Von (Zwei-Faktor-)Authentisierung, (zu?) mächtigen Apps, Smartphones, TAN-Generatoren und Sicherheitsbedenken

[Nostradamus]

vor 12 Stunden von slowandsteady:

Möchte nicht wissen, wieviele Nutzer beim Wertpapier-Forum gleiches Passwort wie beim Online-Banking und bei der E-Mail haben.

Das würde ich auch nicht machen. Nur, was ist eigentlich ein professioneller und dennoch einigermaßen komfortabler Umgang mit Passwörtern? Für jede Online-Apotheke, bei der man mal was bestellt, ein eigenes Passwort anzulegen, kann es ja irgendwie auch nicht sein... Es gibt wohl Passwort-Manager, aber hier habe ich mich noch nicht reingefuchst, inwiefern man die wirklich nutzen sollte.

[hquw]

vor 1 Minute von Nostradamus:

Für jede Online-Apotheke, bei der man mal was bestellt, ein eigenes Passwort anzulegen, kann es ja irgendwie auch nicht sein...

Das ist aber genau die einzige, richtige Lösung. Ist ja auch kein Aufwand, wenn der Passwortmanager es selbst erzeugt und auch direkt einfügt. Komfortabler ist es sowieso.

[slowandsteady]

vor 46 Minuten von alsuna:

Wie macht ihr das denn mit den Passwörtern? Passwortmanager in Android empfinde ich als stressig und absolut unschön in der Bedienung. Und es kennt ja hoffentlich kaum jemand hier sein Passwort für's Depot aus den Kopf. 

Ich kenne sehr viele Passwörter auswendig, auch alle Online-Banking-Passwörter und ja, sogar mein WPF Passwort  Das liegt daran, dass ich mir einfach zu merkende erstelle. Man muss nur ein bisschen kreativ sein, zB

Zitat

 

wertpapier-forum.de -> A1JX52isthegreatest!

comdirect.de -> whythef***mergewithCommerz??

online-apotheke -> SchnupfenSucks:*(

 

Durch die Länge sicher genug für "alltägliche" Dinge und leicht zu merken.

[chirlu]

vor 2 Minuten von slowandsteady:

Das liegt daran, dass ich mir einfach zu merkende erstelle.

 

Die dann auch einfach zu knacken sind. Nicht online natürlich, aber wenn der Hash mal auf Abwege geraten sollte.

 

vor 36 Minuten von Nostradamus:

Für jede Online-Apotheke, bei der man mal was bestellt, ein eigenes Passwort anzulegen, kann es ja irgendwie auch nicht sein...

 

Doch, genau das ist es. Dasselbe Passwort bei zwei Anbietern zu verwenden, ist fast das Dümmste, was man machen kann; nur Passwörter wie „12345“ schlagen das noch.

[Sloth]

vor 10 Stunden von slowandsteady:

Was wollen sie damit denn rausfinden? Ich habe gerade nachgeschaut und die comdirect photoTAN-App hat die Berechtigungen "Kamera" und "Benachrichtigungen". Ich habe ihr beides nicht gewährt - nur einmalig zur Einrichtung Kamera für den Start-QR-Code. Jetzt für Push-TAN braucht sie ja keine Kamera mehr... Da gibt es wirklich schlimmere Apps.

Mag sein, aber installiere dir mal NetGuard und du wirst sehen, wie viele Apps ständig Verbindungen zu (Tracking-)Drittanbietern aufbauen (wollen).

[slowandsteady]

vor 9 Stunden von chirlu:

Die dann auch einfach zu knacken sind. Nicht online natürlich, aber wenn der Hash mal auf Abwege geraten sollte.

Nein, sind sie nicht:

Ein Passwort wie "d8*f0cG/" ist schwächer als "ApfelHausDracheSaufen".

 

In der Tat kannst du bei MD5-Hashes mit einer GPU alle 8-stelligen Passwörter in weniger als 3 Stunden durchprobieren: 65*10^9 Kandidaten pro Sekunde und 26+26 (Groß- und Kleinbuchstaben) +10 (Zahlen) + 10 (übliche Sonderzeichen) = 72 mögliche Zeichen ergibt Dauer von 11110 Sekunden, d.h. nicht einmal 3 Stunden. Länge ist viel wichtiger als jede Komplexität des Passworts oder möglichst viele Sonderzeichen unterzukriegen.

