Seit dem letzten Update des FritzOS ist es nicht mehr möglich, die lokale Bestätigung wichtiger Einstellungen per Telefon oder Taste zu deaktivieren. Für alle, die Fernwartung machen, absolut bescheuert ... Damit hat sich die Fritzbox eigentlich endgültig zu einem reinen Home-Router disqualifiziert. Das Problem: In vielen Firmen wissen die Entscheider davon nix und bestellen den Mist trotzdem. Gibts eigentlich eine wirkliche Alternative? Für den reinen Internet-Zugang per DSL oder Kabel oder LWL kenne ich natürlich Geräte zur Genüge. Das Verlockende an einer Fritte ist ja die Vielfalt der integrierten Funktionen in der kleinen Schachtel: Internet, DHCP, VPN, TK-Anlage, (simples) NAS ... Was hat die Leute von AVM nur geritten? Das passt sich leider in die immer mehr umsich greifende Unsitte der "wohlmeinenden Zwangsbeglückung" ein. Firefox macht mich z.B. immer mal wieder wahnsinnig, weil es z.B. beim Versuch von Zugriffen auf die GUI lokaler Geräte oder MC-Dienste mit einfachem HTTP statt HTTPS extrem nervt ...
https://at.avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3709_Kann-die-zusatzliche-Bestatigung-in-der-FRITZ-Box-deaktiviert-werden/ Beschwert euch hier: https://at.avm.de/kontakt/
Steht dich da, dass man das auch per Fernwartung mit Authenticator als 2nd Factor machen kann. Also nix mit disqualifiziert. Da tut mal jemand was für die Sicherheit bevor es klatscht und dann isses auch nicht recht?
Frank E. schrieb: > Damit hat sich die Fritzbox eigentlich endgültig zu einem reinen > Home-Router disqualifiziert. Das war schon immer so. > Das Problem: In vielen Firmen wissen die > Entscheider davon nix und bestellen den Mist trotzdem. Die müssen jetzt halt mal auf die Fresse fallen und lernen.
Was spricht denn gegen die Bestätigung per Authenticator App?
Frank E. schrieb: > Damit hat sich die Fritzbox eigentlich endgültig zu einem reinen > Home-Router disqualifiziert. Die Fritzen waren noch nie für Business-Einsatz konzipiert, folglich hat sich da auch nichts disqualifiziert. Wobei wir im Unternehmen trotzdem etliche einsetzen, und zwar effektiv als DSL/Kabel-Modem bei VPN-Anbindungen. Die eigentliche VPN machen andere Devices, aber als Quasi-Modem sind die Fritzen dabei durchaus zu gebrauchen und im Unterschied zu manchen Business-Linien stets aktuell. MyFritz ist zur Verwaltung der Boxen durchaus nützlich. > In vielen Firmen wissen die > Entscheider davon nix und bestellen den Mist trotzdem. Dafür kann AVM nichts. ;-)
:
Bearbeitet durch User
(prx) A. K. schrieb: > Was spricht denn gegen die Bestätigung per Authenticator App? Dass ich dazu noch 'ne zusätzliche sch... App brauche? Wenn ich per VPN in einem Netz bin und User/Passwort eingegeben habe, reicht das eigentlich. Da brauche ich keinen zusätzliches proprietäres Kasperletheater ...
Beim Zugriff aus dem Internet und dem Heimnetz können Sie einen Bestätigungscode aus einer Authenticator App (z.B. Google Authenticator App) eingeben. Man beachte "UND" Verknüpfung. Internet Tot nix mehr an der Fritzbox änderbar. Und auf 3rd Party extern angewiesen zu sein - NOGO.
Chris K. schrieb: > Beim Zugriff aus dem Internet und dem Heimnetz können Sie einen > Bestätigungscode aus einer Authenticator App (z.B. Google Authenticator > App) eingeben. > Man beachte "UND" Verknüpfung. Internet Tot nix mehr an der Fritzbox > änderbar. > Und auf 3rd Party extern angewiesen zu sein - NOGO. Die App braucht kein Internet. Du initialisiert die mit einem Code und dann läuft die auch offline, die soll gar keinen Internetzugriff haben. Gibt solche Geräte auch extern mit kleinem Display...
