Login 2.0 und Passwort Reset

Guten Tag,

ich habe heute meinen Account auf den Login 2.0 umgestellt. Es freut mich, dass der Login hier überarbeitet und modernisiert wird.

Ich muss allerdings auch Kritik am neuen Login äußern. Speziell die Möglichkeiten zum Zurücksetzen finde ich unglücklich umgesetzt. Der Reset via SMS Code/Code an alternative Email/Telefonpasswort dient ja sowohl dazu, das Passwort, als auch das 2FA OTP zurück zu setzten - gleichzeitig.
Somit ersetzt der Passwort Reset ja effektiv meine zwei Faktoren mit einem einzigen Authentifizierungsschritt. Besonders glücklich macht mich das gerade nicht. Ja, man müsste als Angreifer immer noch Zugriff auf die alternative Email Adresse haben oder die Telefonnummer für den Reset kennen. Aber während selbst das BSI schreibt, dass smsTan beim Banking weniger sicher ist als Alternativen, kann hier effektiv smsTan genutzt werden, um vollständigen Account Zugriff zu erlangen. Mir ist bewusst, dass wir hier tendenziell von einem sehr gezielten Angriff sprechen und nicht von billigem Phishing. Aber es wird hier sicher einige Nutzer geben, die Gründe habe, sich gegen solche Angriffe absichern zu wollen.

Was ich hier viel lieber sehen würde, wären separate Backup Codes zum zurücksetzten des OTP und dass der Passwort Reset dann lediglich das Passwort zurücksetzt.

Der Login via Yubikey fehlt ja auch noch beim Login 2.0. Ich hoffe, dass hier dementsprechend noch einige Verbesserungen geplant sind.

Dass die Kontaktdaten zum Passwort Reset unter "Perönliche Daten" versteckt sind, ist übrigens auch nicht besonders intuitiv. Ein separater Menüpunkt wäre hier meiner Meinung nach hilfreich.

Viele Grüße