RE: Binance - welche der Zwei Faktor Identifizierung (2-FA) Methoden sollte man verwenden?
Hey, das ist kein einfaches Thema. Die kurze Fassung wäre aus meiner Sicht, dass beide Verfahren Vor- und Nachteile haben und letztlich die technische Ausstattung und die gewünschte Mobilität eine Rolle spielen.
Zu 1.: Ob es bei Binance noch andere Varianten gibt, kann ich dir aus eigener Erfahrung leider nicht sagen. Ich habe dort schon seit einiger Zeit nicht mehr gehandelt.
Zu 2.: Da kommen wir ins Thema:
Das Passkey-Verfahren ist ein private-public-Key-Verfahren. Du wählst hier ein Gerät oder eine App aus (oder auch mehrere, wenn der Dienst dies anbietet). Bei der Einrichtung wird durch das Gerät oder die App zusammen mit der Domain der Website (das macht das Ganze übrigens sehr sicher) ein öffentlicher und privater Schlüssel generiert. Den öffentlichen Schlüssel erhält der Anbieter. Fortan muss das Gerät oder die App dem Anbieter bestätigen, dass du im Besitz des privaten Schlüssels bist. Damit ist der zweite Faktor gewährleistet.
Das bedeutet, du kannst dich nur mit diesem Gerät oder der App beim Anbieter anmelden. Windows, Smartphones und z. B. die FIDO2-Sticks sind hierfür geeignet. Eine Synchonisation findet nur bedingt statt.
Am besten sind noch die FIDO2-Sticks geeignet, da du diese am Schlüsselbund mit dir herumtragen oder irgendwo deponieren kannst.
Aus meiner Sicht sollte dieses Verfahren tatsächlich bevorzugt werden. Wichtig wäre aber bei wichtigen Diensten, dass du mehrere Geräte anmelden kannst. Ob das bei Binance geht, weiß ich nicht.
Der Authenticator erzeugt in der Regel "nur" Einmal-Passwörter und ist daher im Grunde wie der Code per SMS zu sehen.
Zu 3.: Wie ich oben schrieb, kannst du dich nicht mehr anmelden, wenn du nur ein Gerät als Passkey-Gerät angemeldet hast. Das "Geheimnis" des privaten Schlüssels wird nicht rausgerückt und kann daher auch nicht exportiert werden. Wenn du ein Apple- oder Andoid-Smartphone mit verwendest, wird das "Geheimnis" in der Cloud verschlüsselt synchronisiert.
Es hängt vom Anbieter ab, ob das alte Verfahren noch weiter verwendet werden kann. Manche Anbieter löschen das alte Passwort und du kommst nicht mehr ohne Passkey oder Authenticator ran. Ob das bei Binance so ist, weiß ich nicht.
Zu 4.: Wenn du Googles Authenticator oder ein Android-Handy nicht verwenden möchtest, wirst du wahrscheinlich auch kein Vertrauen zu Microsoft aufbauen können. Dort gibt es auch eine Authenticator App. Außerdem kann Windows auch als Passkey-Gerät dienen. Das ist aber dann wirklich nur an das jeweilige Gerät gebunden.
Ich würde derzeit einen FIDO2-Stick empfehlen. Es sind damit zwar Kosten verbunden, aber damit bist du unabhängig. Für wichtige Dienste würde ich aber zwei einrichten.
Zu den Apps hast du ja schon Alternativen genannt bekommen. Da wird sich in Zukunft sicher noch einiges tun.
Als weiterführende Literatur käme der heise-Themenbereich in Frage:
https://www.heise.de/select/ct/2023/14/2230012065992024905
https://www.heise.de/ratgeber/Passkeys-So-schuetzen-Sie-Ihre-Accounts-mit-dem-Passwort-Nachfolger-9224753.html
https://www.heise.de/suche/?q=passkeys&sort_by=date&make=
Noch ne Ergänzung: Die meisten Anbieter behalten das Passwort und sehen die obigen Methoden tatsächlich nur als zweiten Faktor, obwohl das Passkey Verfahren tatsächlich das Potenzial zum Passwort-Ersatz hat. Ich glaube bei Binance bleibt das Passwort erhalten. Auf jeden Fall wirst du vor dem Löschen darüber informiert.
Ahh, siehste, Passkey habe ich nur am Rande mal gehört/gelesen. Jetzt kann ich mir darunter auch was vorstellen, mercy!
Ich persönlich finde, es wäre dringend an der Zeit von der vorsintflutlichen Passwort-Anmeldung, die das Wurzel allen Phishing-Übels ist, wegzukommen. Es dauert leider viel zu lange und wie man am obigen Beitrag sieht, sind mit den heutigen Varianten die Vielzahl der Nutzer komplett überfordert.
Passkeys haben aus meiner Sicht das Potenzial dazu, sind aber eben nicht intuitiv begreifbar wie z. B. ein Passwort...
Sobald es eine einfach zu handhabende Möglichkeit gibt, gibt's hier bestimmt einen Beitrag dazu :-P
Oh man ist das kompliziert.
