Grüß Gott Ihr Lieben,
so wie es aussieht kann man nicht wie bisher bei Binance die Coins - in diesem Fall die erworbenen Steem - an die Wallet schicken ohne jetzt aufgefordert zu werden eine der im Screenshot gezeigten 2-FA Methoden zu verwenden.
Ehrlich gesagt bin ich kein Freund dieser 2-FA Methoden und mag einfache Dinge, die kein technisches Spezialverständnis erfordern - insbesondere wenn diese 2-FA Geschichten mal nicht funktionieren, so wie ich es bei einer Bank dieses Jahr erlebe, die auf 2-FA umgestellt und die SMS-Geschichte abgestellt hat. Da funktioniert gar nichts mehr und das Problem ist bis heute nicht gelöst.
Nun würde ich gerne ein paar Steem, die ich zugekauft habe auf die Wallet transferieren. Also Adressnahme meiner Wallet hier auf steem eingetragen, als Netzwerk natürlich Steem und als Coin auch den Steem eingetragen. Dazu die Zahl der Coins eingetragen, die hier auf meine Wallet transferiert werden sollen und das Memo leer gelassen.
Auf Bestätigen gedrückt und dann erhalte ich die obige Nachricht, wo früher eigentlich ein Code eingegeben werden musste der aufs Handy kam.
Tja - da stehe ich nun - und hab keine Ahnung von Passkey oder gar dem Authenticator Gedöns.
Auf beides habe ich eigentlich keinen Bock, da ich den Zugriff an technische Anwendungen delegiere, die wenn sie defekt sind, ihren Dienst einstellen, einen Bug haben oder wenn mir mein Handy verloren geht oder geklaut wird, dann wohl vom Konto abschneiden, so wie es bei dem besagten Bankkonto im online Betrieb der Fall ist.
Auch habe ich keine Lust, dass ein chinesischer Broker oder wer auch immer biometrische Daten von mir erfasst - egal zu welchem Zweck. Sollte ich eines Tages schliesslich das zeitliche segnen weil meine Zeit abgelaufen ist, dann nützen den Erben Fingerabdrücke oder Irisscan zudem eh nix, weil die dann sich in nichts - genauer gesagt in Staub auflösen...
Über die Authenticator App´s liest man auch nur Problem beladenes wirres Zeug - insbesondere enorme Probleme nach einem Gerätewechsel oder Gerätetausch usw. usf. mit fraglichen Aussichten auf eine Wiederherstellung des Zugangs zu Binance.
Am liebsten wäre mir weiterhin die SMS Verfikation über mein Handy, wenn man schon 2-FA nutzt. Klappte auch immer ohne Problem und war kinderleicht. Alternativ von mir aus auch noch per email...
Meine Fragen an euch, in der Hoffnung kompetenten Rat zu erhalten:
Gibt es die Möglichkeit bei Binance ohne Passkey oder Authentificator App wie früher einfach Code Basiert den Transfer der Steem auf die eigene Wallet auf der Steemchain zu bestätigen oder ist man nun gezwungen eine der beiden Optionen (Passkey oder Authentificator App) zu nutzen?
Falls letzteres der Fall sein sollte - was ist zu beachten? Welche Methode würdet ihr verwenden - Passkey oder Authentificator App?
Das Passkey empfohlen wird und ich davon ausgehe, dass die alte Methode nicht mehre angeboten wird, wie kann dabei gewährleistet werden, dass zum Beispiel bei Verlust des Handys, bei einem neuen Handy die Passkey Methode ohne Probleme weiter genutzt werden kann und wie sieht in diesem Fall konkret das Vorgehen aus, um auch weiterhin Zugriff auf das eigene Konto bei Binance zu haben?