Frank E. schrieb: > Da brauche ich keinen zusätzliches proprietäres Kasperletheater ... Der Trend zu 2FA ist an dir vorüber gegangen? Und die Erkenntnis, dass Passwörter manchmal "befreit" werden. Der Authenticator ist nicht proprietär, sondern Open Source. https://github.com/google/google-authenticator
:
Bearbeitet durch User
Frank E. schrieb: > Alternative? Hier läuft eine bintec-elmeg be.IP plus. Nicht so simpel zu administrieren mit an vielen Ecken unlogischer Struktur. Das Ding hat Probleme mit einigen SIP-Anbietern, bintec kümmert sich bevorzugt um Telekom-SIP. Als Endkunde steht man im Regen, der Laden bietet keinen Support. Mit einer veränderten Software gab es die als 'Telekom Digitalisierungsbox professional', die sich evtl. gebraucht günstig angeln lässt. Abgespeckt auch als Telekom 'Digitalisierungsbox smart'. Eine solche habe ich hier im Regal als Reserve liegen, Netzwerk, WLAN und Telefonie funktionieren. Sie sind noch mit Updates versorgt! 60/40 schrieb: > zu einem reinen Home-Router disqualifiziert. > Das war schon immer so. Simpel einzurichten und ansonsten eben doof. Ich warte noch darauf, dass Fritz! Brot backen kann, Features aka Spielereien anstatt solider Netzwerkfunktionen sind nicht wichtig. >> Das Problem: In vielen Firmen wissen die >> Entscheider davon nix und bestellen den Mist trotzdem. > Die müssen jetzt halt mal auf die Fresse fallen und lernen. Nö, die beiden mir bekannten Firmenadmins haben keine Fritzchen im Netz. (prx) A. K. schrieb: > als Quasi-Modem sind die Fritzen dabei durchaus zu gebrauchen > und im Unterschied zu manchen Business-Linien stets aktuell. Vor 4 Jahren habe ich vom Netzbetreiber htp eine Fritz-7560 bekommen, für die gibt es keine Updates mehr.
Chris K. schrieb: > Internet Tot nix mehr an der Fritzbox änderbar. Den Fritz per Internet zu administrieren ist ohne Internet etwas schwierig. Aber mit dem Authenticator hat das nichts zu tun. Du hast allerdings keine Ahnung, wie der arbeitet.
(prx) A. K. schrieb: > Frank E. schrieb: >> Damit hat sich die Fritzbox eigentlich endgültig zu einem reinen >> Home-Router disqualifiziert. > > Die Fritzen waren noch nie für Business-Einsatz konzipiert, folglich hat > sich da auch nichts disqualifiziert. Ich betreue ca. 20 Netze kleiner Unternehmen, Praxen oder Kanzleien mit so 3 bis 5 Arbeitsplätzen. Die haben selbstverständlich alle eine Fritte. Gerade bei VPN (Cisco IPSec) ist es für den Admin bisher sehr komfortabel, dass das mit MacOS-Bordmitteln funktioniert ... keine extra App bzw. Client nötig.
Ich brauch nur BRAIN und nicht die Abhängigkeit zu einem Handy .... 2FA ist kein Allheilmittel https://www.heise.de/select/ix/2019/10/1916911165814422074 Am Schluss haben wir 100FA und sind noch immer unsicher oder wir schalten die Technik einfach ab. So wie in der IT ich schreibe dir mehr Sicherheit vor, ==> Dann soll die IT mal meinen Job für mich machen wenn ich es nicht mehr bedienen kann.
Boomer schrieb: > Chris K. schrieb: >> Beim Zugriff aus dem Internet und dem Heimnetz können Sie einen >> Bestätigungscode aus einer Authenticator App (z.B. Google Authenticator >> App) eingeben. >> Man beachte "UND" Verknüpfung. Internet Tot nix mehr an der Fritzbox >> änderbar. >> Und auf 3rd Party extern angewiesen zu sein - NOGO. > > Die App braucht kein Internet. > Du initialisiert die mit einem Code und dann läuft die auch offline, die > soll gar keinen Internetzugriff haben. > Gibt solche Geräte auch extern mit kleinem Display... https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator Die Fritzbox unterstützt wohl TOTP. Besser als der Rotz der Banken mit App auf dem Handy.
Manfred schrieb: > Vor 4 Jahren habe ich vom Netzbetreiber htp eine Fritz-7560 bekommen, > für die gibt es keine Updates mehr. "Aktuell" war im dem Sinn gemeint, dass für die sich schnell entwickelnde Szenerie der Internet-Anschlüsse stets ein Gerät zur Verfügung steht. Das ist nicht bei allen Business-Geräten der Fall. Wenn die Box vom Provider gestellt wird, müsste der eigentlich auch für Ersatz sorgen. Wenn er nicht selbst auf die Idee kommt und die Hotline sich stur stellt, kann eine Kündigung helfen. Mit anschliessendem Hinweis, dass man des sich nochmal überlegen werde, wenn...
