Accountsicherheit

[Tyr118]

Hallo,

ich werd mir demnächst ein neues Smartphone zulegen. Natürlich sind noch der Authenticator, meine Card Secure App, Passwort Manager, etc... auf dem alten Smartphone.
Ehrlich gesagt ein bisschen aus Faulheit; das Trennen und neu Aufsetzen der 2Factor Authentification für das neue Smartphone bei den ganzen Exchanges / Banken etc... würde nicht grad wenig Zeit in Anspruch nehmen; spiele ich mit dem Gedanken mein altes Smartphone als gesonderte Möglichkeit zu nutzen meine Accountinfos / Authentication - und Banking Apps zu sichern.
Vorteil seh ich halt darin(zb. zu Hause), dass ich es erstmal schwerer verlieren kann / es schwerer geklaut werden kann und es sich auch weniger bzw. gar nicht im Internet "bewegt".

Hat jemand damit Erfahrungen sein altes Smartphone zu einen "TAN-Generator" zu machen?

Man muss dazu sagen, ich bin noch etwas old school - ich nutze kein NFC für kleine Zahlungen mit dem Smartphone(Sicherheit?), nutze keine Wallets auf dem Smartphone (bin Ledger Fan) und wickel meine Bankgeschäfte auch nur online über mein Heimnetzwerk ab.
Und ich hasse das die Bank die Leute langsam zur Nutzung von Anwendungen (TAN-Generatoren zb.) auf ihren Mobilgeräten "zwingen".

Mfg

[1714027514]

1714027514

[1714027514]

1714027514

[1714027514]

1714027514

[asche]

Servus,

Ich verstehe was du machen willst, halte es aber ein bisschen für überflüssig. Wirst du wirklich immer beide Handys dabei haben? Immer Akku?
Und wie schon geschrieben es geht ja um 2FA, dein Handy muss dafür kein Bunker sein. Um an dein Account zu kommen braucht man zwar den 2FA aber halt auch dein password/username.

[Tyr118]

Ja ok da hab ich vllt zu kompliziert gedacht. Das alte Gerät hätte ich dann eher mit meinem Ledger zu Hause gelassen, damit man es halt nicht verlegen kann. Aber der Aufwand steht wirklich nicht im Verhältnis.

[thandie]

Generell spricht nichts dagegen. Mein Galaxy S I9000 hat genau diese Funktion lange Zeit erfüllt.

Aber irgendwann habe ich das doch mal auf ein neues Gerät übertragen.
Einfach weil mir der Gedanke kam, das alte Teil könnte aus dem Nichts heraus seinen Geist aufgeben. Okay, es läuft immer noch.
Und eigentlich könnten meine neuen Geräte auch einfach den Geist aufgeben.
Wenn deine Geräte daheim liegen, könnte die Wohnung abfackeln, ein Flugzeug darin landen oder was auch immer.
Wenn du sie hingegen bei dir hast, könnten sie geklaut oder verlegt/verloren werden.
Irgendwo zwischen 0% und 100% liegt die Wahrscheinlichkeit, daß etwas davon eintritt.

Viel besser ist es, wenn du dir immer schön die Recovery Codes aufschreibst bzw. irgendwie notierst oder Backups machst, so daß du in jedem Fall die 2FA Accounts wieder herstellen kannst.

[Lakai01]

Viel besser ist es, wenn du dir immer schön die Recovery Codes aufschreibst bzw. irgendwie notierst oder Backups machst, so daß du in jedem Fall die 2FA Accounts wieder herstellen kannst.

Da bin ich ganz deiner Meinung thandie. Nutz am besten jetzt die Zeit bevor du dein neues Handy einrichtest um dir eine Liste mit all deinen Recovery-Codes für die 2FA zu machen. Die Liste legst du aber auf keinen Fall auf deinem Rechner an sondern schreibst die wirklich mit der Hand und legst die genauso sicher ab wie den Seed deines Ledgers. So hast du kein Backup-Handy sondern einen Backup-Zettel, der noch dazu immer Akku hat

Generell brauchst du dir wegen der Sicherheit am Smartphone mit ein paar Settings nicht so die Gedanken machen. Wenn du folgendes beherzigst, dann kann dir das auch gestohlen werden:

- Deine Mail-App (Outlook, ...) funktioniert nur mittels Passcode (lässt sich also nicht so ohne weiteres von "jedem" starten). Warum?
Hat jemand Zugriff auf deine Mails UND auf dein Handy dann wars das mit deinen Accounts in der Regel. Damit lässt sich so ziemlich alles anstellen was der Angreifer machen will, inkl. Umsetzen von Withdrawal-Adressen etc. pp. Der zusätzliche Passcode kann zwar nervig sein (ok, er ist es ), bringt aber enorm viel im Fall des Falles.