Da ich google gar nicht vertraue und deren Authenticator App für mich ein Buch mit 7 Siegeln ist und ich davon ausgehe, dass Google eines Tages auf welchem Weg auch immer alle Nutzern dieser Authenticator App im Rahmen der 2 FA Zertifizierung beim Kontozugriff kurzerhand den Zugriff auf ihre Konten sperrt, hier die Frage an die Community, ob es bei solchen 2-FA Apps sichere Alternativen zur Google 2-FA Authenticator App gibt? Und wenn ja was ist generell zu beachten - auch in diesem Fall mit Blick auf einen Verlust des Handys oder des Gerätes auf dem die Authenticator App installiert ist?
Wie gesagt - am liebsten wäre es mir ohne diesen Passkey Schnickschnack oder gar die Authenticator App, wie früher Abhebungen bei Binance tätigen zu können. Wenn also jemand weiß wie dass ohne Passkey oder Authenticator App funktioniert, dann bin ich sehr dankbar, wenn mir jemand sagen könnte, wo ich in der App oder der Webseite von Binance diese neu geforderten Verfikationsmethoden deaktivieren kann, denn ich habe keine solche Möglichkeit bei Binance gefunden.
Tipps und Vorschläge zum besten und sichersten Vorgehen sind willkommen.
Wenn ihr also vielleicht wisst, wie man bei Binance sicher abheben kann, dann hinterlasst doch einfach einen Kommentar - auch bezüglich der Methodik und im Hinblick auf Sicherheitsaspekt und Fragen zur Wiederherstellung bei Verlust des Handys oder Laptops.
Beste Grüße und lieben Dank vor ab.
IT24
Peace
Zu deinen Fragen bzgl. Binance muss ich leider komplett passen, da ich aus dem Laden raus bin. Und ich verstehe sehr gut, dass es dir allein beim Begriff "Google Authenticator" die Haare aufstellt.
Falls du dich dennoch für das Teil entscheiden solltest, empfehle ich dir zu jeder Anmeldung einen Screenshot vom angezeigten QR-Code zu machen und sicher zu speichern, auf einem USB-Stick oder als Anhang zu einem Eintrag bei KeePass oder so. Auf die Art kannst du bei Verlust/Defekt des Handys die Codes mit jedem anderen Handy einscannen und hast so wieder Zugriff. Das geht natürlich auch mit mehreren Handys. Wie das mit der Online-Sicherung funktioniert, weiß ich nicht, will ich auch nicht. Hab alles was Cloud-Sicherung betrifft bei mir deaktiviert und so konnte Google auch meine Auth-Codes nicht wiederherstellen, deshalb die manuelle Sicherung. Ist allerdings schon eine Weile her, evtl. sichert Google jetzt automatisch. Würde mich jedenfalls nicht darauf verlassen.
Würde ich nochmal frisch beginnen, würde ich mit den Open Source Auth. FreeOTP näher ansehen. Der ist mir nach kurzer Suche gerade eben über den Weg gelaufen, sehr spartanisch, aber wie es aussieht macht er auch was er soll.
EDIT: Hab mir kurz FreeOTP installiert und einen gesicherten QR-Code eingescannt, die angezeigte sechsstellige 2FA-Zahl und die Sanduhr stimmen wie erwartet mit der vom Google-Authenticator überein. Da dieses Teil OpenSource ist, würde ich es einer ersten Einschätzung nach dem Google-Teil vorziehen.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Keepaas sagt mir nix, auch die FreeOTP Variante ist mir völlig unbekannt.
Ich will einfach nur mein SMS Verfahren wieder haben. Bei allen anderen Varianten gebe ich die Kontrolle noch mehr über die Accounts an Dritte ab, was mir zuwider ist.
Das mit den Screenshots mache ich eigentlich stets für jeden wichtigen Vorgang - allein schon zu Dokumentationszwecken - gilt auch für das Deutschland Ticket...
Danke für Deine Hinweise - ich bin mir aber noch nicht im klaren wie ich es machen werde.
Auf jeden Fall mag ich diese Änderungen bei Binance nicht - allein schon wegen des damit verbundenen Risikos die Kontrolle über den Zugang zu verlieren, so wie beim Online Banking meiner Hausbank dass seit Monaten nicht mehr funzt.