Frank E. schrieb: > Die haben selbstverständlich alle eine Fritte. Wenn du ein Gerät für Unternehmenseinsatz nutzt, das diesen Bereich nicht adressiert, ist das nicht das Problem von AVM. Und warum nutzt du es: Weil es weit günstiger ist, als jene Produkte, die dafür konzipiert sind. Du willst also ein Business-Produkt zum Preis eines Home-Routers haben, und machst einen auf HB-Männchen, wenns da mal eine kleine Hürde gibt.
Boomer schrieb: > https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator > > Die Fritzbox unterstützt wohl TOTP. > > Besser als der Rotz der Banken mit App auf dem Handy. Wow wieder 50 €für den tollen Elektronikschrott den ich garantiert nicht dabei habe wenn ich es benötige. Murhys Law trifft immer zu. Vom Banken App auf dem Handy halte ich auch nichts. Ich begeb mich doch nicht in die SW update Abhängigkeitsfalle unter OS ? kommst du nicht rein ... Achtung das Handy ist gerootet ...... Gleiches bei Android: https://www.netzwelt.de/news/212990-android-14-google-will-externe-app-downloads-stark-einschraenken.html Bald halten wir uns einen Tonziegel ans Ohr so sicher wie alles wird ;-).
Chris K. schrieb: > Wow wieder 50 €für den tollen Elektronikschrott den ich garantiert nicht > dabei habe wenn ich es benötige. Worauf du den Authenticator-Algorithmus laufen lässt, ist für das Verfahren egal. Das kann auch ein PC-Programm sein. Wär nur günstig, wenn die geheime Grundlage davon auch geheim bleibt, und dabei kann so ein "Elektroschrott" helfen, wenn man Smartphones nicht über den Weg traut.
(prx) A. K. schrieb: > Manfred schrieb: >> Vor 4 Jahren habe ich vom Netzbetreiber htp eine Fritz-7560 bekommen, >> für die gibt es keine Updates mehr. > > Wenn die Box vom Provider gestellt wird, müsste der eigentlich auch für > Ersatz sorgen. Die Box gab es beim Abschluß kostenlos dazu, sie ist nicht gebrandet und wird auch nicht vom Provider betreut oder konfiguriert. > Wenn er nicht selbst auf die Idee kommt und die Hotline > sich stur stellt, kann eine Kündigung helfen. Mit anschliessendem > Hinweis, dass man des sich nochmal überlegen werde, wenn... Da werde ich vermutlich ausgelacht, weil ich alternativ nur Telekom mit erheblich geringerer Geschwindigkeit hätte. Gäbe es eine Alternative, würde ich aus anderen Gründen einen Wechsel in Betracht ziehen. Ob man sich auf 24-Monate Verlängerung einlassen würde, wäre zu hinterfragen. Werde ich nicht tun, da Fritzchen eh nicht in Benutzung ist.
Manfred schrieb: > Da werde ich vermutlich ausgelacht Ein Kollege holt auf diese Art alle 2 Jahre eine Vergünstigung raus, ob neuen Router, ob Rabatt auf den monatlichen Beitrag.
Frank E. schrieb: > In vielen Firmen wissen die > Entscheider davon nix und bestellen den Mist trotzdem. Dann sitzen vielleicht die Falschen an den verantwortlichen Stellen. (prx) A. K. schrieb: > Worauf du den Authenticator-Algorithmus laufen lässt, ist für das > Verfahren egal. Das kann auch ein PC-Programm sein. Z.B. WinAuth (https://github.com/winauth/winauth). Ich nutze einen externen Authenticator (wurde weiter oben schon verlinkt), der ist autark und ohne jegliche Verbindung zu anderen Geräten, und somit sicher. Chris K. schrieb: > Achtung das Handy ist gerootet ...... So ist das eben. Bei mir auf dem Samsung-Smartphone laufen Banking-Apps und andere sicherheitsrelavante Anwendungen im "Secure-Folder". Da kommt (derzeit) kein Hacker rein (Side-Loading ist im Secure-Folder nicht möglich). Sicherheit kostet nun mal Geld. Aber weniger als man bei einem erfolgreichen Hackerangriff verlieren könnte. > Zitat von Heise "Mit diesem Secret als Seed erzeugt die App > beispielsweise jede Minute eine neue Zufallszahl" Üblich sind alle 30 Sekunden, also zwei mal pro Minute. 2FA per SMS-Token gehört eh verboten, denn das ist schon ewig unsicher (Stichwort SIM-Swapping).
