OAuth 2.0 in Planung? / Mehrere PW-Reset-Adressen? / 2-FA Recovery Keys?
Hallo,
Ein paar Fragen / Kritik:
1. Ist es geplant, OAuth 2.0 als Anmeldeoption für Apps zu implementieren?
Email-Apps wie Thunderbird, K9 etc. die Anmeldung via App-Passwort zu ermöglichen macht doch die ganze 2FA-Geschichte völlig obsolet. Das App-Passwort setzt ja gerade nicht auf einen Token und ist damit eine simple 1FA. Wird das App-Passwort also irgendwie ausgelesen, kann man sich damit vollständigen Zugang zum Account (Lesen und Schreiben von Emails) verschaffen. Was ist also überhaupt der Sinn einer 2FA-Anmeldung im Webmailer, wenn man gleichzeitig App-Passwörter verwendet, wodurch der 2FA-Schutz - wie eben erläutert - vollständig ausgehebelt wird? Viel schlimmer noch, dass das garnicht kommuniziert wird. Der nicht ganz so technikaffine User wiegt sich damit in völlig falscher Sicherheit, denn "er hat ja jetzt dieses 2FA, von dem alle sprechen". (Oder bin ich selbst der nicht ganz so technikaffine User und habe da etwas grundlegendes falsch verstanden?)
2. Wäre es möglich, mehrere Telefonnummern und Emails für den Passwort-Reset zu hinterlegen? Sollte technisch kein Problem sein und gibt Sicherheit. Danke!
3. Warum werden nicht zusätzlich Wiederherstellungs-Keys beim Einrichten der 2FA erstellt? (Alle Dienste die auf 2FA setzen, die mir bisher untergekommen sind, machen das so).
Es mag zwar sein, dass es immer noch schlimmer ist, wenn _andere_ unberechtigt Zugriff auf einen Email Account erhalten, aber die Gefahr sich _selbst_ auszusperren ist imho auch nicht gerade zu unterschätzen.
Danke! :)
Ich finde diese Idee klasse 
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.