 

Und wenn du immer noch denkst, es ist so einfach, dann bitte, hier 3 Passwörter als MD5 Hash, alle drei Hashes sind themenbezogen ähnlich zu den oben und bis auf maximal 1 Sonderzeichen alphanumerisch. Zudem aus maximal 3 "Wörtern" zusammengesetzt:

Zitat

D6C5F2C6BD951314101DF2B60B1F48C2

47091A8DF4B0D0DB4BAA0C47503A02CD

B82290CFC7D42678668D00D1EA632EDB

 

vor 6 Minuten von Sloth:

wie viele Apps ständig Verbindungen zu (Tracking-)Drittanbietern aufbauen (wollen).

Doof, dass mein Smartphone alle bekannten Tracker als 127.0.0.1 in der /etc/hosts auflöst  

[oktavian]

vor 11 Stunden von alsuna:

Security by obscurity ist schon seit Jahrzehnten obsolet. Ein System ist nur dann als sicher anzunehmen, wenn das Protokoll öffentlich sein kann, ohne dass dadurch ein Problem bei der Sicherheit entsteht. 

Für mich wäre public key Kryptographie das wünschenswerte Protokollsystem. Es ist mir unverständlich, warum das nur in FinTS implementiert und von den meisten Banken nicht beachtet wird. 

das kryptografische Protokoll kann man offen legen. Nein, es ist nicht Standard das spezifische playbook der Organisation offen zu legen (soweit ich weiß). Generische playbooks gibt es z.B. von Behörden wie NIST. Die können als Grundlage dienen. Generell macht es schon Sinn Gebäudegrundrisse+Art der Schlösser+Art des Sicherheitssystems+Belegungskalender nicht ins Internet zu stellen. Daher sehe ich obscurity schon als Schutz.

vor 17 Stunden von wpf-leser:

vor 17 Stunden von Great Crash:

Smartphones kann man auch rooten.

Kann man. (Du kannst übrigens auch wildfremden Personen deine Kreditkarte oder größere Geldscheine einfach in die Hand drücken. Gar kein Problem. )

Aber weder "mal eben so" noch ist das ernsthaft ein für die meisten Benutzer relevantes Szenario. Das ist bei üblichen heimischen Windows-Installationen z.B. anders.

es gibt u.a. israelische Software für Geheimdienste, welche präparierte Werbeanzeigen ausspielen. Durch exploits werden root Rechte erreicht ohne Mitwirken des Users. Ich habe in anderen threads geschrieben, man sollte das spezifische banking Gerät nur kurz anmachen, wenn man es braucht. Insofern man solche Attacken fürchtet, also nicht mit dem gleichen Gerät rumsurfen.

 

vor 12 Stunden von PKW:

Ein weiteres feature des Chip-Tan ist, dass man Zuständigkeiten mit der Bankkarte steuern kann: Ich kümmere mich um die Bankgeschäfte meiner Mutter. Gibt sie mir eine Rechnung und die Bankkarte, dann kann ich das überweisen. Ich kann aber keinen Blödsinn mit ihrem Konto machen, wenn sie die Karte im Portmonee hat.

ohne Vollmacht ist das vermutlich eh nicht zulässig und mit Vollmacht hast du dann immer Zugriff. Die rechtlich saubere Alternative ist ein Pufferkonto mit weniger Geld drauf und dafür Vollmacht erteilen. Manche Banken schreiben auch auf die Kontoauszüge welcher user die Überweisung anwies. Das kann für Erben interessant sein, um Geld zurück zu fordern. Ein userzugang, welcher von mehreren Menschen genutzt wird, ist da nicht sicherer  und rechtlich auch fragwürdig. Das smartphone erscheint mir sicherer als die Karte, weil man da noch besser absichern kann, wer drauf Zugriff hat. Also physisches smartphone + Wissen (smartphone login)+ Biometrie (smartphone fingerprint) vs nur Wissen+pyhsische Karte

[dev]

Am 21.9.2023 um 10:15 von slowandsteady:

Meine Sicht der Dinge:

Das sehe ich auch so.

 

Und ich hatte noch nie das Bedürfnis, unterwegs Bank-/Depotgeschäfte zu machen, somit möchte ich auch das Sicherheitssystem nicht ständig bei mir haben.

 

Das kann auch daran liegen, das wenn ich vom Desktop weg bin, gerne mehr oder weniger Offline sein will.

Das Handy dient mehr oder weniger nur als Telefon und der kurzweiligen Kommunikation per Whatsapp.