:
Bearbeitet durch User
(prx) A. K. schrieb: > willst also ein Business-Produkt zum Preis eines Home-Routers > haben, und machst einen auf HB-Männchen, wenns da mal eine kleine Hürde > gibt. Wundert Dich das denn? War das nicht schon oft so? Diesmal ist es wirklich gejammer auf hohem Niveau, AVM hat da mal sinnvoll was verbessert und nun ist es auch nicht recht. Das alte Verfahren war so unpraktisch das man es meist deaktiviert hat. Aber tatsächlich bietet der Markt recht wenig für's Smallbusiness. Die Probleme hast Du ja selbst kurz und knackig beschrieben. Finde mal irgendwo ein "nur Modem"! Bei den Telefonanschlüssen, vorallem der Telekom funktionieren die Homeprodukte oder eben so eine Digitalisierungsbox oft besser, als eine professionelle Anlage. Dazu kommt, das wenn man getrennte Geräte will man halt wirklich tief in die Tasche greifen muss.
Chris K. schrieb: > Wow wieder 50 €für den tollen Elektronikschrott Der Authenticator von Reiner-SCT ist kein Schrott. Den nutze ich schon lange. Der "tanJack deluxe" könnte vielleicht interessanter sein, für alle die nicht mehrere Geräte haben wollen, der deluxe beinhaltet 2FA (200+ Konten können verwaltet werden. Der gelbe Authenticator kann nur 60 Konten) sowie chipTAN-QR und SmartTAN-Photo. Leider hat der deluxe wieder einen fest eingebauten Akku, der gelbe Authenticator kommt mit 3 AAA aus und ist daher m.E. umweltfreundlicher.
René H. schrieb: > Dann sitzen vielleicht die Falschen an den verantwortlichen Stellen. Seine Kundschaft sind Arztpraxen, Anwaltskanzleien und Dergleichen, wie er oben schreibt. Dass da keine IT-Kompetenz vorliegt, kann man denen kaum vorwerfen. Das ist ja Franks Job, dafür bezahlen sie ihn. Und es ist sein Job, das passende Equipment vorzuschlagen und mit Gründen zu unterfüttern.
:
Bearbeitet durch User
Sven L. schrieb: > Diesmal ist es wirklich gejammer auf hohem Niveau Du sagst es. Und wenn AVM nichts tut und dann Hacker reinkommen, wird wieder gemeckert "Warum hat AVM nichts für die Sicherheit getan?". Die 2FA-Unterstützung in der Fritzbox wurde übrigens von sehr vielen Anwendern gewünscht.
René H. schrieb: >> Zitat von Heise "Mit diesem Secret als Seed erzeugt die App >> beispielsweise jede Minute eine neue Zufallszahl" Auch wenn Heise das geschrieben hat, ist es trotzdem falsch. Das sind keine Zufallszahlen. Der "seed" des TOTP ist ein Key (Password), den beide Seiten kennen müssen. Der wird bei der Einrichtung des 2Fa einmal im Klartext übertragen, und auf beiden Seiten abgespeichert. Zur Authentifizierung wird der dann mit der Uhrzeit als Schlüssel verschlüsselt. Das machen dann sowohl der Authentikator als auch die Gegenseite, und wenn beide zum selben Ergebnis kommen, wirds wohl stimmen. Oliver
Frank E. schrieb: > Da brauche ich keinen zusätzliches proprietäres Kasperletheater ... Mit solchen lockeren Sprüchen kannst du dich glücklich schätzen, wenn deine Kundschaft keine IT-Kompetenz vorweisen kann.
Oliver S. schrieb: > Auch wenn Heise das geschrieben hat, ist es trotzdem falsch. Jetzt leg doch bitte nicht das Wort "Zufallszahl" auf die Goldwaage. 😉 Oliver S. schrieb: > Der wird bei der Einrichtung des 2Fa einmal im Klartext > übertragen Der Secret/Seed ist aber immer im Klartext verfügbar. Der "Aegis Authenticator" kann den anzeigen. Und ich kann ihn problemlos z.B. in Excel aus dem QR-Code auslesen (VBA-Programmierung mit entsprechender Schnittstelle).
