Frage mich gerade, warum es in meinem Bekanntenkreis so gar keine gehackten Accounts gibt. An den Passwörtern kann es ja nicht liegen. Wahrscheinlich haben die es auch einfach noch nicht gemerkt, dass sie gehackt worden sind. Werde das mal genauer untersuchen.
Meine Bekannte war wohl Teil dieses Mega-Leaks von Usernamen und Passwörtern von vor ein paar Wochen. Auch wenn da wohl nur die Hashes geleakt worden sind - bei einfacheren Passwörtern ist dann der Offline-Brute-Force - Angriff überhaupt kein Problem. Und da hätte die 2FA alles verhindern können. Gott sei Dank war es PayPal. Wir hatten die Zahlung gemeldet und am Tag drauf kam dies Gutschrift, ohne dass die weitere Infos haben wollten. Es hat wohl nicht nur sie betroffen. Ich kann Dir gerne auch Screenshots schicken, wenn Du mir das alles nicht glaubst und denkst, ich hätte das nur erfunden, um ein Argument für 2FA zu haben
Und das ist genau meine Kernaussage für die 2FA: Auch Profis können von ihr profitieren, wenn man in aller Eile mal sein Passwort in eine gehackte Seite rein kopiert oder anderweitig einen Flüchtigkeitsfehler macht und damit sein eigentlich bombensicheres Passwort preisgibt. Keiner ist davor gefeit und wenn man sich noch so gut auskennt. Nicht Du, nicht ich. Keiner. Und dann zu sagen „Ich will keine 2FA auf eigenes Risiko!“ ist ungefähr so, als ob man sagt „Ich schnall mich nicht an, ich fahre sehr gut. Mir kann nichts passieren.“
Ich hatte gestern leider keine Zeit mehr, das Folgende zu schreiben, aber es muss der Vollständigkeit halber sein
Auch mir ist das vor einem Jahr passiert. Ich hatte (natürlich zeitlich zufällig) eine perfekt gemachte Mail bekommen von Amazon just nachdem ich etwas bei denen bestellt habe. Es gäbe Probleme mit meiner Bestellung. Also den Link in der Mail geklickt (Fehler 1), Username und Passwort über 1Password reinkopiert und Enter gedrückt (Fehler 2). Als dann keine 2FA kam, traf mich fast der Schlag. Dann war es halt direkt klar, was mir gerade passiert war. Ich hab auf die Seite geschaut, auf der ich war und dann stand dann dort so was wie
www.amazon-serv1ces.com (kann mich nicht mehr genau erinnern).
Eine Minute später kam die SMS mit dem Code auf das Handy. Und dann war es klar, dass sich entweder ein automatisches Tool oder ein Hacker gerade mit meinem User und Passwort versucht haben, sich einzuloggen. Ich habe dann natürlich sofort das Passwort geändert und mir geschworen, bei allen Accounts, wo es möglich ist, diese 2FA zu aktivieren. Ein unangenehmer Nebeneffekt seitdem ist, dass ich vermehrt Spam erhalte auf diese Adresse. Gott sei Dank ist es nicht meine Haupt-Mailadresse.
Kurzum: Ich bin nun wirklich kein Laie und auch mir ist es mal passiert. Vielleicht kannst Du jetzt verstehen, warum ich so eine finale und unabänderliche Meinung von der 2FA habe - zusätzlich zu der Tatsache, dass die Serviceanbieter halt ihre eigenen Sachen absichern können, so wie sie das wollen und dafür hoffentlich auch weiterhin keinen um Erlaubnis fragen müssen.