Oh ja, da wäre ich auch sehr dafür, dass endlich die Post-Passwort-Ära ihren Siegeszug antritt!

2FA ist gut und sinnvoll, aber in meinen Augen auch nicht gänzlich unproblematisch. Geht mein Telefon verloren fängt es an problematisch zu werden speziell bei Verfahren die nicht auf SMS setzen sondern wie im Onlinebanking auf Apps. Habe ich kein Ersatzgerät fertig konfiguriert in der Schublade liegen oder bin vielleicht gerade im Urlaub unterwegs wo ich gerade mein Telefon geschrottet habe oder es geklaut wurde komme ich auch nicht mehr in meine Accounts bzw. kann kein Onlinebanking machen.

Sehr gut wenn man ein Gerät dabei hat.👍
Was ist wenn man irgendwo ist und eventuell bei einem Bekannten sich einloggen möchte ohne das man ein Gerät dabei hat?🤔

dann wirst du weiterhin ein Passwort eingeben können, nur wie selten kommt das vor?

BigLebowski
einfach mal einige Zeit offline bleiben, kann auch eine ganz interessante Erfahrung sein

Die Unternehmen sind einfach scharf auf die persönlichen Daten, die 2FA hergibt, z.B. Telefonnummer. Anstelle eines relativ sicheren Passworts wird nun das Telefon zum Faktor, das ständig irgendwo rumnliegt, geklaut werden kann, oder einfach kaputt ist.

Letztes Jahr habe ich mein Telefon fallen lassen, war kaputt. Ich habe sofort ein neues Online gekauft, und im Bezahlvorgang kam… eine Bestätigungsaufforderung per SMS. Auf das kaputte Telefon. Dessen Ersatz ich ja gerade kaufen wollte. Toll! Sowas schon mal bedacht?

Ich hatte Glück, der zersplitterte Screen liess sich noch bedienen. Aber mal im Ernst… so'n Ding im Urlaub, und auf einmal bist zu zirkulär ausgesperrt. Mein Passwort weiss ich auswendig.

Ach ja, und: In der Firma ist 2FA Pflicht, deswegen haben wir so'nen kleinen USB-Stick. Wenn ich was mit Apple machen will, das bei Google liegt, macht Apple nur Safari auf, nix anderes. Und Google akzeptiert den Stick nur in Chrome. Toll, sowas alles…

Warum "Abschaffung von Passwörtern"? Ich lese hier nur, dass der 2FA Code dadurch automatisch verarbeitet werden kann. Also man logt sich immer noch mit Namen und Passwort ein und erhält dann einen 2FA Code, nur muss man hier dann nichts mehr machen, weil das System den 2FA Code als solchen erkennt und automatisch weiterleitet.

Adlerdings kann mir ja jeder eine SMS in diesem Format senden, woher will mein System wissen, dass die SMS wirklich von Apple oder von Google kommt? Das geht nur, wenn es auch die Absendernummern all dieser Dienste kennt. Und als Schutz gegen Trojanern bringt das System sowieso nichts, weil die können die SMS genauso abfangen wie die Passworteingabe, wenn sie mal das System kontrollieren.

Und was Komfort angeht, mein Passwort Manager (Bitwarden) hat auch einen OTP Generator eingebaut (Premium Feature, aber die kosten $1 pro Monat) und wenn ich mich wo einlogge, dann hat der automatisch schon den OTP Code erzeugt und in die Zwischenablage kopiert; ich muss dann nur einmal Einfügen auswählen (bzw. CMD+V am Mac) und schon ist der eingetragen. Das alles bringt auch nichts, wenn ein Trojaner das System kontrolliert, nur dann bringt halt selbst WebAuthn nichts.

W3C Community Group Draft Report (02.04.2020): Origin-bound one-time codes delivered via SMS
Editors: Theresa O’Connor (Apple), Sam Goto (Google)

W3C Web Plaform: Participants in the Web Platform Incubator Community Group :

W3C Editors' Home Page :

W3C Community & Business Groups
W3C Community and Business Groups give developers, designers, and anyone passionate about the Web a place to hold discussions and publish ideas. These groups are proposed and run by the community. :

@sierkb:
Und was ist Dein Kommentar zu all den geposteten Zitaten?

Michael Lang:

Diese Community Group, die dieses Dokument hervorgebracht hat, besteht insgesamt aus 425 Firmen- und Einzel-Mitgliedern, darunter mehrere Firmenmitglieder – Apple mit seinen Gruppenmitgliedern ist nur eine Firma davon, Google mit seinen Gruppenmitgliedern ist nur eine davon – weitere durch entsprechende Mitglieder vertretene Firmen (geleitet – chaired – von 4 Personen/Mitgliedern von 3 Firmen: Google, Microsoft, Mozilla) sind u.a. Alibaba Group, Adobe, Apple, BBC, Facebook, Google, iFixit, Igalia, Intel, LG, Logitech, Microsoft, Mozilla, Netflix, Samsung, The Guardian, Verizon, Vimeo, W3C, Zalando, etc. Man zähle mal durch und schaue sich die Mitglieder-Liste jener Gruppe an.

Apples Vorschlag, so denn überhaupt alleinig von Apple stammend, wird mehrheitlich von allen Mitgliedern gestützt, nicht nur von Googles Mitgliedern. Die Editoren eines solchen Dokuments schreiben nur nieder, was im Konsens zuvor von einer Mehrheit bzw. allen Mitgliedern so diskutiert und beschlossen worden ist, sie haben keine eigene inhaltliche Gestaltungsmacht, sie sind lediglich sozusagen Schriftführer (einer muss es ja schließlich niederschreiben, zu Papier bringen, was die Gruppe zuvor diskutiert und beschlossen hat).

Das Ganze ist nur ein Draft, eine nicht-normative Ideen-Sammlung. Eine solche Community-Group ist die Vorstufe zu einer Arbeitsgruppe (Working Group), welche dann später in einem neuen Prozess eine normative Spezifikation draus machen kann und wo ggf. bzw. garantiert erneute Änderungen erfolgen.

So wie es hier vom MTN-Autor dargestellt wird, ist es arg verkürzt und vermittelt einen falschen Eindruck. Es ist keine Sache, an der nur Apple und Google beteiligt sind, sondern noch eine ganze Stange mehr an Leuten und Firmen, Organisationen und Individuen – was auch völlig üblich und normal ist im Dunstkreis des W3C bzw. W3C Arbeitsgruppen und Community-Gruppen. Das ist stets ein Prozess, an dem ganz Viele beteiligt sind und nicht nur wenige, und das ist auch beabsichtigt.

Man sollte dem User die Entscheidung überlassen. Ich persönlich will keine 2-Faktor-Authentifizierung nutzen. Es ist auch in der jetzt vorgeschlagenen Lösung lästig und dauert länger.

Wird er nicht. Jedes Mitglied kann dort einen Vorschlag einreichen und zwar ganz alleine. Deswegen wird der noch von überhaupt niemanden gestützt. Wie gesagt, das ist nur ein Vorschlag und den reicht man dort ein, damit die anderen ihn lesen, diskutieren und sich dann entscheiden können, ob sie den unterstützen wollen.

Hier ist der Vorschlag: Eingereicht wurde der von "Theresa O'Connor from Apple and Sam Goto from Google" und Apple hat eben schon angekündigt, sie würden das in Safari implementieren und Google, dass sie es in Chrome implementieren würden. Mozilla ist sich noch unschlüssig, ob sie das in Firefox haben wollen, aber sie haben sich auch noch nicht dagegen ausgesprochen; siehe Abschnitt "Stakeholder Feedback" des Vorschlags (das meinte der Autor wohl mit Zustimmung).

Was die anderen Mitglieder darüber denken, ist eigentlich irrelevant, denn die haben keinen eigenen Browser und werden folglich auch nichts tun müssen, wenn der Standard kommt bzw. können auch nicht verhindern, dass die drei großen das einfach so beschließen (die dürfen in ihre Browser einbauen, was auch immer sie wollen, Pech wenn das den anderen nicht passt, aber die haben da gar nichts zu melden); trotzdem dürfen die jetzt in Kommentaren gerne öffentlich ihren Senf dazu abgeben, Verbesserungen vorschlagen oder Kritikpunkte offen benennen.

Deren Zustimmung entscheidet nur ob es seine offizielle Empfehlung wird, aus der dann ggf. ein Standard wird, aber wenn nicht, dann können das Apple, Google und Mozilla am Ende trotzdem so machen, nur müssen da halt auch die Webseitenbetreiber mit machen und da hilft es, wenn es einen Standard gibt oder zumindest eine Empfehlung. Anderseits haben die Hersteller von Browsern schon vieles de facto durchgesetzt und hinterher hat man dann erst einen Standard daraus gemacht.

Tut man ja auch. Es geht hier nicht darum, 2FA einzuführen oder zu erzwingen, sondern das vorhandene SMS 2FA, das heute schon viele Seiten und Dienste nutzen, zu vereinfachen und zu automatisieren, so dass der Nutzer im Idealfall gar nicht merkt, dass er 2FA macht, wenn die SMS in Sekunden eintrifft, der PIN übermittelt wird und dann die SMS auch gleich wieder gelöscht wird, was eben nur geht, wenn das System diese auch automatisch erkennen und verarbeiten kann und der Nutzer nichts mehr dabei manuell tun muss, außer ich wie bisher mit Nutzername und Passwort an der Seite anzumelden.

Am Ende wird es von allen bzw. von einer Mehrheit gestützt werden, dazu ist man in genau so einer Gruppe drin. Um es gemeinsam zu erarbeiten und Konsens miteinander zu finden nicht gegeneinander zu arbeiten und eigene Dinger zu drehen. Das Ganze ist noch in einer sehr frühen Entstehungs- und Findungs- und Diskussionsphase, es sind noch nicht alle Meinungen dazu eingeholt und fix, das Ganze ist noch sehr im Fluss und im Werden. U.a. genau dazu, um dem einen besseren Raum zu geben, existieren diese Community Groups. Um die Arbeitsgruppen, in welchen später ein solcher Standard konkretisiert und finalisiert wird, zu entlasten bzw. um diese wichtige Diskussions- und Abstimmungsarbeit vorzuverlagern und noch weiter zu verbreitern. Diese Community Groups existieren zu genau diesem Zweck, sie gibt es noch nicht so lange, sie gibt es erst als Ergebnis einer großen Umstrukturierung der Arbeitsgruppen und Arbeitsweise seitens des W3C und seiner Interessierten.

Ist es nicht. Ganz im Gegenteil. Wenn es egal wäre, bräuchte man so eine Gruppe nicht. Eine solche Gruppe existiert nicht, um für sich selber zu wurschteln und sein Ding zu drehen, sondern um gemeinsam etwas zu erarbeiten und das in einem möglichst breiten Konsens.

Du verkennst den Sinn und Zweck solcher Community- und Arbeitsgruppen.

Nicht nur dürfen, sondern sogar: sollen. Dafür ist man in dieser bzw. so einer Grupe organisiert. Um sowas auf einer möglichst breiten Grundlage nach vorne zu bringen mit möglichst viel Zustimmung und Feedback vom möglichst vielen Mitgliedern und Stimmen. Ansonsten ist das Ganze für die Katz, und man kann es dann lieber im stillen Kämmerlein für sich machen, wenn das nicht gewünscht wäre.

Ein offizieller Standard wird dann draus, wenn es mindestens 2 Implementierungen 2er verschiedener Hersteller gibt, die dahinterstehen, so verlangen es die W3C-Statuten, wenn das nicht absehbar ist, kommt sowas gar nicht erst ins Standard-Track-Verfahren beim W3C.

Tun sie bzw. sie sind eingeladen, daran mitzuwirken und sich einzubringen, u.a. auch dafür existiert so eine Community-Gruppe bzw. Arbeitsgruppe: jeder, der Interesse hat und mitreden kann und sich einbringen kann, darf sich einbringen und mitmachen, auch Du und ich. U.a. sind in der Gruppe Individuen genannt ohne Firmenzugehörigkeit, das können u.a. genau solche Leute sein. Oder/und sog. Invited Experts.

Welche nicht im luftleeren Raum entsteht bzw. nicht einfach vom Himmel fällt. Sondern genau so wie von mir beschrieben.

Jein. Wie bereits gesagt: es gibt beim W3C bzgl. Standards eine Faustregel: es müssen mindestens 2 voneinander unabhängige Implementierungen von 2 voneinander unabhängigen Anbietern/Herstellern entweder bereits vorhanden sein oder in Aussicht stehen, um seitens des W3C etwas zum Standard (strenggenommen auch dort aus historischen Gründen stets Recommendation = Empfehlung bezeichnet) zu erklären oder es formal zu einem allgemeingültigen Standard zu machen. Nur weil einer etwas macht und bei sich umsetzt, reicht das nicht aus, um seitens des W3C ein OK dazu zu geben und das zu zum Standard zu erklären, auch nicht im Nachhinein, es braucht mindestens noch einen zweiten Anbieter/Hersteller, der es genauso sieht und stützt und bei sich auch umsetzt. Nur erst dann ist die Mindestvoraussetzung erfüllt, um daraus für die Allgemeinheit und andere seitens des W3C bzw. mit dem Plazet des W3C etwas festzuschreiben.

ICH WILL NICHT meine Handy-Nr für sowas hergeben.
Ein Schweizer Kredit-Unternehmen hat dann angefangen, nicht nur den TAN-Code, sondern auch Werbung darüber zu versenden!!
;((((((((((((((((
Die alte Zusicherung der CH-Banken, sich niemals per Email an die dirket Kunden zu wenden, war eine gesunde Erkenntnis, interne Mail-Systeme sind da viel vernünftiger.
Wehret den Anfängen - lieber-noch Papier - und harte Eier wünsch ich (minischrift) allen Männern (/minischrift) zu Ostern.
Gruss Arthur

Nochmal, es geht hier um einen Standard, der SMS PINs automatisieren und somit extrem vereinfachen soll für die Leute, die so etwas bereits heute nutzen. Es geht hier nicht darum das für alle und schon gar nicht für irgendwen verpflichtend einzuführen. Für Leute, die das aktuell nicht nutzen und künftig auch nicht nutzen wollen ändert sich rein gar nichts, wenn das hier als Standard verabschiedet wird! Vor allem gibt es ja diverse Alternativen (OTP Generator in Software, Hardware Token, USB Sticks, optische TAN Genratoren, usw.) und die meisten Anbieter, die 2FA bieten, bieten mindestens eine, wenn nicht sogar gleich mehrere dieser Alternativen an. Bei Paypal oder LinkedIn z.B. kannst du dir aussuchen, ob die PINs per SMS haben willst oder selber mit einen OTP Generator erzeugen möchtest und bei meiner Bank wird der 2FA Login genau wie das Freischalten von Transaktionen per optischen TAN Generator gemacht.