:
Bearbeitet durch User
René H. schrieb: > Der Secret/Seed ist aber immer im Klartext verfügbar. Der "Aegis > Authenticator" kann den anzeigen. Und ich kann ihn problemlos z.B. in > Excel aus dem QR-Code auslesen (VBA-Programmierung mit entsprechender > Schnittstelle). Was die Sicherheit angeht, wärs eigentlich besser, wenn man den Seed zwar in ein Gerät oder eine App rein kriegt, aber nicht so einfach wieder raus. Immerhin ist genau dieses Geheimnis entscheidend für die Sicherkeit. Wenn jemand den in Nullkommanix aus einem zufällig rumliegenden Authenticator fischen kann(?), hat man ein potentielles Problem. Natürlich ist es bequemer, wenn man ihn einfach wieder raus porkeln kann und z.B. von einem alten Handy auf ein neues kriegt. Die Google-Authenticator App erlaubt das leider, während der mittlerweile verblichene FreeOTP nicht so freigiebig war. Sicherheit und Bequemlichkeit sind Gegensätze.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Was die Sicherheit angeht, wärs eigentlich besser, wenn man den Seed > zwar in ein Gerät oder eine App rein kriegt, aber nicht so einfach > wieder raus. Mit der richtigen App kein Problem. Weder der Authentikator von google noch der von Microsoft rücken den Key jemals wieder raus. Was den entscheidenden Nachteil hat, daß man keine Kontrolle über seine eigenen Zugangspasswörter mehr hat. Andere Apps sind da wesentlich entspannter ;) Ich speichere alle Keys in keepass mit TOTP-plugin. Das liefert dann im Falle eines Falles auch den passenden QR-Code fürs Handy mit einer der beiden o.a. "wasserdichten" Apps. Man muß dann halt beim Einrichten einer 2FA-Verbindung den Key per "ich 'abe gar kein Smartphone"-Link abspeichern, und nicht direkt per QR-Code ins Handy einlesen. Oliver
:
Bearbeitet durch User
(prx) A. K. schrieb: > Was die Sicherheit angeht, wärs eigentlich besser, wenn man den Seed > zwar in ein Gerät oder eine App rein kriegt, aber nicht so einfach > wieder raus. Der 2FA-QR-Code ist/enthält auch nur Text. Genauso wie alle anderen QR-Codes. Im Prinzip steht in dem 2FA-QR-Code auch nur eine URL. Die kann man leicht programmatisch zerlegen, wenn man weiss wie es geht. Das ist auch kein Geheimnis. https://www.credativ.de/blog/howtos/qr-codes-fuer-totp-secrets-erstellen/
:
Bearbeitet durch User
René H. schrieb: > Die > kann man leicht programmatisch zerlegen, wenn man weiss wie es geht. Das erfordert allerdings mindestens einen Doktor in Kryptologie, und Zugang zu Quantenrechnern ;) Oliver P.S. otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=E xample
Oliver S. schrieb: > Man muß dann halt beim Einrichten einer 2FA-Verbindung den Key per "ich > 'abe gar kein Smartphone"-Link abspeichern Das bieten aber nicht alle Anbieter an. Ich habe so eine Funktion noch nie gesehen, mir wurde immer nur der QR-Code angeboten. Den habe ich als Bild gespeichert, und der Aegis-Authenticator (der läuft im "Secret Folder", also fast absolut sicher) zeigt mir die Secrets an.
Oliver S. schrieb: > Weder der Authentikator von google > noch der von Microsoft rücken den Key jemals wieder raus Der Bestand lässt sich beim GA ganz offiziell auf einem Gerät exportieren und auf einem anderen importieren. Sag mir, dass das harmlos ist.