Nach meiner Erfahrung mit der Hausbank und dem immer noch nicht funktionierenden Onlinebanking nach deren Umstellung werde ich mir wohl Mitte oder Ende des Monats mit dem Thema beschäftigen können, da derzeit einfach zuviel zu erledigen ist.
Ich wünsche mir die alte Code Variante zurück ohne den ganzen Klimbim.
Diese Fidostick Geschichte habe ich schon mal gehört - nur was passiert mit dem Stick bei einem Sonnensturm - vermutlich ist dann auch dort alles hinüber...
Zudem ist das Problem - und das mag ich gar nicht - das eben alles nur noch von einem Gerät abhängt und nicht mehr von der Person. Die personalisierte Komponente verschwindet komplett und damit wird die Kontrolle über deine Konten einem Gerät anvertraut über dass man Dir theoretisch wie bei Windows 11 bereits geplant auch die Kontrolle entziehen kann.
Gleichwohl erst mal danke für die lange und herausragende Erklärung. Der Kommentar wäre schon einen eigenen Blogbeitrag wert. Ich hoffe @steemchiller liest ihn... ;-)
Herzlichen Dank auf jeden Fall für das schnelle feedback.
Ich werde mal bei Binance nachfragen...
Beste Grüße.
Bist du vielleicht bei der Postbank ;-)) (ist nur rhetorisch, muss nicht antworten)
Bei der Umstellungen/Übernahme hat sich die Deutsche Bank tatsächlich einen Bärendienst erwiesen. Die Kunden, die am wenigsten dafür können, sind mal wieder die Leidtragenden...
Das würde ich auch... leider gab es eben zu viele Betrüger und Opfer, so dass die unschuldige Menge gleich mit geschützt werden muss. Ich verstehe auch andere Dinge bis heute nicht. Als Smartphone-Verweigerer (und ich kann das sogar verstehen) kann man kein Online-Banking mehr machen (außer man bezahlt diese teuren Code-Geräte) oder bei der Krankenkasse irgenwas einreichen... Warum muss das so sein???
Das beschäftigt dich jetzt nicht wirklich, wenn du damit Cryptos transferieren willst. Vermutlich sind die Cryptos dann auch hinüber... Naja, wahrscheinlich ist das auch eher ein krasses Szenario, aber wie ich schrieb, eine Rückfallebene ich ohnehin immer zu empfehlen.
Es ist sogar von dem Gerät und einer Person abhängig. Ob das jetzt besser ist, weiß ich auch nicht...
Soll ich dir mal Fälle aufzählen, in denen die Personen keinen Zugriff mehr auf Ihre hinterlegte Handynummer hatten? Oder in denen mit betrügerischen Methoden der SMS-Zugriff gekapert wurde?
Das klingt sehr konstruiert, ist aber leider vermehrt vorgekommen. Weshalb letztlich das SMS-Verfahren auch als unsicher eingestuft wurde.
Gern und ich hoffe, du findest eine für dich passende Alternative. ...
...und Steemchiller hat offensichtlich tatsächlich mitgelesen ;-))
Nein, die Postbank ist nicht die Hausbank. Und ich will auch nicht beschützt werden mit Methoden die mir kostbare Lebenszeit rauben - weder vom Staat noch von einer Bank die Teil der Kleptokratischen Strukturen ist.
Je einfacher umso besser.
Beste Grüße und lieben Dank.
Ist es möglich im Rahmen der turnusmäßigen Sicherung des Handys auch von der Passkey App ein back up mit der erforderlichen und verwendeten Konfiguration zu machen, die man extern auf einem anderen Datenträger für den Fall einer Wiederherstellung auf einem neuen Gerät - z.B. nach Verlust oder Diebstahl wieder verwenden kann - oder ist eine solche App mit den Einstellungen immer an die zugehörige Hardware des verwendeten Handys bzw. Tablets etc. gebunden?
Ob eine Sicherung gemacht wird, hängt von der App selbst ab. Wie ich schrieb, macht Google/Apple dies ja beispielweise in seiner Cloud.
Wenn eine von Google/Apple unabhängige App/Gerät das macht, muss durch die App die Verschlüsselung sichergestellt werden. Derzeit sieht es damit allerdings mau aus, jedenfalls wenn man die oben von mir verlinkte FAQ heranzieht.
Bei Verlust oder Diebstahl kann insofern keine Wiederherstellung erfolgen, sondern nur eine Neueinrichtung. Ob sich das in Zukunft mal ändern wird, weiß wohl niemand so recht. Deshalb ist eine zweite Anmeldevariante oder eine Rückfallebene auf jeden Fall zu empfehlen.
Vielleicht ein Trost an der Stelle: Bei Verlust oder Diebstahl kommt auch niemand anderes an deine Passkeys, da du sie ja mit Fingerabdruck oder PIN erst freigeben musst.
Das ist alles nicht das gelbe vom Ei...
Trotzdem - herzlichen Dank für die Rückmeldung.
✨🦋🙏