[Gast240408]

Es faellt auf, dass hier ein relativ hoher Prozentsatz derjenigen die in IT Geld verdienen die eher konservativen Ansaetze fahren. Ich auch :)

 

Es ist einfach so, dass man nach Jahren in diesen Umgebungen weiss, wie wenig man weiss. Mir genuegt die dynamische Riesenflaeche an Angriffsmoeglichkeiten (*) eines Smartphones vollstaendig, um prophylaktisch auszuschliessen was auszuschliessen ist. Immerhin geht es bei vielen Leuten um 6- bis 8-stellige Groessenordnungen, die man so gegebenenfalls in der Hosentasche mit sich herumschleppt. Quantitativ derart hohe incentives verschieben auch Diskussionen zu Tricksereien in ein  Subproblem. Dann beginnen naemlich auch hemdsaermligere und direktere Methoden der "Datenakquise" eine Rolle zu spielen. Warum sollte man sich das antun? Aus Bequemlichkeit? Nur einmal...

 

(*)  technisch, aber v.a.D. auch sozial, letzteres allein schon aus dem mobilen Charakter heraus.

[chirlu]

vor 6 Stunden von slowandsteady:

Ein Passwort wie "d8*f0cG/" ist schwächer als "ApfelHausDracheSaufen".

 

Wenn das erste ein zufällig erzeugtes Passwort aus dem von dir genannten Alphabet aus 72 Zeichen ist und das zweite ebenfalls zufällig erzeugt aus einem Alphabet von 2048 Wörtern (wie bei XKCD angenommen), dann stimmt das nicht: Für das achtstellige Passwort gibt es 72^8 ≈ 7,2*10^14 Möglichkeiten (49,4 bit Entropie), für das aus vier Wörtern gebildete 2048^4 ≈ 1,8*10^13 Möglichkeiten (44 bit Entropie). Man braucht also 40 Mal so lange, um alle achtstelligen Passwörter durchzuprobieren, verglichen mit den vierwortigen Passwörtern.

 

Wahrscheinlich sind es allerdings keine zufällig erzeugten Passwörter, sondern etwas, was dir spontan eingefallen ist. Darauf deutet insbesondere das gleichmäßige und häufige Auftreten von Ziffern und Sonderzeichen im 8-Zeichen-Fall hin (jeweils genau zweimal, was fast doppelt so häufig ist wie zu erwarten). Menschen sind wahnsinnig schlecht darin, sich etwas zufällig auszudenken. Deshalb ist der Zufallsgehalt in einem spontan ausgedachten Passwort viel geringer, als es den Anschein hat.

 

vor 6 Stunden von slowandsteady:

Länge ist viel wichtiger als jede Komplexität des Passworts oder möglichst viele Sonderzeichen unterzukriegen.

 

Entscheidend ist die Entropie (der Gehalt an Zufälligkeit, die Anzahl der Möglichkeiten). Die Länge ist nur insofern wichtig, als sie eine Höchstgrenze für die Entropie bildet. D.h. ein Passwort mit 4 Zeichen (aus 72) ist mit Sicherheit untauglich, aber ein Passwort mit 100 Zeichen ist nicht unbedingt gut.

[slowandsteady]

Die ganze Diskussion Passwort-Sicherheit ist sowieso hinfällig, weil mir die comdirect nur 6 Zeichen als "PIN/Passwort" erlaubt und man sich mit Zugangsnummer und PIN/Passwort einloggen kann. Als ich mal vor Jahren das einzige Mal bei der Hotline angerufen habe um meine verlorene VISA Karte zu sperren, musste ich zur Authentifizierung auch sowas wie "erste, zweite und fünfte Stelle der PIN" telefonisch durchgeben, d.h. die speichern das auch noch im Klartext und lernen den Nutzern, die PIN am Telefon weiterzugeben... Gruselig 

[oktavian]

vor einer Stunde von slowandsteady:

Die ganze Diskussion Passwort-Sicherheit ist sowieso hinfällig, weil mir die comdirect nur 6 Zeichen als "PIN/Passwort" erlaubt und man sich mit Zugangsnummer und PIN/Passwort einloggen kann. Als ich mal vor Jahren das einzige Mal bei der Hotline angerufen habe um meine verlorene VISA Karte zu sperren, musste ich zur Authentifizierung auch sowas wie "erste, zweite und fünfte Stelle der PIN" telefonisch durchgeben, d.h. die speichern das auch noch im Klartext und lernen den Nutzern, die PIN am Telefon weiterzugeben... Gruselig 

ich hätte jetzt nicht geschlussfolgert, dass der support Mitarbeiter am Telefon die Pin sehen kann. Im Klartext speichern macht keinen Sinn. Ich denke in Kombination mit begrenzter Anzahl an Loginversuchen ist sechsstellig halbwegs sicher, aber könnte in der Tat mehr sein. Begrenzung auf Zahlen ist reduziert bei sechs Stellen die Möglichkeiten.