- Es sind keine Passwörter für die wichtigsten Seiten (Bitcointalk, Börsen, ...) gespeichert
Hier gilt Ähnliches wie für die Mail-App ... nutzt du das Feature, dass du automatisch bei bestimmten Seiten angemeldet bist und du nie ein Passwort eingeben musst, dann reicht es tatsächlich, wenn jemand dein Handy in die Finger bekommt um großen Schaden anrichten zu können, da dieser sofort Zugriff auf 2FA UND deinen Account hat. Lieber auf Nummer Sicher gehen und nie wo angemeldet bleiben.

Alternativ kannst du dir auch eine App installieren, die bestimmte Apps nur dann öffnen lässt, wenn du bspw. einen Passcode eingibst. So mache ich das, sowohl meine 2FA-App als auch mein Browser sind zusätzlich nochmal mit Passcodes abgesichert und lassen sich auch nur dann starten, wenn jemand den Code kennt. Passwörter für Börsen sind aber natürlich trotzdem nicht hinterlegt, das für Bitcointalk aber schon

- Auto-Lock unbedingt aktivieren
So sperrt sich das Gerät nach kurzer Zeit von selbst und liegt nicht ungesperrt bspw. 5 Minuten lang herum. Unbedingt auch das Feature deaktivieren, dass ein Gerät länger ungesperrt bleibt wenn du es in einer bestimmten Gegend benutzt (bspw. am Arbeitsplatz).

- Device verschlüsseln
Wenn du jetzt auch noch dein Device verschlüsselst (nicht viel Aufwand und du merkst davon im alltäglichen Gebrauch grad bei neueren Smartphones nix) kann man auch nicht mehr so ohne weiteres auf deine Daten zugreifen sollte dir das Gerät tatsächlich gestohlen werden. Neuere Smartphones wie bspw. das S10 sind standardmäßig encrypted, doppelt und dreifach checken ob dem wirklich so ist schadet aber sicher nicht. Die Einstellung findet man in den Security-Settings deines Smartphones.

[asche]

2FA codes brauchst du nicht abschreiben. Du kannst direkt einen Backup mit der 2fa App machen. zB wenn du aegis auth benutzt.

Bei Google auth kannst du auch einen Titanium Backup machen wenn du gerootet bist.

[thandie]

2FA codes brauchst du nicht abschreiben. Du kannst direkt einen Backup mit der 2fa App machen. zB wenn du aegis auth benutzt.

Bei Google auth kannst du auch einen Titanium Backup machen wenn du gerootet bist.

Ja aber die meisten User nutzen keine gerooteten Geräte. Leider, denn ich bin auf Grund der Möglichkeiten ein Fan davon.
Und Aegis ist auch noch wenig verbreitet, allerdings eine tolle Anwendung. Auch wenn es nach Updates gelegentlich einige Bugs gibt, was aber auch am Custom-ROM liegen könnte.

Ich habe diverse Sicherungen auf diversen Datenträgern und habe dennoch auch eine Old School Papier Tabelle, auf der alle Zugangsdaten zu allen Dingen verzeichnet sind. Natürlich codiert...  
Und ein schriftliches Backup macht nun wirklich nicht viel Mühe. Das macht man einmal und fertig, gelegentlich wird aktualisiert.

[Lakai01]

Ja aber die meisten User nutzen keine gerooteten Geräte. Leider, denn ich bin auf Grund der Möglichkeiten ein Fan davon.
Und Aegis ist auch noch wenig verbreitet, allerdings eine tolle Anwendung. Auch wenn es nach Updates gelegentlich einige Bugs gibt, was aber auch am Custom-ROM liegen könnte.

Ich habe diverse Sicherungen auf diversen Datenträgern und habe dennoch auch eine Old School Papier Tabelle, auf der alle Zugangsdaten zu allen Dingen verzeichnet sind. Natürlich codiert...  
Und ein schriftliches Backup macht nun wirklich nicht viel Mühe. Das macht man einmal und fertig, gelegentlich wird aktualisiert.

Gerootete Geräte bringen vor allem den Nachteil mit, dass dann Apps mit hohen Sicherheitsanforderungen (Banking, ...) nicht mehr funktionieren und den Dienst verweigern (müssen). War dann auch für mich der Ausschließungsgrund.

Bin ganz bei dir was den guten alten Zettel betrifft. Wenn man den codiert ablegt (und sei es nur, dass man die Backupcodes der 2FA rückwärts aufschreibt) ist man damit auf der sicheren Seite. Legt man dann auch noch eine Kopie bspw im Haus der Eltern oder im Bankschließfach ab hat man ein super Ausfallsszenario falls die Wohnung abfackelt.

