Wenn man es nur richtig nutzt stellt der Verlust eines Handys
überhaupt kein Problem für die 2-Faktor-Auth dar, auch ohne
irgendwelche sonstigen komplizierten vorbereitenden Maßnahmen oder
Sonderlocken solcher Verfahren.
Z. B. sollte ich mal mein Handy verlieren hole ich mir aus meinem
Auto das Ersatzhandy (Twin-Card), lasse es von der Hotline zum
SMS-Primärhandy umstellen, und sofort funktioniert die
Google-2-Faktor-Auth wieder. Das gilt für alle SMS-basierten
Verfahren. Die 2-Factor-Auth ist also wirklich die allergeringste
Sorge wenn mir mein Handy mal abhanden kommen sollte.
Aber:
Meiner Meinung nach ist eine beliebige Authentikationslösung, die ein
Problem damit hat, wenn einem ein Faktor mal abhanden kommt,
grundlegend falsch konstruiert.
Ich würde sogar noch viel weiter gehen und behaupten, um überhaupt
als "grundlegend brauchbar konstruiert" zu gelten, muss vorgesehen
sein, dass man auch mal alle Authentikationsfaktoren zusammen
verliert.
Beispiel:
- Um umzuziehen chartert man ein Schiff auf das man ohne Ausnahme
alle seine Sachen packt, und schippert über den Ozean. (Keine
Postadresse.)
- Das Schiff säuft über dem Marianengraben ab. In 10km Tiefe
explodiert es und schreddert alle Besitztümer in ihre Moleküle,
danach implodiert es damit man auch sicher nichts mehr
zusammenpuzzeln kann. (Keine Authentikatoren, keine Apps.)
- Während man als Schiffbrüchiger 2 Jahre auf einer einsamen Insel
verbringt, wird man offiziell für tot erklärt. (Sterbefall.)
- Man wird schließlich von der Insel gerettet wobei man beide Hände
(keine Fingerabdrücke), alle Zähne (keine Zahnarztunterlagen) und
auch die Augen (keine Irisscans) verliert.
- In der Zeit auf der Insel hat man natürlich auch alle seine
Passworte vergessen.
- Außerdem sind alle Angehörigen oder Bekannten, die die Identität
bestätigen könnten, in der Zwischenzeit entweder verstorben, oder
zusammen mit dem Schiffbruch umgekommen. (Kein Leumund.)
- In den 2 Jahren hat man sich derart verändert, dass man auf alten
Fotos nicht mehr wiederzuerkennen ist (keine sonstige Biometrie).
Auf die konstruierte Dramatik eines solchen Drehbuchs möchte ich hier
nicht weiter eingehen, es geht nur um die Konstruktion eines rein
hypothetischen Falls, der gleichzeitig alle Faktoren enthält, was so
eben mal möglicherweise schief gehen kann. YKWIM.
In der Realität lässt sich solch ein Fall durchaus lösen:
- Man buddelt einen Angehörigen aus den Gräbern aus. (Irgendeine
Leiche wird sich schon finden lassen.)
- Man führt einen Gentest durch und bestätigt somit die genetische
Abstammung. (Adoption, vertausche Säuglinge oder Kuckuckskinder
überlassen wir Hollywood.)
- Daraufhin sucht man die Geburtsurkunde raus.
- Der Totenschein wird zurückgenommen.
- Neue Ausweise werden erstellt.
- Die alte Identität ist wieder da.
Und jetzt muss derjenige mit den neuen Papieren auch die
Authentikation wieder herstellen lassen können. Schließlich kann er,
dank der Melderegister (wir sind in Deutschland, richtig?), seine
früheren Wohnsitze nachweisen.
Ob jemand wegen eines Microsoft-Accounts solch einen Aufwand treiben
will sei dahingestellt. Aber ich gehe mal davon aus, bei Google
würde das funktionieren.
-Tino
überhaupt kein Problem für die 2-Faktor-Auth dar, auch ohne
irgendwelche sonstigen komplizierten vorbereitenden Maßnahmen oder
Sonderlocken solcher Verfahren.
Z. B. sollte ich mal mein Handy verlieren hole ich mir aus meinem
Auto das Ersatzhandy (Twin-Card), lasse es von der Hotline zum
SMS-Primärhandy umstellen, und sofort funktioniert die
Google-2-Faktor-Auth wieder. Das gilt für alle SMS-basierten
Verfahren. Die 2-Factor-Auth ist also wirklich die allergeringste
Sorge wenn mir mein Handy mal abhanden kommen sollte.
Aber:
Meiner Meinung nach ist eine beliebige Authentikationslösung, die ein
Problem damit hat, wenn einem ein Faktor mal abhanden kommt,
grundlegend falsch konstruiert.
Ich würde sogar noch viel weiter gehen und behaupten, um überhaupt
als "grundlegend brauchbar konstruiert" zu gelten, muss vorgesehen
sein, dass man auch mal alle Authentikationsfaktoren zusammen
verliert.
Beispiel:
- Um umzuziehen chartert man ein Schiff auf das man ohne Ausnahme
alle seine Sachen packt, und schippert über den Ozean. (Keine
Postadresse.)
- Das Schiff säuft über dem Marianengraben ab. In 10km Tiefe
explodiert es und schreddert alle Besitztümer in ihre Moleküle,
danach implodiert es damit man auch sicher nichts mehr
zusammenpuzzeln kann. (Keine Authentikatoren, keine Apps.)
- Während man als Schiffbrüchiger 2 Jahre auf einer einsamen Insel
verbringt, wird man offiziell für tot erklärt. (Sterbefall.)
- Man wird schließlich von der Insel gerettet wobei man beide Hände
(keine Fingerabdrücke), alle Zähne (keine Zahnarztunterlagen) und
auch die Augen (keine Irisscans) verliert.
- In der Zeit auf der Insel hat man natürlich auch alle seine
Passworte vergessen.
- Außerdem sind alle Angehörigen oder Bekannten, die die Identität
bestätigen könnten, in der Zwischenzeit entweder verstorben, oder
zusammen mit dem Schiffbruch umgekommen. (Kein Leumund.)
- In den 2 Jahren hat man sich derart verändert, dass man auf alten
Fotos nicht mehr wiederzuerkennen ist (keine sonstige Biometrie).
Auf die konstruierte Dramatik eines solchen Drehbuchs möchte ich hier
nicht weiter eingehen, es geht nur um die Konstruktion eines rein
hypothetischen Falls, der gleichzeitig alle Faktoren enthält, was so
eben mal möglicherweise schief gehen kann. YKWIM.
In der Realität lässt sich solch ein Fall durchaus lösen:
- Man buddelt einen Angehörigen aus den Gräbern aus. (Irgendeine
Leiche wird sich schon finden lassen.)
- Man führt einen Gentest durch und bestätigt somit die genetische
Abstammung. (Adoption, vertausche Säuglinge oder Kuckuckskinder
überlassen wir Hollywood.)
- Daraufhin sucht man die Geburtsurkunde raus.
- Der Totenschein wird zurückgenommen.
- Neue Ausweise werden erstellt.
- Die alte Identität ist wieder da.
Und jetzt muss derjenige mit den neuen Papieren auch die
Authentikation wieder herstellen lassen können. Schließlich kann er,
dank der Melderegister (wir sind in Deutschland, richtig?), seine
früheren Wohnsitze nachweisen.
Ob jemand wegen eines Microsoft-Accounts solch einen Aufwand treiben
will sei dahingestellt. Aber ich gehe mal davon aus, bei Google
würde das funktionieren.
-Tino