 

vor 2 Stunden von chirlu:

Entscheidend ist die Entropie (der Gehalt an Zufälligkeit, die Anzahl der Möglichkeiten). Die Länge ist nur insofern wichtig, als sie eine Höchstgrenze für die Entropie bildet. D.h. ein Passwort mit 4 Zeichen (aus 72) ist mit Sicherheit untauglich, aber ein Passwort mit 100 Zeichen ist nicht unbedingt gut.

auch wenn der Angreifer nichts weiß und auch nicht wie lang das Passwort ist? Wenn ich aus nur 20 Zeichen wähle, aber der ANgreifer es nicht weiß - wieso ist dann die Entropie geringer?

[Gast240408]

1 hour ago, oktavian said:

 Wenn ich aus nur 20 Zeichen wähle, aber der ANgreifer es nicht weiß - wieso ist dann die Entropie geringer?

Er weiss es aber zumindest in Form von Wahrscheinlichkeiten. Die definierende Summe der Entropie wird dann kein Maximum mehr annehmen, weil meinetwegen nur noch die 26 Zeichen des Alphabets eine Wahrscheinlichkeit p_i > 0 haben, welche dann nach Voraussetzung (*) auch noch unterschiedlich sind.

 

(*) Sind ja Wortkombinationen und Woerter bilden auch transformierte Zeichenhaeufigkeiten ab, die quantitativ fuer die gaengigen Sprachen bekannt sind.

[PKW]

vor 8 Stunden von oktavian:

 

vor 21 Stunden von PKW:

Ein weiteres feature des Chip-Tan ist, dass man Zuständigkeiten mit der Bankkarte steuern kann: Ich kümmere mich um die Bankgeschäfte meiner Mutter. Gibt sie mir eine Rechnung und die Bankkarte, dann kann ich das überweisen. Ich kann aber keinen Blödsinn mit ihrem Konto machen, wenn sie die Karte im Portmonee hat.

ohne Vollmacht ist das vermutlich eh nicht zulässig und mit Vollmacht hast du dann immer Zugriff.

Nö, die Vollmacht bringt mir bezüglich Onlinebanking nichts, die sehe ich zwar im Banking aber mehr auch nicht. Die macht mir keinen eigenen Zugang. Zumindest nicht bei unserer Sparkasse.
 

Die rechtliche Frage finde ich aber interessant.
Darf ein Bankkunde eine andere Person als "Verlängerung" nutzen um mit ihr (der anderen Person) sein Onlinebanking zu bedienen? 
 

[wpf-leser]

vor 5 Stunden von myrtle:

Es faellt auf, dass hier ein relativ hoher Prozentsatz derjenigen die in IT Geld verdienen die eher konservativen Ansaetze fahren.

Das erkenne ich (noch?) nicht. Vielfach kann dieser Kreis die Risiken aber etwas besser einschätzen - wobei das meiner Wahrnehmung nach weniger vom Job abhängt als von technischem Interesse.

[oktavian]

Am 22.9.2023 um 20:14 von wpf-leser:

Am 22.9.2023 um 14:50 von myrtle:

Es faellt auf, dass hier ein relativ hoher Prozentsatz derjenigen die in IT Geld verdienen die eher konservativen Ansaetze fahren.

Das erkenne ich (noch?) nicht. Vielfach kann dieser Kreis die Risiken aber etwas besser einschätzen - wobei das meiner Wahrnehmung nach weniger vom Job abhängt als von technischem Interesse.

evtl ist der Linuxdesktop sicherer als apps. Leute die hier gegen apps von Android oder IOS sind, nutzen aber vermutlich windows ohne aktivierte bitlocker Verschlüsselung. Spätestens vor Ort ist das windows Betriebssystem ohne Verschlüsselung zu leicht zu knacken ohne bemerkt zu werden. Wäre auch dafür die banking apps unter Linux lauffähig zu machen oder offene Standards anzubieten.