:
Bearbeitet durch User
Oliver S. schrieb: > René H. schrieb: >> Die >> kann man leicht programmatisch zerlegen, wenn man weiss wie es geht. > > Das erfordert allerdings mindestens einen Doktor in Kryptologie, und > Zugang zu Quantenrechnern ;) > Unsinn. ;) Zum Zerlegen der URI braucht es keinen Doktor. Lediglich ein paar Kenntnisse zum Zerlegen von Texten. Hier mal ein Link zu meinem Testprojekt. VBA-Kennwort braucht es nicht, da Projekt ungeschützt. Beim Entpacken bitte die Ordnerstruktur beibehalten. http://www.rholtz-office.de/counters/getfile.php?id=300
:
Bearbeitet durch User
(prx) A. K. schrieb: > Sag mir, dass das harmlos ist. Das ist es auch, solange niemand Dein Smartphone in die Hände bekommt. 😉
René H. schrieb: > Das ist es auch, solange niemand Dein Smartphone in die Hände bekommt. > 😉 Genau darauf will ich ja raus. Das halte ich für eine erhebliche Schwäche, zugunsten der Bequemlichkeit. Anlass war allerdings diese Aussage: René H. schrieb: > Der Secret/Seed ist aber immer im Klartext verfügbar. Der "Aegis > Authenticator" kann den anzeigen. Nun kenne ich diesen Aegis nicht. Wie einfach ist es, den Seed von einem solchen Authenticator in einen anderen zu kriegen? Wenn so ein Ding verschwindet, ist das Risiko offensichtlich. Aber wenn der bloss mal kurz unbemerkt ausgelesen wird?
(prx) A. K. schrieb: > Wie einfach ist es, den Seed von einem solchen Authenticator in einen > anderen zu kriegen? Copy&Paste. (prx) A. K. schrieb: > Aber wenn der bloss mal kurz unbemerkt ausgelesen wird? Unbemerkt geht bei mir nicht, da er bei mir im "Secret Folder" (Knox Container) läuft. (prx) A. K. schrieb: > Wenn so ein Ding verschwindet, ist das Risiko offensichtlich Ich bezweifle, dass der "Standardfinder" da rankommt (Erstmal den Bildschirm entsperren, dann den Secret-Folder entsperren, als drittes den Aegis-Authenticator entsperren).
René H. schrieb: > Das bieten aber nicht alle Anbieter an. Ich habe so eine Funktion noch > nie gesehen, mir wurde immer nur der QR-Code angeboten. Und ich habe bei allen von mir genutzten 2FA-Anbeitern den link immer dabei gehabt. Der ist in aller Regel direkt unter dem QR-Code zu finden. René H. schrieb: > Oliver S. schrieb: >> René H. schrieb: >>> Die >>> kann man leicht programmatisch zerlegen, wenn man weiss wie es geht. >> >> Das erfordert allerdings mindestens einen Doktor in Kryptologie, und >> Zugang zu Quantenrechnern ;) >> > > Unsinn. ;) Zum Zerlegen der URI braucht es keinen Doktor. Ach ;) (prx) A. K. schrieb: > Der Bestand lässt sich beim GA ganz offiziell auf einem Gerät > exportieren und auf einem anderen importieren. Sag mir, dass das harmlos > ist. Ok, auch wenn die Daten da nicht unverschlüsselt angezeigt werden, ist es tatsächlich ein Kinderspiel, die zu extrahieren. Ich bin der Meinung, die Funktion gabs früher noch nicht. Bleibt also nur noch der Microsoft Authenticator. Der exportiert immer noch gar nichts. Oliver
:
Bearbeitet durch User
(prx) A. K. schrieb: > Seine Kundschaft sind Arztpraxen, Anwaltskanzleien und Dergleichen, wie > er oben schreibt. Dass da keine IT-Kompetenz vorliegt, kann man denen > kaum vorwerfen. Das ist ja Franks Job, dafür bezahlen sie ihn. Und es > ist sein Job, das passende Equipment vorzuschlagen und mit Gründen zu > unterfüttern. Wenn er seinen Job richtig gemacht hätte, stünden dort keine Fritten mehr. Besteht der Kunde auf Fritte, darf er sich gerne einen "netten-jungen-Mausschubser-Mann-mit-voll-krass-Ahnung-!!!!!" suchen. Damit ist dann auch der Rest der Diskusson hinfällig.
Oliver S. schrieb: > Bleibt also nur noch der Microsoft Authenticator. Der exportiert immer > noch gar nichts. Aber auch da steht es im QR-Code als Text drin. Wer den QR-Code hat, kann den auch nutzen. Im Übrigen spricht nichts gegen eine Sicherungsfunktion. Ich kann nicht verstehen, dass da immer gemeckert wird. Haben so viele Leute Fremdzugriff auf euer Smartphone, dass ihr euch darüber Gedanken machen müsst? Die Datensicherung des Authenticators gehört, genau so wie alle anderen Dateien mit wichtigem Inhalt, nicht in die Cloud. Also kein Grund sich Sorgen zu machen. Wer die Cloud nutzt darf auch nicht meckern.
