Nachdem ich sicherheitstechnisch in den letzten Jahren auf lange, kryptische Passwörter in Zusammenarbeit mit Enpass gesetzt habe, möchte ich nun einige Logins auf 2FA umstellen.
Welche Authentifizierungs-Apps sollte ich verwenden?

Google Authenticator. Aber ist das sinnvoll und zielführend bei sicherheitskritischen Apps ausgerechnet auf die Datenkrake Google zu setzen? Und das noch vor dem Hintergrund, das Google schon etliche gute Tools einfach hat sterben lassen?

‎Microsoft Authenticator. Hüstel. Wirklich?

Synology Secure SignIn. Würde passen, da ich eh eine Synology besitze und auch dort 2FA aktivieren möchte. Aber: Taiwanesische (= chinesische) Software.

Oder sehe ich das alles zu eng? Was setzt ihr ein bzw. was könnte ihr (nicht) empfehlen?

Du sprichst jetzt vom Real-Time-Phishing. Eine Website gibt vor, die echte Seite für die Passworteingabe zu sein. Der TOTP, der dort eingegeben wird, kann innerhalb des 30 Sekunden-Zeitfensters direkt vom Betrüger für die echte Website genutzt werden
Wer so etwas bauen möchte: das ist sogar Open Source bei Github

Mit Verlaub, nein, ist es nicht. Generell kann jeder einen AppStore aufbauen – ja, etwas Geld wird schon benötigt… –, aber generell kann jeder. Und falls es noch nicht aufgefallen ist, finden zu Haufe Angriffe auf die IT statt. Damit meine ich nicht nur die Situation um Russland, sondern ganz allgemein. Was also, wenn nun ein Staat meint selbiges unter einem Deckmantel eines Unternehmens, welches in einem anderen Land sitzt, tun zu wollen ?? Na dann man mal viel Spaß mit den Apps, die dort herkommen…

Ja, Apples App Store ist nicht frei von Zweifeln und es sind ja nun auch schon »betrügerische Apps« aufgetaucht. Aber generell hat gerade Apple die Möglichkeit die Schranken deutlich höher zu setzen und alles deutlich besser zu kontrollieren, als andere es je könnten ( Ich hoffe, sie sagen es nicht nur, sondern tun es auch… ).

Deshalb sinkt in meinen Augen – mag falsch sein, aber ich sehe es so – die Sicherheit rapide, weil Du Kontrolle / Einschränkungen reduzierst zu Gunsten einer »Marktöffnung«, die Sicherheit eben deutlich reduzieren kann – und m.M.n. auch wird. Und in durchaus demokratischen Ländern ist ein gerüstet Maß an Einschränkung durchaus ein legitimer Ansatz zur Erhöhung von Sicherheit, wenn es von den Betroffenen ( also uns Apple Nutzern im allgemeinen ) gewünscht wird.

Ich hätte es schlauer gefunden, wenn man Apple gesagt hätte: »Hört mal, entweder ihr öffnet das System für andere Stores ( was ihr nicht tun werdet, weil euch ja die Sicherheit eurer Kunden so wichtig ist ) oder ihr senkt die Gebühren, so daß ihr zwar verdient, aber eine – ich nenne es mal – »marktbeherrschende Dominanz« monetär nicht entsteht. Also max 10/15% des VK an Apple ( o.ä. ?? ) oder mit Staffeln oder oder oder. Und die Öffnung mit anderen Zahlungssystemen abrechnen zu können, wäre damit auch zusätzlich möglich/ vorschreibbar. ABER: Keine Senkung der Sicherheit !!!

Ist ein extrem komplexes Thema und es wird sicherlich keine Meinung richtig/falsch geben. Ich werde aber zumindest eher mit suboptimalen Apps arbeiten oder mir anders versuchen zu helfen, als daß ich Apps aus einem fremden App Store auf iPhone/iPad/Mac installiere. Und ja – ich zögere durchaus, bevor ich etwas aus dem Web lade und schaue es mir genau an, wer das da so ist, hinter der App.

Ich glaube, ich könnte den längsten Eintrag hier knacken, aber ersteinmal bin ich auf Deine/Eure Antworten gespannt…

Ggf. zu sprunghafte Gedanken bitte ich zu entschuldigen

Greetings, C.

• Ein alternativer App Store lässt sich nur installieren, wenn Safari installiert ist und ein Apple-Account vorhanden ist. Der alternative App Store wird also über die Apple-Infrastruktur installiert.
• Jede App im alternativen Store muss von Apple notarisiert und freigegeben werden, womit die gleichen Sicherheitsüberprüfungen wie im App Store durchgeführt werden.

Die alternativen Stores sind damit keineswegs frei alles in ihren Stores zu veröffentlichen. Zudem nehme ich mal stark an, dass die Alternativen ihre 10 Apps in- und auswendig kennen und viel besser als Apple die 1 Millionen Apps im App Store.

Muss man sich für einen alternativen Store nicht auch bei Apple registrieren?

Ergänzung zum Thema 2FA:

während das Mitlesen von SMS bekannt ist und so ein Angriff mit geringstem Kostenaufwand zu bewerkstelligen ist, dieser aber bedingt, dass Angreifer wie Ziel sich in derselben Funkzelle befinden müssen - und damit diese Angriffsart für Otto Normalverbraucher kein realistisches Bedrohungsszenario darstellen sollte - gibt es anscheinend noch eine weitere Methode: "SS7".
Der interessante Artikel dazu ist auf heise.

Der "SS7"-Weg ermöglicht also ebenfalls das Mitlesen (und mehr womöglich) - nur ganz ohne Funkzellen-Limitation. Die klinken sich gleich ins ganze Netz ein.
Offensichtlich ist so eine "Dienstleistung" nur für bestimmte Akteure mit grösserem Geldbeutel bzw. Interessen, die denen der Skriptkiddies übersteigen. Aber weiterhin eher "nur" ein Risiko für High Profile Ziele.

AFAIK ist mit diesen Methoden das Mitlesen von SMS mit RCS nicht mehr möglich. Meine SMS sind fast alle RCS, kaum jemand hat (noch) kein RCS.

mit den genannten Methoden vermutlich nicht, dafür werden sich aber andere Methoden ihren Weg bahnen solange Apples RCS Implementation gar keine E2E Verschlüsselung beinhaltet.

Klar, daraus schließe ich im Umkehrschluss, dass die meisten meiner Kontakte Android haben, wo RCS schon lange E2E-verschlüsselt ist (die Messages App zeigt an, ob E2E oder nicht).

So unterschiedlich sind die Erfahrungen. Ich kenne keinen einzigen Aber das dürfte dem Umstand geschuldet sein, dass RCS für iOS (iOS explizit, denn für Android wird es unterstützt) in der Schweiz (immer noch) nicht unterstützt wird von den 3 grössten Providern

Ja, in der Schweiz ist der iPhone-Anteil viel größer als in Deutschland 👍

Habe Authy in Verwendung, werfe mich aber zusehend immer mehr Apples "Passwort"-App an den Hals. Hat den Convience-Faktor. Alles an einem Ort, auf allen Apple-Geräten gesynct. Und (angeblich) verschlüsselt.