Beste Grüße.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Alles halb so wild, wirst sehen. Der Vorteil bei einer Auth-App ist halt, du musst keine Handynummer hinterlegen und die Apps sind, so wie ich das sehe, untereinander kompatibel. (Lieg ich da richtig, @moecki?) D.h. der QR-Code ist der Schlüssel und den kannst ja sichern. Mit welcher App du den 2FA Code generierst ist Nebensache.
KeePass ist nur ein Passwort-Manager, eine von X Möglichkeiten vertrauliche Daten zu speichern.
So, jetzt wünsch ich dir gutes Gelingen bei der Auswahl der Möglichen. Ach ja, die Auth-Apps, gleich ob FreeOTP oder der von Google funktionieren auch offline, Hauptsache die Systemzeit stimmt.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Naja, untereinander kompatibel würde ich so direkt nicht unterschreiben. Das würde ja implizieren, dass du die Daten von einer App auf eine andere übertragen kannst.
Indirekt würde ich dir aber zustimmen, denn wie du auch geschrieben hast, ist es egal, welche App du verwendest, alle geben den selben Einmalcode aus, wenn sie gefragt werden.
Die Idee mit dem Scan des QR-Codes finde ich klasse... und wenn du es getestet hast, wird das auch im Notfall klappen.
Die technische Seite von diesen Apps habe ich noch nicht genauer betrachtet. Wahrscheinlich wird mit dem QR-Code der App das genaue Berechnungsverfahren der Codes oder vielleicht auch eine Art Seed mitgeteilt. Der Code muss ja deterministisch berechenbar sein, damit die Übereinstimmung auf beiden Seiten gewährleistet ist... BTW: Interessante Materie, wie ich finde :-)
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Oh, schon fünf Tage her, dein Kommentar, die Zeit fliegt. Ich stöpstle gerade mit Javascript, jQuery und Ajax rum, kenn das zwar schon, aber ist halt zäh die Geschichte, weil ich das nur selten brauche. Neues ausprobieren macht Spaß und ich hab dann (fast) nix anderes mehr im Schädel, daher die Verspätung ;-) - aber ich denke, du kennst das.
Im QR-Code ist schon mal die E-Mail mit drin, die hat es mir nach dem Einscannen angezeigt. Und der Schlüssel der bei manchen Seiten auch zusätzlich zum QR angezeigt wird. Hier ist das einfach erklärt.
Dass die Mail im QR verbaut ist, fand ich gar nicht toll, ist ja ein Teil der Logindaten. Aber da muss ich noch andere QR's testen, ich vermute das liegt an der Seite die den QR generiert hat. Für die Berechnung sollte der Schlüssel reichen.
Und ja, interessante Materie, ich will schon immer gerne wissen, wie etwas funktioniert, dass man verwendet.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Leider nur zu gut :-)
Danke für den Link. Ist ja doch noch einfacher als ich dachte. Kann insofern nachvollziehen, dass Passkeys empfohlen wird, wenn die Einmal-Passwort-Variante nicht phishing-resistent ist.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Hey, das ist kein einfaches Thema. Die kurze Fassung wäre aus meiner Sicht, dass beide Verfahren Vor- und Nachteile haben und letztlich die technische Ausstattung und die gewünschte Mobilität eine Rolle spielen.
Zu 1.: Ob es bei Binance noch andere Varianten gibt, kann ich dir aus eigener Erfahrung leider nicht sagen. Ich habe dort schon seit einiger Zeit nicht mehr gehandelt.
Zu 2.: Da kommen wir ins Thema:
Das Passkey-Verfahren ist ein private-public-Key-Verfahren. Du wählst hier ein Gerät oder eine App aus (oder auch mehrere, wenn der Dienst dies anbietet). Bei der Einrichtung wird durch das Gerät oder die App zusammen mit der Domain der Website (das macht das Ganze übrigens sehr sicher) ein öffentlicher und privater Schlüssel generiert. Den öffentlichen Schlüssel erhält der Anbieter. Fortan muss das Gerät oder die App dem Anbieter bestätigen, dass du im Besitz des privaten Schlüssels bist. Damit ist der zweite Faktor gewährleistet.
