Finde ich es nur nicht oder hat das Finanzprodukt im Jahre 2023 noch keine 2-Faktor-Authentifizierung?
Was genau meinst du? Geht es um die Anmeldung an WISO Mein Geld oder um die Abholung der Umsätze deiner Konten?
Was genau meinst du? Geht es um die Anmeldung an WISO Mein Geld oder um die Abholung der Umsätze deiner Konten?
Das würde mich auch interessieren. 
Wozu auch immer eine 2FA für die Anmeldung an MG gut sein sollte...
Man kann es auch "über-sicher" machen. Die Software ist auf meinem PC installiert, den kann ich mit Password sichern. Den Softwarestart kann ich mit einem Password sichern. Für Kontenabrufe brauche ich eine PIN, die habe ich im Kopf und für Überweisungen brauche ich zusätzlich eine TAN, die mir aufs Handy geschickt wird. Wenn nun noch jemand eine 2FA fordert, um das Programm zu starten, dann ist das IMHO schon etwas übertrieben.
Wozu auch immer eine 2FA für die Anmeldung an MG gut sein sollte...
Du verkennst den Nutzen. Wenn jetzt bei mir zu Hause jemand einbricht, meinen Rechner hochfährt und versucht Mein Geld zu starten, dann bekomme ich eine Pushnachricht für den 2 Faktor auf mein Handy und weiß bei mir wird gerade eingebrochen. 
Finde ich es nur nicht oder hat das Finanzprodukt im Jahre 2023 noch keine 2-Faktor-Authentifizierung?
Und jetzt mal Spaß beiseite, 2FA macht nur für Systeme Sinn, die öffentlich erreichbar sind, also eben z.B. Webportale.
LG
Du verkennst den Nutzen. Wenn jetzt bei mir zu Hause jemand einbricht, meinen Rechner hochfährt und versucht Mein Geld zu starten, dann bekomme ich eine Pushnachricht für den 2 Faktor auf mein Handy und weiß bei mir wird gerade eingebrochen.
Da hast Du allerdings recht.
Und jetzt mal Spaß beiseite, 2FA macht nur für Systeme Sinn, die öffentlich erreichbar sind, also eben z.B. Webportale.
Genau, dafür ist das Ganze gedacht. Und streng genommen gibt es aber auch in diesem Fall bereits die 2FA. Faktor 1 = Besitz (der Datenspeicher mit der MG Datenbank) und Faktor 2 = Wissen (das PW für den Datenbankzugang beim Programmstart, sofern man den 2Faktor aktiviert hat).
Windows und Keepass übrigens 100% offline.
Das stimmt so nicht in ganz. Beide sind erstens darauf ausgelegt auch online genutzt zu werden und Windows hat 2FA nur mit einem Account und der ist online.
Nur Mein Geld hat von den genannten Programmen generell keine Daten in der Cloud.
Du vergleichst also Äpfel mit Birnen.
Abgesehen davon, wenn dein Windows doch schon 2FA gesichert ist, warum dann auch noch mal die Software innerhalb? Andersrum gefragt, wie sieht der konkrete Angriffsvektor aus, den du absichern kannst wenn Mein Geld 2FA hat?
LG
Hallo,
weil hier doch mehr Leute diese Diskussion lesen möchte ich doch mal so ein paar grundsätzliche Fakten darstellen.
Vorweg: Ich bin IT Profi und geteilter Meinung.
2FA = Zwei Faktor Authentifizierung. Oder anders gesagt: Um einen Dienst nutzen zu können, brauche ich zwei nicht öffentliche Sachen um eben den Dienst nutzen zu können. Also Benutzername und Passwort alleine reichen nicht aus.
Mal etwas anders gedacht: Bei der Bankingsoftware brauche ich die Datei und ein Passwort. Zwei Sachen um einen Dienst nutzen zu können. Ja, wenn man die Datei hat, dann kann man einen Bruce-Foce-Angriff machen. Wie lange ist das Passwort und wie lange dauert dann der Angriff?
