Du bist nicht mit dem Internet verbunden.
Corporate logo
Neue Features 6939

Neu bei uns: Zwei-Faktor-Authentifizierung für dein Kundenkonto

Der letzte #FeatureFriday dieses Jahres steht ganz im Zeichen der Sicherheit: Dein Benutzerkonto bei digitec und Galaxus kannst du ab sofort optional mit Zwei-Faktor-Authentifzierung noch besser schützen!

Die Security-Landschaft hat sich in letzter Zeit gerade im Onlinebereich stetig weiterentwickelt. Reichte es früher, ein einigermassen sicheres Passwort zu haben, hat sich mittlerweile die Erkenntnis durchgesetzt, dass ein einziger Authentifizierungskanal über kurz oder lang ein Risiko darstellt. Eine Antwort darauf ist die Zwei-Faktor-Authentifzierung (2FA), die einen weiteren Sicherheitslayer über den Login-Prozess legt.

Seit Kurzem bieten wir dir deshalb im persönlichen Benutzerkonto die Möglichkeit an, 2FA für dein Kundenkonto zu aktivieren. Aktivierst du diese Funktion, loggst du dich bei digitec und Galaxus künftig nicht mehr nur mit deinem Benutzernamen und Passwort ein, sondern zusätzlich auch mit einem einmaligen Zugangscode, der in Echtzeit über eine App auf deinem Smartphone generiert wird und danach sofort wieder abläuft. Zwei-Faktor heisst dann in diesem Fall: Wir wissen, dass du dein Passwort kennst und dass du Zugriff auf dein Smartphone hast.

Eine mögliche App um diesen Zugangscode zu generieren ist der Google Authenticator, der für iOS, Blackberry und Android angeboten wird. Wir bauen aber auf dem OAUTH-Standard auf, es können also auch andere Apps eingesetzt werden, die diese Funktionalität anbieten. Wichtig ist einfach, dass die App bei der Konfiguration einmalig mit dem Benutzerkonto verbunden werden muss (durch das Scannen eines QR-Codes oder die Eingabe des Keys). Und du solltest dir bewusst sein, dass der Zugriff auf dein Benutzerkonto ohne die App/das Smartphone nach der 2FA-Aktivierung nicht mehr möglich ist. Wir bieten deshalb im Konfigurationsprozess eine Liste von einmalig gültigen Backup-Codes an - die man unbedingt ausdrucken oder abspeichern sollte.

So konfigurierst du 2FA für dein Kundenkonto

  1. Logge dich in dein Kundenkonto ein und wähle dort den Menüpunkt Benutzerkonto
  2. Am unteren Ende der Tabs findest du neu die Zwei-Faktor-Authentifizierung
  3. Starte den Aktivierungsprozess über den entsprechenden Button
  4. Öffne deine Authentifizierungs-App und scanne den individuellen QR-Code. Alternativ kannst du auch den Sicherheitsschlüssel im unteren Bereich verwenden.
  5. Deine App generiert einen sechsstelligen Code. Diesen tippst du ins rechte Feld ein.
  6. Wir stellen dir 10 Backup-Codes zur Verfügung, die du unbedingt ausdrucken oder abspeichern solltest. Du kannst sie - der Reihe nach - verwenden, wenn du keinen Zugriff auf dein Smartphone oder die App neu installiert hast.
  7. Erst nachdem du bestätigt hast, dass du die Backup-Codes ausgedruckt oder gespeichert hast, kannst du den Prozess abschliessen.
  8. 2FA ist nun für dein Kundenkonto aktiviert!

Im Benutzerkonto können jederzeit neue Backup-Codes generiert und ausgedruckt oder 2FA wieder deaktiviert werden. Hast du keinen Zugriff mehr auf die App und die Backup-Codes, musst du dich an unseren Kundendienst wenden und dich dort identifizieren, bevor du dich wieder bei uns einloggen kannst. Wechselst du dein Smartphone oder die App, loggst du dich mit einem Backup-Code ein, deaktivierst 2FA und aktivierst es sofort wieder, um die Verbindung mit der neuen App gemäss dem Prozess oben zu definieren.

Du hast Fragen zur neuen Funktion? Oder Feedback zur Implementation? Wir freuen uns auf entsprechende Beiträge in den Kommentaren.

Über den #FeatureFriday

Fast jeden Freitag zelebrieren wir auf unseren Social Media-Plattformen, vor allem bei Facebook und Twitter, den #FeatureFriday und präsentieren ein neues oder weiterentwickeltes Feature unseres Onlineshops.

Diese Beiträge könnten dich auch interessieren

User
Leidenschaftlich beschäftige ich mich mit der Entwicklung des digitalen Umfelds, mit der unzählige spannende und interessante Aufgaben auf die Gesellschaft, unseren Alltag und Unternehmen zukommen. Daneben interessieren mich das Gaming, das mich seit meinem ersten Arbeitstag bei Digitec Galaxus begleitet, die IT generell, aber auch Reisen, Sport, Konzerte und gutes Essen.