Das bedeutet, du kannst dich nur mit diesem Gerät oder der App beim Anbieter anmelden. Windows, Smartphones und z. B. die FIDO2-Sticks sind hierfür geeignet. Eine Synchonisation findet nur bedingt statt.
Am besten sind noch die FIDO2-Sticks geeignet, da du diese am Schlüsselbund mit dir herumtragen oder irgendwo deponieren kannst.
Aus meiner Sicht sollte dieses Verfahren tatsächlich bevorzugt werden. Wichtig wäre aber bei wichtigen Diensten, dass du mehrere Geräte anmelden kannst. Ob das bei Binance geht, weiß ich nicht.
Der Authenticator erzeugt in der Regel "nur" Einmal-Passwörter und ist daher im Grunde wie der Code per SMS zu sehen.
Zu 3.: Wie ich oben schrieb, kannst du dich nicht mehr anmelden, wenn du nur ein Gerät als Passkey-Gerät angemeldet hast. Das "Geheimnis" des privaten Schlüssels wird nicht rausgerückt und kann daher auch nicht exportiert werden. Wenn du ein Apple- oder Andoid-Smartphone mit verwendest, wird das "Geheimnis" in der Cloud verschlüsselt synchronisiert.
Es hängt vom Anbieter ab, ob das alte Verfahren noch weiter verwendet werden kann. Manche Anbieter löschen das alte Passwort und du kommst nicht mehr ohne Passkey oder Authenticator ran. Ob das bei Binance so ist, weiß ich nicht.
Zu 4.: Wenn du Googles Authenticator oder ein Android-Handy nicht verwenden möchtest, wirst du wahrscheinlich auch kein Vertrauen zu Microsoft aufbauen können. Dort gibt es auch eine Authenticator App. Außerdem kann Windows auch als Passkey-Gerät dienen. Das ist aber dann wirklich nur an das jeweilige Gerät gebunden.
Ich würde derzeit einen FIDO2-Stick empfehlen. Es sind damit zwar Kosten verbunden, aber damit bist du unabhängig. Für wichtige Dienste würde ich aber zwei einrichten.
Zu den Apps hast du ja schon Alternativen genannt bekommen. Da wird sich in Zukunft sicher noch einiges tun.
Als weiterführende Literatur käme der heise-Themenbereich in Frage:
https://www.heise.de/select/ct/2023/14/2230012065992024905
https://www.heise.de/ratgeber/Passkeys-So-schuetzen-Sie-Ihre-Accounts-mit-dem-Passwort-Nachfolger-9224753.html
https://www.heise.de/suche/?q=passkeys&sort_by=date&make=
Noch ne Ergänzung: Die meisten Anbieter behalten das Passwort und sehen die obigen Methoden tatsächlich nur als zweiten Faktor, obwohl das Passkey Verfahren tatsächlich das Potenzial zum Passwort-Ersatz hat. Ich glaube bei Binance bleibt das Passwort erhalten. Auf jeden Fall wirst du vor dem Löschen darüber informiert.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ahh, siehste, Passkey habe ich nur am Rande mal gehört/gelesen. Jetzt kann ich mir darunter auch was vorstellen, mercy!
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ich persönlich finde, es wäre dringend an der Zeit von der vorsintflutlichen Passwort-Anmeldung, die das Wurzel allen Phishing-Übels ist, wegzukommen. Es dauert leider viel zu lange und wie man am obigen Beitrag sieht, sind mit den heutigen Varianten die Vielzahl der Nutzer komplett überfordert.
Passkeys haben aus meiner Sicht das Potenzial dazu, sind aber eben nicht intuitiv begreifbar wie z. B. ein Passwort...