Datenschutz und Datensicherheit: Ich soll natürlich Backups machen, und ich reden nicht von MG Backup. Muss jetzt hier zusätzliche Sicherheit eingebaut werden, das bei Verlust des Backups die Daten der Bankingsoftware sicher aufbewahrt wird? Nein, denn das Backup muss ja gesichert werden. Brauche ich dann für das Backup auch wieder 2FA? Lassen wir die Diskussion lieber.
Also erst mal bin ich nicht dafür hier etwas zu ändern.
TOTP, HOTP, … vs. KeePass und sehr lange Passwörter: Ein sehr langes Passwort kommt nicht an die Sicherheit von modernen Authentifizierungsmethoden ran, doch mir ist nicht bekannt, das ein sehr langes, kryptisches Passwort unsicher ist (Verlust ausgenommen). Der normale Mensch nutzt nur kein Keepass und will somit nicht ganz lange Passwörter haben. Er will sie auch nicht regelmäßig ändern. Hier helfen eben die modernen Authentifizierungsmethoden, wenn denn der normale Anwender es dann auch nutzen würde.
Wer aber mit KeePass alle 30 Tage sein 128-Zeichen Passwort ändert und seine Datei dazu auf einem verschlüsselten USB Stick speichert, der nur kurzzeitig angesteckt ist, der sollte doch sicher sein.
Aber: Will ich noch Passwörter haben? 2FA ist auch Fido2 und Passkey. Ich teste derzeit intensiv Yubikey (https://www.yubico.com/products/), den Google Titan-Sicherheitsschlüssel (https://store.google.com/de/pr…sku=_titan_key_k52t&hl=de) bzw. Passkey über Windows Hello, welches ja über TPM gesichert ist (wenn TPM aktiv ist). Übrigens das gleiche, was die Smartphone Nutzer bereits nutzen. Selbst wenn man „nur eine PIN“ nutzt wird nur der Sicherheitschip freigegeben und die PIN ist nicht das Passwort für einen Dienst.
Es wäre also schon eine schöne Option wenn hier MG mehr unterstützen könnte. Windows Hello PIN und drin.
Mein persönliches, derzeitiges Fazit: Ich will keine Passwörter mehr und liebe Windows Hello, auch wenn ich die Nachteile kenne. Beim Smartphone nutze ich es ja auch.
Lasst uns jetzt aber nicht hier über die verschiedenen Authentifizierungsmethoden, den Vor- und Nachteilen diskutieren. Oder wie ist das Angriffsszenario? Selbst Windows kann angegriffen werden, wenn es offline ist. Wie oft sind schon Daten von vermeintlich defekten Festplatten wieder aufgetaucht? Deshalb setzt man ja immer mehr auf Festplattenverschlüsselungen. Wir haben alle unterschiedliche Anforderungen und sehen es berechtigt unterschiedlich. Auch ich werde weiterhin Passwörter mit Keepass und TOPT nutzen. Zusätzlich zu den anderen Technologien.
Und jeder der von MG mehr erwartet, soll doch einfach eine Feature-Request beim Buhl Support einreichen. Nur so wird der Bedarf transparent ob jetzt TOTP, Windows Hello und/oder Passkey gewünscht wird. Ich werde ihn nicht stellen, denn ich will hier keine Abhängigkeit von Hardware und meiner wichtigen Banksoftware, die in einer eigenen VM, quasi in einer Sandbox läuft. Und als Backup brauche ich ja wieder einen Wiederherstellungsschlüssel, einen zweiten USB Stick, … .
Jetzt hoffe ich mit dem langen Vortrag die Foren Regeln eingehalten zu haben und nicht eine Diskussionsflut auszulösen. Fehler seien mit bitte verziehen und alle Angaben sind ohne Gewähr.
