Genau da sehe ich ein riesiges Problem auf uns zukommen. Wir sind abhängig von diesem systemischen Abfuck. Wer keine gute Absicherung hat und sich da mal genau überlegt, wie was zusammenhängt und online oder offline gesichert wird, der wird irgendwann vor einem systemisch bedingten Datenverlust stehen.

Willkommen im Zeitalter des Kontrollverlustes.

 

Author: jke

Hi, I am an engineer who freelances in water & sanitation-related IT projects at Saniblog.org. You'll also find me on Twitter @jke and Instagram.

3 thoughts on “Systemischer Irrsinn aka 2FA”

    1. Es geht eben nicht um Passwortmanager, sondern um 2FA-Apps und a) deren Desktoptauglichkeit und b) dass die Alternativen zu den generierten Codes nicht alle so durchdacht sind. Bitwarden nutze ich aber auch im Browser und mobil, insofern: ja, läuft auf zwei unterschiedlichen Geräten. Für mich aber auch nur ein besseres LastPass und die Auth-Funktion kostet extra. Sicherheit darf auch gerne kosten, klar, aber das sehen sicherlich nur wir so.

      1. Oha, wusste gar nicht, dass 2FA extra kostet, ich hoste es selber da ich passwörter eh mit mehr als 2 Usern sharen möchte. Habe dort alle irrsinnigen Secrets hinterlegt und der 2FA kommt direkt via CTRL/CMD V rein. Synct auch perfekt zwischen Mobile-App, Desktop-App und Browser-Addon. Kritische Secrets sichere ich doppelt ab, derzeit noch in Google-Auth.

        Aber im Grunde gebe ich dir recht, auf Basis von TLR1/2;
        :-D

Comments are closed.