| Re:Pfui: Amazon Phishing |  |
>>>Aber deine geradezu fahrlässige Haltung zu 2FA solltest du baldmöglichst überdenken.
>>
>>
>>Was meinst Du damit?
>
>Er hat eingangs erwähnt, dass er 2FA generell nicht aktiviert ("weil ich diese Verknüpfung meiner Daten nicht mag") und das halte ich angesichts der ganzen Breaches und Passwort-Dumps der letzten Jahre (siehe z.B. [https://haveibeenpwned.com]) für Benutzerkonten, an denen Zahlungsinformationen hängen, schlicht fahrlässig. Bestätigungscodes per E-Mail, SMS oder einer der gängigen Authenticator-Apps, sofern angeboten, sollten wo möglich aktiviert werden.
>
>Natürlich werden in solchen Breaches eher selten bis hoffentlich gar nicht mehr Passwörter im Klartext abgegriffen, sondern nur die salted hashes der Passwörter. Wenn das Passwort selber lang genug war, wird eine Bruteforce auf den Hash wenig bringen. Aber meist werden da eben auch Meta-Daten wie Name, Geburtsdatum etc abgezogen, mit denen dann eine Social Engineering Attacke gestartet werden kann. Meiner Erfahrung nach blocken aber die meisten Seite im Kundenservice sofort ab, wenn eine 2FA hinterlegt ist, mit dem Hinweis auf eben jene. Und zuletzt wäre sein Konto mit aktivierter 2FA selbst bei seinem geschossenen Bock, auf eine Phishing-Mail reinzufallen und das Passwort zu kompromittieren, immer noch sicher gewesen. Das ist ja der Punkt von 2FA, dass die Username/Passwort Kombination alleine nicht mehr ausreicht.
>
>
>Hattest du den Satz im Eröffnungsposting überlesen oder hältst du auch generell nichts von einer Zwei-Faktor-Authentifizierung?
Ich hatte es überlesen.
Ich halte da sehr viel von; allerdings gibts immer noch viele Shops, die das gar nicht anbieten. Mir machen entsprechend die großen Shops wie Amazon, die das anbieten, weniger Sorgen als die kleinen, bei denen mal wohl oder übel auch mal bestellt, aber eben keine 2FA nutzen kann.