OTP's nur fürs Webinterface - Sicherheit?
beantwortet
Wie sicher sind OTPs mit einem YubiKey, wenn diese nur für das Webinterface aktiviert sind? Üver alle anderen Dienste, könnte man sich ja nach wie vor "einfach" mit dem Passwort anmelden?
Ja das stimmt, heisst aber auch jemand muß Zugriff auf von Ihnen verwendete Clients und Apps haben. Es ist so nicht möglich einfach per Webinterface sich einzuloggen.
Noch sicherer ist aber natürlich, nur Weblogin per OTP zu erlauben und alle anderen Zugriffe zu verbieten.
Ja das stimmt, heisst aber auch jemand muß Zugriff auf von Ihnen verwendete Clients und Apps haben. Es ist so nicht möglich einfach per Webinterface sich einzuloggen.
Noch sicherer ist aber natürlich, nur Weblogin per OTP zu erlauben und alle anderen Zugriffe zu verbieten.
Wieso Zugriff auf die von mir verwendeten Clients und Apps haben? Könnte ein "Eindringling" sich nicht einfach eine Email App auf einem beliebigen Smartphone einrichten (oder auf einem Desktop PC) und diese ohne OTP mit dem normalen Passwort verwenden? Danke
Wieso Zugriff auf die von mir verwendeten Clients und Apps haben? Könnte ein "Eindringling" sich nicht einfach eine Email App auf einem beliebigen Smartphone einrichten (oder auf einem Desktop PC) und diese ohne OTP mit dem normalen Passwort verwenden? Danke
Ja aber dazu benötigt er eben erstmal das Passwort.
Abgreifen z.B. auf einem öffentlichen PC per Keylogger oder Passwortmanager des Webbrowsers ist so nicht möglich, es sei denn Sie installieren/konfigurieren dort einen E-Mailclient und hinterlassen dort Ihr Passwort, aber das sollte sich von selbst verbieten.
Ja aber dazu benötigt er eben erstmal das Passwort.
Abgreifen z.B. auf einem öffentlichen PC per Keylogger oder Passwortmanager des Webbrowsers ist so nicht möglich, es sei denn Sie installieren/konfigurieren dort einen E-Mailclient und hinterlassen dort Ihr Passwort, aber das sollte sich von selbst verbieten.
Verstehe ich noch nicht so richtig.
Ich überlege ein 2 Faktoren Authentifizierung einzurichten, damit jemand - sollte er/sie mein Passwort haben- nicht auf meine E-Mails zugreifen kann.
Wenn ich es richtig verstehe, dann reicht das aber nicht. Denn es ist möglich mit meinem geklauten Passwort einen E-Mail-Client entsprechend zu konfigurieren und auf meine E-Mails zuzugreifen. Ich weiß, dass es die Möglichkeit gibt die Funktion "Webinterface OTP, alles andere aus" zu aktivieren. Nur dann kann ich meine E-Mails auch nicht mehr über mein Handy abrufen. Das wäre auch unbequem.
Schön wäre folgende Funktion:
Ich muss im Webinterface (mit 2 Faktoren Authentifizierung) ein Device aktivieren, damit es auf meine E-Mails zugreifen kann.
Oder habe ich was falsch verstanden?
Beste Grüße,
Markus
Verstehe ich noch nicht so richtig.
Ich überlege ein 2 Faktoren Authentifizierung einzurichten, damit jemand - sollte er/sie mein Passwort haben- nicht auf meine E-Mails zugreifen kann.
Wenn ich es richtig verstehe, dann reicht das aber nicht. Denn es ist möglich mit meinem geklauten Passwort einen E-Mail-Client entsprechend zu konfigurieren und auf meine E-Mails zuzugreifen. Ich weiß, dass es die Möglichkeit gibt die Funktion "Webinterface OTP, alles andere aus" zu aktivieren. Nur dann kann ich meine E-Mails auch nicht mehr über mein Handy abrufen. Das wäre auch unbequem.
Schön wäre folgende Funktion:
Ich muss im Webinterface (mit 2 Faktoren Authentifizierung) ein Device aktivieren, damit es auf meine E-Mails zugreifen kann.
Oder habe ich was falsch verstanden?
Beste Grüße,
Markus
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.