Sobald es eine einfach zu handhabende Möglichkeit gibt, gibt's hier bestimmt einen Beitrag dazu :-P
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Oh man ist das kompliziert.
Nach meiner Erfahrung mit der Hausbank und dem immer noch nicht funktionierenden Onlinebanking nach deren Umstellung werde ich mir wohl Mitte oder Ende des Monats mit dem Thema beschäftigen können, da derzeit einfach zuviel zu erledigen ist.
Ich wünsche mir die alte Code Variante zurück ohne den ganzen Klimbim.
Diese Fidostick Geschichte habe ich schon mal gehört - nur was passiert mit dem Stick bei einem Sonnensturm - vermutlich ist dann auch dort alles hinüber...
Zudem ist das Problem - und das mag ich gar nicht - das eben alles nur noch von einem Gerät abhängt und nicht mehr von der Person. Die personalisierte Komponente verschwindet komplett und damit wird die Kontrolle über deine Konten einem Gerät anvertraut über dass man Dir theoretisch wie bei Windows 11 bereits geplant auch die Kontrolle entziehen kann.
Gleichwohl erst mal danke für die lange und herausragende Erklärung. Der Kommentar wäre schon einen eigenen Blogbeitrag wert. Ich hoffe @steemchiller liest ihn... ;-)
Herzlichen Dank auf jeden Fall für das schnelle feedback.
Ich werde mal bei Binance nachfragen...
Beste Grüße.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Bist du vielleicht bei der Postbank ;-)) (ist nur rhetorisch, muss nicht antworten)
Bei der Umstellungen/Übernahme hat sich die Deutsche Bank tatsächlich einen Bärendienst erwiesen. Die Kunden, die am wenigsten dafür können, sind mal wieder die Leidtragenden...
Das würde ich auch... leider gab es eben zu viele Betrüger und Opfer, so dass die unschuldige Menge gleich mit geschützt werden muss. Ich verstehe auch andere Dinge bis heute nicht. Als Smartphone-Verweigerer (und ich kann das sogar verstehen) kann man kein Online-Banking mehr machen (außer man bezahlt diese teuren Code-Geräte) oder bei der Krankenkasse irgenwas einreichen... Warum muss das so sein???
Das beschäftigt dich jetzt nicht wirklich, wenn du damit Cryptos transferieren willst. Vermutlich sind die Cryptos dann auch hinüber... Naja, wahrscheinlich ist das auch eher ein krasses Szenario, aber wie ich schrieb, eine Rückfallebene ich ohnehin immer zu empfehlen.
Es ist sogar von dem Gerät und einer Person abhängig. Ob das jetzt besser ist, weiß ich auch nicht...
Soll ich dir mal Fälle aufzählen, in denen die Personen keinen Zugriff mehr auf Ihre hinterlegte Handynummer hatten? Oder in denen mit betrügerischen Methoden der SMS-Zugriff gekapert wurde?
Das klingt sehr konstruiert, ist aber leider vermehrt vorgekommen. Weshalb letztlich das SMS-Verfahren auch als unsicher eingestuft wurde.
Gern und ich hoffe, du findest eine für dich passende Alternative. ...
...und Steemchiller hat offensichtlich tatsächlich mitgelesen ;-))
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Nein, die Postbank ist nicht die Hausbank. Und ich will auch nicht beschützt werden mit Methoden die mir kostbare Lebenszeit rauben - weder vom Staat noch von einer Bank die Teil der Kleptokratischen Strukturen ist.
Je einfacher umso besser.
Beste Grüße und lieben Dank.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ist es möglich im Rahmen der turnusmäßigen Sicherung des Handys auch von der Passkey App ein back up mit der erforderlichen und verwendeten Konfiguration zu machen, die man extern auf einem anderen Datenträger für den Fall einer Wiederherstellung auf einem neuen Gerät - z.B. nach Verlust oder Diebstahl wieder verwenden kann - oder ist eine solche App mit den Einstellungen immer an die zugehörige Hardware des verwendeten Handys bzw. Tablets etc. gebunden?