22 Kommentare

User Deville_TGR

Nett, gleich mal aktiviert.
Besonderen Dank, dass ihr eine normale TOTP Authentifizierung verwendet welche man mittels beliebigem TOTP App/Programm benutzen kann. Finde es jeweils schade, wenn Unternehmen uns irgend welche selbst gebastelten Apps aufzuzwingen versuchen, so wie gewisse Banken oder auch Valve es leider tun.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User fumo

Eine spezifische App bietet halt mehr Schutz als ein Open source Standard, zumindest die Banken dürfen das gerne weiterhin so tun.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

@Fumo
So einfach ist das nicht.
Ein Open Source Standard ist vom Prinzip her besser/sicherer da er von vielen Seiten überprüft werden kann. Nur weil etwas "geheim" ist, ist es nicht zwingend sicherer.
Ob dann aber die App den Standard sicher/korrekt implementiert ist etwas anderes.

Bei vielen Firmen geht es aber bei eigenen Apps um andere Punkte.
- Marken sichtbarkeit
- App Kontrolle
- weitere Services
- etc

Manche Banken haben keine Login eine eigene Login App, z.B. Cronto Sign

30.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User felixthomm

Wenn nicht die bestehenden Standards für 2FA benutzt werden, quellen unsere Mobiles über kurz oder lang mit Webshop spezifischen Authentisierungs Apps über. Dies ist m.E. absolut nicht zielführend oder kundenfreundlich.
Liebe Digitec geht doch nochmals über die Bücher und verwendet entweder oben genannten Standard oder Alternativen wie
- MobileID
- SMS Code

Ich jedenfalls werde mir sicher nicht geschätzte 100 verschiedene Auth Apps der von mir benutzten Shops auf mein Smartphone laden!

31.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

@Felixthomm
MobileID sehe ich als propriotär an, da meines wissens nur Swisscom und Sunrise solche SIM-Karten im Angebot hat (denke Prepaid SIM sind nicht abgedeckt). Zudem kostet der Service je nach Provider jährlich. Auch der Online-Shop kann dieses Verfahren nicht kostenlos anbieten.
Das von Digitec eingesetzte Verfahren ist aber Weltweit gebräuchlich und benötigt nur eine App für alles. Google, Microsoft und hundert andere bieten eine dem Standard kompatible App an.

31.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User fumo

Jaja immer dieses weil es offen ist kann es von mehreren überprüft werden Argument. Leider versalzen jedoch zu viele Köche die Suppe und Geheim ist nicht immer gleich negativ.
Ich vertraue lieber etwas dass nur wenige kennen und Einsicht haben, ein kleiner Kreis bietet die bessere Übersicht.

31.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Wie häufig muss man den 2FA eingeben?
Bei jedem Login? alle 30 Tage pro Gerät?
Darauf wird soweit ich es sehe nicht eingegangen...

IT Security muss "bequem" sein bzw. nicht kompliziert und störend, sonst wird es nicht benutzt, ist leider die Realität.
Und ja, ich arbeite in der IT Security

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Thierry Pool

Als Anhaltspunkt: Einfach jedes Mal, wenn man in der Vergangenheit das Passwort eingeben musste. Auch diesen Parameter könnten wir aber theoretisch noch anpassen (wie wir es bspw. mit der ReCaptcha-Frequenz auch gemacht haben).

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Kurz Kontext
Ich verwende einen PW Manager, welcher mich automatisch mit einem für Digitec unique random PW einloggt, weshalb ich nicht eingeloggt bleiben muss, was sicherer ist.

Die ReCaptcha Frequenz geht mir somit ehrlich gesagt auf die nerven, ich muss pro Tag bis zu 10 Stück davon lösen. 10 mal pro Tag Phone rauskramen und ein 2FA einzugeben ist schlicht zu mühsam, dann würde sogar ich als IT Sec Verantwortlicher darauf verzichten.

Evtl. inverse propertional zu PW length + entropy ;)

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User noah.zimmermann

Da muss ich mich dir anschliessen: Die ReCaptchas regen richtig auf! Da will man nur kurz etwas nachschauen im Kundenkonto, schon muss man mühsam diese Bilder anklicken! Überlegt euch bitte, die Google-Abfrage wieder zu deaktivieren...

30.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User reecube

Somit wäre jedoch auch ein 2FA nicht wirklich notwendig, oder sehe ich das falsch? Denn wenn man die Frequenz erhöt, schafft man damit genau das selbe Sicherheitsproblem, welches man auch hat wenn man eingeloggt bleibt.

30.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Nein.
Captcha "testet" ob es ein Mensch ist.
2FA verifiziert dass der Benutzer "etwas" persönliches (App + Code) hat, was ein Dieb nicht hat.
Eine aktive Session kann prinzipiell geklaut werden, ohne dass der User gerade bei digitec.ch ist.

Besteht keine Session, so kann diese nicht geklaut werden.
Wird von einem Gerät eingeloggt, kann dieses mit 2FA für X Tage als vertrauenswürdig freigeschaltet werden. Ein Dieb kann mit dem geklauten PW nicht einloggen.

30.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User ZippoMan95

Verstehe ich das richtig, dass man ohne die App und die Backup-Codes nicht mehr in sein Konto reinkommt?
Weshalb wird nicht, wie bei MFA üblich, ein SMS Code als Backup angeboten?

