2FA gibts bei Paypal ja jetzt schon.
Man muß dazu bei Paypal eine Telefonnummer hinterlegen.
Nach Eingabe des Passwortes bekommt man eine SMS aufs Telefon in der eine Nummer drin steht.
Die muß man dann eingeben.
Ist das Telefon ein Festnetztelefon, das keine SMS empfangen kann, dann bekommt man einen Anruf und eine Computerstimme spricht einem die Nummer vor.
Am Besten, man nimmt für den Empfang der SMS ein uraltes Handy ohne jegliche Smartfunktion.
Was die Passwörter angeht:
Schwache Passwörter kann man auch verhindern.
Die meisten Zugangssysteme haben eine konfigurierbare Passwortkomplexitität.
Z.B. Mindestzahl an Stellen, ob zwingend Kleinbuchstabe, Großbuchstabe, Ziffer oder Sonderzeichen im Passwort enthalten sein müssen, etc.
Auch kann man die Dauer des Passwortes begrenzen und bei Erneuerung des Passwortes prüfen, ob das eine Ähnlichkeit mit dem alten Passwort hat.
Ich habe häufiger mit größeren Konzernen zu tun und da ist es so, das Passwörter mindestens 8 Stellen haben müssen und von den 4 Merkmalen Kleinbuchstabe, Großbuchstabe, Ziffer, Sonderzeichen mindestens 3 genutzt werden müssen. Und die Dauer des Passwortes ist auf 3 Monate begrenzt, dann muß man ein neues Passwort vergeben. Dieses wird abgeprüft und darf keine Ähnlichkeit mit den bisherigen 10 Passwörtern haben. Dadurch wird verhindert, das der Benutzer z.B. nur eine Stelle ändert.
Und es findet auch Check gegen ein Wörterbuch statt. Dadurch werden auch solche unsicheren Passwörter wie z.. "P@sswort1" unterbunden, die die Merkmalsanforderungen eigentlich erfüllen.
Es liegt nur am Willen der Firmen, so etwas auch umzusetzen.
Die meisten Systeme haben die Voraussetzungen, man muß sie nur konfigurieren und scharf schalten!
Selbst Windows kann das schon seit Ewigkeiten.
Da muß man nur per Gruppenrichtlinie die Passwortkomplexitität scharf schalten.
Dann gilt:
- Passwörter dürfen nicht den Wert samAccountName (Kontoname) oder den gesamten displayName (vollständiger Name) des Benutzers enthalten. Bei beiden Überprüfungen wird die Groß-/Kleinschreibung nicht beachtet.
- mindestens X Stellen (8 Stellen ist die Standardeinstellung, kann man ändern)
- mindestens 3 der folgenden 5 Anforderungen erfüllen:
- Großbuchstaben in europäischen Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
- Kleinbuchstaben in europäischen Sprachen (a bis z, scharf-s, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
- Basis 10 Ziffern (0 bis 9)
- Nicht alphanumerische Zeichen (Sonderzeichen): (~!@#$%^&*_-+='|\(){}[]:;"' <>,.? /) Währungssymbole wie Euro oder Britisches Pfund werden für diese Richtlinieneinstellung nicht als Sonderzeichen gezählt.
- Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, aber nicht groß- oder kleingeschrieben ist. Diese Gruppe enthält Unicode-Zeichen aus asiatischen Sprachen.
Zusätzlich wird von Microsoft für systemkritische Accounts (z.B. Administratoren) empfohlen, in die Passwörter ALT-Zeichen im Bereich von 0128 bis 0159 einzubauen.
Damit werden Brute-Force Angriffe nahezu unmöglich. Selbst die weltweit schnellsten Großrecher würden Jahrtausende brauchen, das Passwort zu knacken.
Per Gruppenrichtlinie kann man auch eine Kennwortchronik scharf schalten (letzte 0 - 24 Passwörter einstellbar).
Kontosperrrichtlinen kann man auch per Gruppenrichtlinie scharf schalten (1-999 falsche Passwörter, bevor Konto gesperrt wird, 0-99.999 Minuten Sperrdauer, bis Sperre wieder aufgehoben wird)
Bei aktiver Sperre kann man sich auch mit dem richtigen Passwort nicht anmelden. Man muß warten, bis die Sperrdauer abgelaufen ist.