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ob eine Sicherung gemacht wird, hängt von der App selbst ab. Wie ich schrieb, macht Google/Apple dies ja beispielweise in seiner Cloud.
Wenn eine von Google/Apple unabhängige App/Gerät das macht, muss durch die App die Verschlüsselung sichergestellt werden. Derzeit sieht es damit allerdings mau aus, jedenfalls wenn man die oben von mir verlinkte FAQ heranzieht.
Bei Verlust oder Diebstahl kann insofern keine Wiederherstellung erfolgen, sondern nur eine Neueinrichtung. Ob sich das in Zukunft mal ändern wird, weiß wohl niemand so recht. Deshalb ist eine zweite Anmeldevariante oder eine Rückfallebene auf jeden Fall zu empfehlen.
Vielleicht ein Trost an der Stelle: Bei Verlust oder Diebstahl kommt auch niemand anderes an deine Passkeys, da du sie ja mit Fingerabdruck oder PIN erst freigeben musst.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Das ist alles nicht das gelbe vom Ei...
Trotzdem - herzlichen Dank für die Rückmeldung.
✨🦋🙏
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ich nutze den Authy Authenticator, der so einige Vorteile bietet.
https://authy.com/
Es ist eine benutzerfreundliche App, die für verschiedene Plattformen wie iOS, Android und Desktop verfügbar ist. So nutze ich gleichzeitig PC und Mobil synchron.
Auch eine Gerätewechsel stellt kein Problem dar, da man einfach ein Backup-Passwort festlegt.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Schaue ich mir alles mal diesen Monat an.
Solange werden die Steem erstmal bei Binance noch rumlungern - sofern Binance die alte Option nicht mehr ermöglicht - also per Code via SMS oder Email.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ja, ich wollte auch lange nicht ran an 2FA wegen der befürchteten Probleme. Aber irgendwann ging es nicht mehr anders. Falls du ein Google Konto hast, dann kann ich dir den Google-Authenticator empfehlen. Ein Gerätewechsel stand auch bei mit kürzlich an und es gab keine Probleme. Ich brauchte auf dem neuen Smartphone nur das Google Konto einzurichten. Da Google-Authenticator mit dem Google Konto verknüpft ist.
LG Thomas
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Hallo Thomas,
vielen Dank für den Hinweis.
Beim Google Authenticator ist man vermutlich auf Gedeih und Verderben Google ausgeliefert.
Weißt Du zufällig, ob die Option für Passkey bei der Entscheidung für den Google Authenticator verloren geht?
Beste Grüße und herzlichen Dank für deine Rückmeldung.
Leider funktioniert trotz App update und stundenlangen Telefonaten bei der Hausbank online immer noch nix.
Mein Vertrauen in die Technik von Drittanbietern mit zentralen Strukturen ist denkbar gering.
Wenn ich Dich richtig vertstehe muss ich also bei einem Gerätewechsel über ein Google Konto auf dem neuen Gerät dann die Authenticator App neu installieren - oder macht das Google automatisch?
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Ich nutze auch den Google Authentifizierung seit 7 jahren . Immer ohne Probleme.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Und was ist dabei zu beachten?
Vor allem im Hinblick auf einen irgendwann anstehenden Gerätewechsel?
Denn jedes Handy hat ein Verfallsdatum und sei es nur weil der Akku oder die Technik den Dienst versagen...
Beste Grüße.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Wenn du ein Android handy hast und auf ein anderes Android Mobiltelefon umsteigst dann brauchst du diese heutzutage nur noch nebeneinander legen. Es werden dann alle Apps und daten automatisch kopiert. 😉
Mit Apple kenne ich mich leider nicht aus.
Sicherheitsapps verknüpft man automatisch über nen qr Code.
Auch den brave Browser mit allen Lesezeichen kannst du ganz einfach auf das neue Smartphone ziehen.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit