Hi

Hat Amazon nicht mehr alle Tassen im Schrank oder hab ich en Brett vorm Kopp?

Musste grad ein paar Teile bestellen. Als ab in den digitalen Einkaufswagen und dann ab zur digitalen Kasse. Nö, ich muss mich erstmal legitimieren. Soweit so gut.

Statt einem sechstelligen PIN kam ne SMS mit ellenlangen Link wie zB

hxxp://amazon.de/c/c/r?Ksdhjshdjshds78283hGG87sd8s

Ist das echt deren Ernst, dass ich diesen Mist manuell aus der SMS abtippen muss wenn ich am Rechner bestelle aber diese SMS zur Legitimierung bekommen? Was rauchen die bei Amazon?

Hallo cosinus,

also ich finde das in der Tat auch etwas seltsam und habe vorsichtshalber mal die URL untersucht. Jedoch scheint der Link bzw. die URL sauber zu sein, auch wenn ich das mehr als ungewöhnlich finde.

Viele Grüße

@cosinus
Wahrscheinlich wollen sie erzwingen, dass man zukünftig eine 2FA-App benutzt.
Da gibt es durchaus ja Open Source Alternativen (andOTP, TOFU, Authenticator (von Matt Rubin, nicht von Google oder Microsoft), usw.).
Aber du hast kein Smartphone, soweit ich mich erinnere?

Nein ich will auch kein Smartphone haben.
Selbst wenn, was soll diese Aktion? Ich geh mit dem Notebook oder PC auf Amazon, bestell was, und muss dann danach die Bestellung im Browser vom Smartphone machen? Die spinnen doch.

Ich nehm meine Mobilnummer raus. Oder geht das nicht.
Es muss doch möglich sein, als Zweitfaktor die Mailadresse zu definieren.

Als Alternative kann ich bspw. die WinOTP Authenticator App empfehlen, da es diese auch bspw. für Windows 10 gibt.
Dadurch würdest Du dir komplett das zweite Endgerät sparen.

Geht als Zweitfaktor keine E-Mailadresse? Wenn ja warum nicht?

Aus Sicht der IT-Sicherheit kann ich dazu sagen, dass eben auch ein zweiter Faktor dazu dient, dass im Falle der Übernahme des eMail-Kontos durch einen Angreifer, dieser nicht direkt alle Zugriffe hat.
Was aber in dem Szenario mit 2FA mittels eMail ja hätte.
Daher wird in den meisten Fällen davon weggegangen, dass die eMail Adresse (welche zudem meist eh der Login-Name ist) als zweiter Faktor verwendet wird.

Dies hat auch Amazon so festgelegt und schreibt dazu folgendes:
"Authentifizierungs-Apps, SMS-Nachrichten und Anrufe sind in der Regel sicherer als E-Mail. Aufgrund der zunehmenden Anzahl von Fällen, in denen E-Mail-Konten gefährdet sind, hat Amazon sich dafür entschieden, Verkäufern ein höheres Maß an Schutz zu bieten, weshalb die Verwendung von E-Mails zum Senden von Codes für die Zwei-Schritt-Verifizierung nicht unterstützt wird.

Für die Zwei-Schritt-Verifizierung müssen Sie Ihr Passwort sowie einen zufälligen Code eingeben, den Sie von einem Gerät erhalten haben, auf das Sie physisch zugreifen können. Wenn der Code per E-Mail gesendet wird, kann remote darauf zugegriffen werden, was den Sicherheitsvorteil des zweiten Verifizierungsschritts umgeht."

Also ich hab bei Amazon noch nie meine Handynummer angegeben. Habe letztes Jahr allerdings 2FA eingerichtet, aber auch dafür braucht es keine Handynummer, denn das Verfahren funktioniert komplett offline.

Mein Mailkonto ist ein 2. Faktor. Denn das Amazonkonto ist nicht am Mailkonto gekoppelt. Ich check morgen mal meinen Settings. So nervt das jedenfalls.
Hab das übrigens heute zum ersten Mal. Sonst war das per PINwenn ich mich recht erinnere, also sechstellig.
Die ellenlangen Links kenn ich, hab das mal bei meinem Vater gesehen, der hatte versehentlich 2FA aktiviert und das dann bei jedem (!) Login so machen müssen!!

Zitat:

Zitat von cosinus

Geht als Zweitfaktor keine E-Mailadresse? Wenn ja warum nicht?

Weil die vielen notorisch uninformierten Nutzer sehr oft ihre E-Mail-Adresse inkl. identischen Passworts querbeet für alle Dienstleister im Web verwenden. Deswegen schließen einige Anbieter eine E-Mail-Adresse für 2FA aus. Leider.

Zitat:

Zitat von mmk

Weil die vielen notorisch uninformierten Nutzer sehr oft ihre E-Mail-Adresse inkl. identischen Passworts querbeet für alle Dienstleister im Web verwenden. Deswegen schließen einige Anbieter eine E-Mail-Adresse für 2FA aus. Leider.

Das hatte ich schon als Verdacht.

Übrigens: RIP Werder

So. Hab jetzt meine Mobilnummer bei Amazon entfernt. In der Hoffnung, dass dieserAuthentifizierungs-Terror nun ein Ende hat