(prx) A. K. schrieb: > Seine Kundschaft sind Arztpraxen, Anwaltskanzleien und Dergleichen, wie > er oben schreibt. Dass da keine IT-Kompetenz vorliegt, kann man denen > kaum vorwerfen. Das ist ja Franks Job, dafür bezahlen sie ihn. Und es > ist sein Job, das passende Equipment vorzuschlagen und mit Gründen zu > unterfüttern. Na und. Ich mache bei meinen Freunden auch Fernwartung. Wenn so was auftritt, sage ich den was sie zu tun haben. Dann gibt es hinterher auch weniger Stress. Fernwartung bedeutet nur, das man nicht für jeden Mist dahin fahren muss.
René H. schrieb: > Aber auch da steht es im QR-Code als Text drin. Wer den QR-Code hat, > kann den auch nutzen. Ja, das hat aber nichts mit der App zu tun. Das der Key einmal im Klartext übertragen werden muß (egal, ob als QR-Code oder Linktext), ist halt die Schwachstelle im System. Wer da mithören kann, bekommt vollen Zugriff auf den zweiten Faktor. Wenn der Key aber erst einmal im MS-Authetikator steckt, bekommt man den da nicht wieder ausgelesen ("nicht" im Sinne von "ist noch nicht geknackt worden"). Oliver
Oliver S. schrieb: > Wenn der Key aber erst einmal im MS-Authetikator steckt, bekommt man den > da nicht wieder ausgelesen Ohne Datensicherungsmöglichkeit ist das aber nicht unbedingt gut. Beim "Aegis Authenticator" kann man ein Backup erstellen. Dieses wird verschlüsselt abgelegt. Als Schlüssel wird automatisch das Kennwort verwendet mit dem man sich am Authenticator anmeldet, das kann man aber deaktivieren und ein individuelles Kennwort für die Datensicherung festlegen.
Frank E. schrieb: > Dass ich dazu noch 'ne zusätzliche sch... App brauche? Wenn ich per VPN > in einem Netz bin und User/Passwort eingegeben habe, reicht das > eigentlich. > > Da brauche ich keinen zusätzliches proprietäres Kasperletheater ... Ahnungslos wie du bist solltest du vielleicht nicht an der IT anderer herumfummeln. Und nein, TOTP ist nicht proprietär. Frank E. schrieb: > Ich betreue ca. 20 Netze kleiner Unternehmen, Praxen oder Kanzleien mit > so 3 bis 5 Arbeitsplätzen. Und hast keine Ahnung von MFA? Vielleicht solltest du das dann doch lieber lassen. Den Kunden zuliebe.
Vn N. schrieb: > Und hast keine Ahnung von MFA? In Netzwerken sollte man vielleicht eh über FIDO2 nachdenken. Da könnte man auch einen Konzernausweis als Zugangsmedium nutzen. Theoretisch sogar den Personalausweis (Stichwort: Personalausweis Credential Provider), das ist aber m.E. nichts für "Hobbynetzwerker".
(prx) A. K. schrieb: > it solchen lockeren Sprüchen kannst du dich glücklich schätzen, wenn > deine Kundschaft keine IT-Kompetenz vorweisen kann. Tja so kennen wir unseren Frankyboy doch! Andere holen sich ihr Wissen aus Schulungen und Seminaren, er aus dem Forum und der Computerbild. Da wird dann wahrscheinlich die Fritzbox zum Preis eines Enterprisegerätes an den Kunden verhökert und am Ende wird sich beschwert, das das Gerät für die Anforderungen, die man hat nicht geeignet ist!