[asche]

Gerootete Geräte bringen vor allem den Nachteil mit, dass dann Apps mit hohen Sicherheitsanforderungen (Banking, ...) nicht mehr funktionieren und den Dienst verweigern (müssen). War dann auch für mich der Ausschließungsgrund.

Hatte noch nie Probleme damit, inkl Google Pay. Man muss nur Magisk kennen und installieren. Dann gibt es kein Problem.

[thandie]

@Lakai01

Dummerweise besitzen dies "Apps" keine hohen Sicherheitsanforderungen. Ganz im Gegenteil, viele offenbaren deutliche Sicherheitslücken.
Und: Wenn ein gerootetes Geräte per se unsicher sein soll, weshalb ist ein Gerät mit einem veralteten Sicherheitspatch-Level dann in den Augen der App sicher?
Das ist dumm und paradox zugleich.

Oftmals sind diese Apps noch eckelhafte Tracker-Wanzen. Vielleicht ist das ja der wahre Grund.
Es sind Apps, die mehr wollen, als ihnen zusteht - inklusive der Rechte-Bevormundung für MEIN EIGENES PHONE.

Für mich war das ein Ausschlußgrund dieser App. 
Ich versuche immer konsequent zu sein, wenn möglich. Natürlich gibt es auch Ausnahmen, wo ich dann bsw. mit Hilfe von Magisk meine Interessen durchsetzen möchte.
Aber eigentlich sollte der User hier standhaft konsequent sein und solchen Anbietern die Rote Karte zeigen.

@asche

Mit Magisk Funktionen kann man sich tatsächlich zum Teil Abhilfe verschaffen.
Auf manchen Geräten funktioniert das trotzdem nicht reibungslos bzw. wird zur Workaround-Krücke.

[asche]

Das glaube ich dir gerne.

Bei oneplus hatte ich allerdings noch nie Probleme. Und root hat sehr viele Vorteile, und ich fühle mich nicht gerade unsicherer dadurch, im Gegenteil. Mit root konnte ich ziemlich einfach alles was mir nicht gefällt vom System entfernen. Auch die Rechte der unterschiedlichen Apps kann man einfacher übersehen und beschränken.

[mezzomix]

Wenn Dir jemand etwas "zu Deiner Sicherheit" aufzwingen will, dann kannst Du mit absoluter Gewissheit davon ausgehen, dass es zu dessen persönlichem Vorteil und meist auch noch zu Deinem Schaden ist.

Scheiss Neusprech!

[thandie]

Wenn Dir jemand etwas "zu Deiner Sicherheit" aufzwingen will, dann kannst Du mit absoluter Gewissheit davon ausgehen, dass es zu dessen persönlichem Vorteil und meist auch noch zu Deinem Schaden ist.

Scheiss Neusprech!

So ist es!

Das glaube ich dir gerne.

Bei oneplus hatte ich allerdings noch nie Probleme. Und root hat sehr viele Vorteile, und ich fühle mich nicht gerade unsicherer dadurch, im Gegenteil. Mit root konnte ich ziemlich einfach alles was mir nicht gefällt vom System entfernen. Auch die Rechte der unterschiedlichen Apps kann man einfacher übersehen und beschränken.

Bei OnePlus scheint es mir besonders wichtig, daß man erstmal den ganzen Bloatware Mist entfernt und dann auch noch allen Diensten den Internetzugang via WLAN und via MobileDaten versperrt.
Im Auswahlverfahren kann man dann seinen eigenen und bestimmten systembedingten Apps die Berechtigung für's Internet erteilen.
Diese Bude schickt nämlich gerne mal Userdaten nach Shenzhen, ungefragt versteht sich.
Und natürlich behaupteten sie - nachdem sie erwischt wurden - das war ein Versehen und kommt nie wieder vor. Nachtijall, ick hör dir trapsen. 

[asche]

Ja machen die. Es wäre aber ein böser Fehler zu denken das es andere Marken anders machen.

Mir macht Amerika mehr Angst als China wenn es um sowas geht.

[Lakai01]

@Lakai01

Dummerweise besitzen dies "Apps" keine hohen Sicherheitsanforderungen. Ganz im Gegenteil, viele offenbaren deutliche Sicherheitslücken.
Und: Wenn ein gerootetes Geräte per se unsicher sein soll, weshalb ist ein Gerät mit einem veralteten Sicherheitspatch-Level dann in den Augen der App sicher?
Das ist dumm und paradox zugleich.

Oftmals sind diese Apps noch eckelhafte Tracker-Wanzen. Vielleicht ist das ja der wahre Grund.
Es sind Apps, die mehr wollen, als ihnen zusteht - inklusive der Rechte-Bevormundung für MEIN EIGENES PHONE.

Für mich war das ein Ausschlußgrund dieser App. 
Ich versuche immer konsequent zu sein, wenn möglich. Natürlich gibt es auch Ausnahmen, wo ich dann bsw. mit Hilfe von Magisk meine Interessen durchsetzen möchte.
Aber eigentlich sollte der User hier standhaft konsequent sein und solchen Anbietern die Rote Karte zeigen.

Sorry, da habe ich mich wohl missverständlich ausgedrückt. Mit Apps, die wegen den Sicherheitsanforderungen keine gerooteten Geräte erlauben, meinte ich Apps von Anbietern wie bspw. unsere Banken oder tlw. auch Versicherungsdienstleister. Die verweigern ganz einfach den Start mit der Hinweismeldung, dass gerootete Geräte potenziell zu unsicher sind - oder verwenden wie in dem Fall meiner Bank selber Fremdsoftware, die das unterbindet (in diesem Fall z.B. für 2FA).

Dass vor allem mit "Sicherheitsapps" Schindluder getrieben wird kann ich jedoch voll und ganz unterschreiben. Die installiert man sich im besten Wissen und Gewissen und bekommt dann eig. genau das, was man nicht erwartet und wird erst recht ausspioniert. Da gilt für mich dann meistens, dass ich mir die lieber selbe schreibe wenns nicht viel Aufwand ist oder vergleichsweile viel Zeit in die Auswahl der App investiere.

[thandie]

@Lakai01

Dummerweise besitzen dies "Apps" keine hohen Sicherheitsanforderungen. Ganz im Gegenteil, viele offenbaren deutliche Sicherheitslücken.
Und: Wenn ein gerootetes Geräte per se unsicher sein soll, weshalb ist ein Gerät mit einem veralteten Sicherheitspatch-Level dann in den Augen der App sicher?
Das ist dumm und paradox zugleich.

Oftmals sind diese Apps noch eckelhafte Tracker-Wanzen. Vielleicht ist das ja der wahre Grund.
Es sind Apps, die mehr wollen, als ihnen zusteht - inklusive der Rechte-Bevormundung für MEIN EIGENES PHONE.

Für mich war das ein Ausschlußgrund dieser App.  
Ich versuche immer konsequent zu sein, wenn möglich. Natürlich gibt es auch Ausnahmen, wo ich dann bsw. mit Hilfe von Magisk meine Interessen durchsetzen möchte.
Aber eigentlich sollte der User hier standhaft konsequent sein und solchen Anbietern die Rote Karte zeigen.

Sorry, da habe ich mich wohl missverständlich ausgedrückt. Mit Apps, die wegen den Sicherheitsanforderungen keine gerooteten Geräte erlauben, meinte ich Apps von Anbietern wie bspw. unsere Banken oder tlw. auch Versicherungsdienstleister. Die verweigern ganz einfach den Start mit der Hinweismeldung, dass gerootete Geräte potenziell zu unsicher sind - oder verwenden wie in dem Fall meiner Bank selber Fremdsoftware, die das unterbindet (in diesem Fall z.B. für 2FA).

Dass vor allem mit "Sicherheitsapps" Schindluder getrieben wird kann ich jedoch voll und ganz unterschreiben. Die installiert man sich im besten Wissen und Gewissen und bekommt dann eig. genau das, was man nicht erwartet und wird erst recht ausspioniert. Da gilt für mich dann meistens, dass ich mir die lieber selbe schreibe wenns nicht viel Aufwand ist oder vergleichsweile viel Zeit in die Auswahl der App investiere.

Du hast dich schon korrekt ausgedrückt.
Ich meine genau diese Apps von Banken, Versicherungsfuzzis et cetera.

Diese Apps besitzen eben keine besonderen Sicherheitsanforderungen. Denn ansonsten würden sie selbst schonmal nicht mit etlichen Sicherheitslücken daherkommen und weiterhin zumindest darauf hinweisen, daß eventuell das Sicherheitspatch-Level eines Gerätes veraltet ist. Genau das tun sie aber nicht.
Stattdessen kümmern sie sich um "gerootete" Geräte und begründen eine Startverweigerung mit der Behauptung, daß ein gerootetes Gerät per se unsicher ist.

[asche]

Stattdessen kümmern sie sich um "gerootete" Geräte und begründen eine Startverweigerung mit der Behauptung, daß ein gerootetes Gerät per se unsicher ist.

Genau, es handelt sich da mehr um Politik als etwas anderem.

Ausserdem könnte man ziemlich sicher sagen das Leute die ein gerootetes Smartphone besitzen meistens auch die sind die am meisten aufpassen was Sicherheit angehen, da diese tatsächlich wissen wie so ein Smartphone funktioniert.