[hquw]

Am 22.9.2023 um 18:18 von oktavian:

auch wenn der Angreifer nichts weiß und auch nicht wie lang das Passwort ist? Wenn ich aus nur 20 Zeichen wähle, aber der ANgreifer es nicht weiß - wieso ist dann die Entropie geringer?

Weil man sich die Entropie sich nicht rückwirkend zurechtbiegen kann.

vor 3 Stunden von oktavian:

evtl ist der Linuxdesktop sicherer als apps. Leute die hier gegen apps von Android oder IOS sind, nutzen aber vermutlich windows ohne aktivierte bitlocker Verschlüsselung. Spätestens vor Ort ist das windows Betriebssystem ohne Verschlüsselung zu leicht zu knacken ohne bemerkt zu werden. Wäre auch dafür die banking apps unter Linux lauffähig zu machen oder offene Standards anzubieten.

Sicherheitstechnisch ist ein GNU/Linux-Desktop tendenziell eher das Schlusslicht. Privatsphäretechnisch sieht es vielleicht anders aus, aber Sandboxing hat sich am Linux-Desktop nicht so durchgesetzt wie unter Android und iOS.

[oktavian]

vor 2 Stunden von hquw:

Sandboxing

es gibt multiboot. Finde es macht Sinn mehrere Betriebssysteme als backup zu halten. Sandboxing ist nicht so relevant, wenn man das System dediziert nur fürs banking nutzen würde. Schlusslicht würd eich nicht sagen, sondern es hängt von der Konfiguration ab, welche dann wiederum kompliziert wird. Bin da auch kein firewall Experte. Ich glaube aber man kann eine Linuxdistribution (theoretisch) sehr sicher konfigurieren. Die bei einigen hier nicht so beliebten apps sind klar einfacher in der Anwendung out-of-the-box.

[Gast240408]

28 minutes ago, oktavian said:

es gibt multiboot.

Relativ. Intel- und AMD-Prozessoren haben komplette Betriebssyteme (IME, PSP) den aktuellen BIOS-Aequivalenten vorgelagert, die tiefer liegen als ein Rootzugriff. Sind diese korrumpiert, kannst du dem System prinzipiell nichts mehr glauben, multiboot oder nicht. Uebersteht auch einen kompletten Neuaufsatz des/der OS. Aber OK: Bevor das noetig ist, hat jedes System jede Menge leichter vollziehbare Angriffsvektoren.

[hquw]

vor 1 Stunde von oktavian:

Ich glaube aber man kann eine Linuxdistribution (theoretisch) sehr sicher konfigurieren. Die bei einigen hier nicht so beliebten apps sind klar einfacher in der Anwendung out-of-the-box.

Ja, man kann auch Desktop-Anwendungen auf einem GNU/Linux selbst sandboxen. Bubblewrap wäre so ein Beispiel, das wird in Kombination mit Flatpak benutzt. Es ist aber nicht besonders gut integriert und niemand macht das für jede einzelne Anwendung. Und am Ende ist es noch immer nicht so gut wie ein Android oder iOS, weil die ganzen Berechtigungen nicht wirklich fein granuliert sind. Das UNIX-Rechtemodell ist einfach zu simpel für so etwas.

 

Man könnte natürlich auch einfach Chrome OS Flex benutzen. Allerdings ist das entsprechend eingeschränkt. Wäre aber meine erste Wahl für ein dediziertes, sicheres System, auf dem man nur einen Webbrowser braucht. Das ist schon sehr sicher und einfach zu updaten. Es gibt ja mittlerweile so günstige oder auch einfach gebrauchte Mini-PCs. Das wäre schon eine sehr gute Kombination.

 

Android und iOS sind aber standardmäßig einfach viel besser gehärtet. Konsequentes Sandboxing ist der Standard. Mit einem Pixel oder iPhone ist man sicherheitstechnisch schon sehr gut versorgt, wenn man zeitnah die Sicherheitsupdates einspielt.

[alsuna]

vor einer Stunde von hquw:

wenn man zeitnah die Sicherheitsupdates einspielt.

Und genau da werfen uns die Praktiken der Hersteller Steine zwischen die Beine. Auf meinem alten Laptop von 2008 (!) läuft das aktuellste Linux vollkommen ohne Probleme. Mein altes Samsung Handy von 2017 hat 2018 das letzte Mal ein Update für's Betriebssystem bekommen. 