René H. schrieb: > Frank E. schrieb: >> In vielen Firmen wissen die >> Entscheider davon nix und bestellen den Mist trotzdem. > > Dann sitzen vielleicht die Falschen an den verantwortlichen Stellen. kennst du nicht daas Peterprinzip? https://de.wikipedia.org/wiki/Peter-Prinzip habe ich in der Industrie genug erlebt! AVM beut tolle Dinge, aber an der Software und Beschreibung haperts, FB 3270 Umzug zur 7580. Man kann alle Einstellungen von der 3270 sichern OHNE Passwort, baut alles um und will die Einstellungen auf die 7580 zurückspielen und man wird nach einem Passwort gefragt, wie doof ist das denn? nachdem alles umgebaut ist und man an die abgebaute 3270 nicht rankommt. Ich durfte noch mal auf die Leiter und die 3270 wieder anschliessen um mit Passwort noch mal zu sichern. Mir fehlte leider ein 20m Netzwerkkabel um zum PC zu kommen, alles unter Putz verlegt
:
Bearbeitet durch User
Joachim B. schrieb: > Man kann alle Einstellungen von der 3270 sichern OHNE Passwort Soweit ich mich erinnere, steht bei Fritzens explizit dort drin, dass nur Sicherungen mit Passwort geräteübergreifend sind. Aber wer liest schon Popups. Schätze das läuft in eine ähnliche Richtung wie der Startbeitrag. Absicherung gegen Missbrauch durch Dritte. Ohne Passwort brauchst du eine Sache in Form des Originalgerätes, mit Passwort eben das Passwort.
:
Bearbeitet durch User
Moin! Die zusätzliche Bestätigung über Taste/2FA lässt sich durchaus deaktivieren, man muss es nur einmal vorbereiten. Der Trick ist, auf einer FB mit alter Firmware die Einstellung zu deaktivieren, die Config zu speichern und in der aktuellen FB einzulesen. Beim Einlesen dann nur den entsprechenden Bereich importieren und die restlichen Einstellungen aktiv lassen. Einmal deaktiviert, bleibt es deaktiviert. Bin mal gespannt, ob AVM das auch irgendwann unterbindet.
(prx) A. K. schrieb: > Soweit ich mich erinnere, steht bei Fritzens explizit dort drin, dass > nur Sicherungen mit Passwort geräteübergreifend sind. Aber wer liest > schon Popups. Platz war genug für den Text in der Oberfläche oder eben ohne Passwort speichern nicht erlaubt, das wäre ja kein Problem, aber ohne PW speichern erlauben und es denn zu fordern ist nicht gerade toll!
Onkel Hotte schrieb: > Wenn er seinen Job richtig gemacht hätte, stünden dort keine Fritten > mehr. Welche Flüche wir hier zu hören kriegen würden, wenn er es mit Bintec versucht hätte, will ich nicht wirklich wissen. Besonders die alte Textoberfläche hat was, aber die Weboberfläche ist auch nicht ohne. ;-)
:
Bearbeitet durch User
Joachim B. schrieb: > Platz war genug für den Text in der Oberfläche oder eben ohne Passwort > speichern nicht erlaubt, das wäre ja kein Problem, aber ohne PW > speichern erlauben und es denn zu fordern ist nicht gerade toll! Es wird nur gefordert, wenn du es auf einem anderen Gerät importieren willst. So steht es jedenfalls da.
(prx) A. K. schrieb: > Welche Flüche wir hier zu hören kriegen würden, wenn er es mit Bintec > versucht hätte, will ich nicht wirklich wissen. Besonders die alte > Textoberfläche hat was, aber die Weboberfläche ist auch nicht ohne. ;-) Mit der "alten Textoberfläche" per V.24 oder Telnet war ich gut vertraut, R1200, R3000 und Kollegen. Die Weboberfläche bzw. deren (un)logischer Aufbau ist ein Griff ins Klo. Schlimm finde ich die Arroganz des Ladens, Support nur für zertifizierte Partner zu leisten. Vom Leistungsumfang und Preis her halte ich deren Geräte für durchaus Konkurrenzfähig. Guckst Du mal den an: https://www.heise.de/select/ct/2019/25/1575649819093453 Der verantwortliche Softwerker muss besoffen gewesen sein, die bintec be.IP-plus hatte den selben Fehler, obwohl offiziell bestritten.
Manfred schrieb: > Mit der "alten Textoberfläche" per V.24 oder Telnet war ich gut > vertraut, R1200, R3000 und Kollegen. Die Weboberfläche bzw. deren > (un)logischer Aufbau ist ein Griff ins Klo. Die Logik kann in beiden Fällen ubskur sein, aber via Web navigiert es sich deutlich schneller von A nach B, als quer durch die Textmenus. Die R1200 kenne ich noch aus Zeiten, wo ISDN noch alternativ zu UMTS ein Thema war. Funktioniert hat es einwandfrei, aber es dauerte anfangs etwas, sich da reinzufuchsen. Später dann RS232 (bekloppter Name) und RS353. Aber die Produktzyklen sind etwas zäh und unübersichtlich, in Zeiten, in denen sich die DSL-Varianten schneller entwickeln als die Geräte dafür.
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.