Zitat:
Zitat von steve.hatton
In Bezug auf die Zwei-Faktor-Authentifizierung stellt sich mir noch eine Frage:
Werden diese Daten auch getrennt bei Emittenten gespeichert ?
|
Der zweite Faktor wird nirgends gespeichert, das ist doch ein Stück Hardware beim Kunden (ein Handy, an das eine SMS geschickt wird, oder eine Chipkarte für den TAN-Generator).
Um da zu manipulieren, müsste ein Angreifer entweder Schreibzugriff auf das System haben und z.B. eine fremde Handy-Nummer in deine Kundendaten schmuggeln, oder das ganze System hat eine Lücke, mit der man die Authentifizierung komplett umgehen kann, z.B. indem eine bestehende Sitzung nach erfolger Anmeldung des rechtmäßigen Besitzers vom Angreifer übernommen wird. Gegen letzteres hilft dann aber auch kein noch so sicheres Authentifizierungsverfahren mehr.