[oktavian]

vor 3 Stunden von hquw:

Android und iOS sind aber standardmäßig einfach viel besser gehärtet. Konsequentes Sandboxing ist der Standard. Mit einem Pixel oder iPhone ist man sicherheitstechnisch schon sehr gut versorgt, wenn man zeitnah die Sicherheitsupdates einspielt.

es gibt/gab Software mit zero day exploits, durch welche man root über den webbrowser erreicht ohne Nutzerinteraktion für Andoroid/IOS. Wird an Regierungen und Geheimdienste verkauft. Meines Wissens haben normale Verbrecher das zwar nicht, aber Nordkorea und Co rüsten ziemlich auf im Cyberspace, um an Devisen zu kommen. Ausreichend automatisiert kann das als Zweitverwertung auch für so simple Diebstähle interessant sein. Ist nur eine Frage der Zeit bis die bösen Staatshacker auch mal eine Lücke finden und wegen der Nutzerzahlen ist IOS/Android eher ein Ziel als Linux.

[hquw]

vor 3 Stunden von oktavian:

wegen der Nutzerzahlen ist IOS/Android eher ein Ziel als Linux.

Spielt letztendlich keine Rolle. Exploits für iOS und Android sind real teurer, kann man z.B. bei Zerodium angucken. Exploits für Linux-Desktops sind dagegen fast schon spottbillig. Kann man (leider) alles einkaufen.

vor 6 Stunden von alsuna:

Und genau da werfen uns die Praktiken der Hersteller Steine zwischen die Beine. Auf meinem alten Laptop von 2008 (!) läuft das aktuellste Linux vollkommen ohne Probleme. Mein altes Samsung Handy von 2017 hat 2018 das letzte Mal ein Update für's Betriebssystem bekommen. 

Du bekommst noch Microcode-Updates für CPUs aus 2008? Die Spectre-Lücken wurde auf Hardware aus dieser Ära z.B. nie geschlossen. Da hilft dir auch eine aktuelle Linux-Distribution nicht weiter.

[oktavian]

vor 11 Stunden von hquw:

Spielt letztendlich keine Rolle. Exploits für iOS und Android sind real teurer, kann man z.B. bei Zerodium angucken. Exploits für Linux-Desktops sind dagegen fast schon spottbillig. Kann man (leider) alles einkaufen.

der Finderlohn für exploits ist bei Zerodium für android/IOS wesentlich höher als bei Linux. Verkaufspreise sehe ich da keine. Gegen herkömmliche Angriffe ist man mit 2 FA abgesichert.

vor 11 Stunden von hquw:

Du bekommst noch Microcode-Updates für CPUs aus 2008? Die Spectre-Lücken wurde auf Hardware aus dieser Ära z.B. nie geschlossen. Da hilft dir auch eine aktuelle Linux-Distribution nicht weiter.

das ist zwar off-topic mit dem 2 FA Thema, aber die Software spielt schon eine Rolle. Es gibt patches für windows/linux und webbrowser. Zudem sind das eher Themen für (virtuelle) server. Auf dem desktop muss man zuerst eine Lücke finden.

 

@wpf-leserWie sieht es eigentlich mit session TAN aus? Die aktuelle session hätte damit umfassende Rechte - auch abseits von apps.

 

 

[hquw]

vor 4 Stunden von oktavian:

Es gibt patches für windows/linux und webbrowser. Zudem sind das eher Themen für (virtuelle) server. Auf dem desktop muss man zuerst eine Lücke finden.

Da muss ich leider widersprechen. Jeder Browser ist praktisch eine clientseitige Anwendungsplattform. Die JavaScript-Engines und WASM sind eben Laufzeitumgebungen. Man führt andauernd fremden Code im Web-Kontext aus. Das ist auch nicht schlimm, weil die Browserhersteller sicherheitstechnisch sehr gut aufgestellt sind, aber bei so Sachen wie Spectre ist das natürlich ein potenziell schwerwiegendes Problem, weil für alte CPUs schlicht keine Patches existieren. Windows, Linux und macOS verteilen auch nur die bestehenden Microcode-Updates bzw. haben ein paar Abmilderungen, aber auch das hilft nur zuverlässig bei relativ aktuellen CPUs.

 

So OT finde ich das eigentlich auch nicht. 2FA soll ja primär die Sicherheit verbessern, aber wenn die restliche Sicherheit nicht in Ordnung ist, bringt auch 2FA nur wenig. Darauf kann man in dem Kontext denke ich schon drauf hinweisen. 2FA ist kein Trick, mit dem man auf unsicheren Systemen plötzlich sicher Online Banking nutzen kann.