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Deville_TGR

Per SMS gesendete Codes sind bereits seit Jahren als unsicher bekannt. Sollte eigentlich niemand mehr verwenden, da es die eigentlich sichere TOTP Authentifizierung aushebelt.

Was ein nettes Gimmick gewesen wäre, wenn man anstatt Codes abspeichern sich im "Notfall" in einer Filiale melden könnte für einen Reset. Dank physischen Filialen hätte an diese ungewöhnliche Möglichkeit. Wäre aber natürlich viel mehr Aufwand für Digitec.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Thierry Pool

Die Identifikation vor Ort hat eher organisatorische als technische Implikationen. In der ersten Version wollten wir das eigentlich einfach mal pragmatisch lösen.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User ZippoMan95

@Deville_TGR
Interessant, wird allerdings immer noch rege verwendet. Muss mich da wohl noch mal besser informieren.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User bochri

Mhhh... Das mit den Codes ausdrucken find ich irgendwie nicht wirklich praktisch. Warum kann nicht ganz einfach MobilID verwendet werden? Wäre einiges einfacher und auch sicher.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Thierry Pool

Wir haben uns bewusst für einen offenen Standard entschieden.

Das Ausdrucken ist ja nur eine Option, man kann sich die Codes auch anderweitig (sicher) abspeichern. Es ist aber auch durchaus möglich, dass wir diesen Teil des Prozesses mittelfristig noch anpassen.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Finde ich top das Ihr euren Shop stetig weiterentwickelt! 2 Fragen: ich wünschte mir ein Feature welches mich über Preisänderungen informieren würde und 2. Wo ist der Kontaktchat geblieben? War immer meine beliebteste Möglichkeit um mit euch in Kontakt zu treten.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Thierry Pool

Vielen Dank für das Feedback!

1. Das ist immer wieder mal ein Thema, gibt aber noch keinen konkreten Zeitplan dafür.
2. Der Chat wurde testweise aktiviert um zu prüfen, wie beliebt er ist. In der Weihnachtszeit war er dann zeitweise überlastet, was den Sinn der Funktion letztlich in Frage gestellt hat. Deshalb wurde er vorübergehend wieder deaktiviert - es ist aber vorgesehen, dass er zurückkehren wird.

29.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User DragonSephHD

Ist auch Support für YubiKeys und/oder U2F geplant ?

30.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Aragon0

U2F wäre deutlich bequemer als TOTP und ebenfalls offen, würde ich unterstützen

07.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Muscat

Ich überlege mir eben wie hoch das Risiko ist, dass sich jemand in mein privates Konto einloggt. Ihr schickt doch sicher eine Warnung, wenn die Daten im Profil mutiert werden, oder ? Bin jedenfalls froh, dass 2FA nicht obligatorisch ist 👍.

31.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User adrian2b

Am besten wäre die Zwei-Faktor-Authentifizierung so wie apple oder Amazon das macht.
Also dort habe ich die Möglichkeit dies einmalig pro Gerät zu machen.

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User adrian2b

und warum sind eigentlich bei euch soviele zahlen meiner Kreditkartennummer sichtbar gespeichert ?
Normalerweise genügen die letzten 4 Ziffern.

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User twobarbquickstep

Please note that I am not being asked for the code when logging in with a third party account (Google), even though 2FA shows as activated on my user account. Note that this applies to my Galaxus account too.

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Kann man dieses dämliche Captcha abstellen, wenn man die 2 Faktor Authentifizierung aktiviert hat?

05.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Thierry Pool

Nein, das hat einen unterschiedlichen Hintergrund. Mit dem Captcha wollen wir (möglichst gezielt) maschinelle Logins verhindern, 2FA sichert das einzelne Konto. Haben aber sicher beide Features noch Entwicklungspotenzial.

12.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User fotofreak_ch

Wie kann ich an einem zweiten Gerät die 2FA einrichten? Ich habe nicht herausgefunden wo ich den QR Code nochmals aufrufen kann. Die Authenticator App von Microsoft benötigt aber den QR Code zum anlegen.

31.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User retiarius

Genau deshalb speichere ich die QR Codes vorher immer,so das ich zu einem späteren Zeitpunkt zb.nach Handy Wechsel ,bequem alle Konten wieder einlesen kann.Bitte nicht als Vorwurf verstehen,kam mir nur bekannt vor das Problem :)

09.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User fotofreak_ch

Nein, sehe es nicht als Vorwurf, sondern als guter Tipp! Das werde ich mir merken. :-)

09.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User witold.baryluk

Nice. Highly appreciated. I would prefer U2F (Yubikey, Trezor, etc) instead tho.

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User bugybunny

Ich kann nach Eingabe des Codes nicht auf den „Weiter mit Schritt 2“ Button klicken. Ich vermute mal, der Code müsste richtig sein dazu, habe schon mehrere Codes durch, jedoch wird der Button nicht aktiviert. Beim Einrichten anderer Dienste hatte ich keine Probleme.
Wer leistet mir hier Support?

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User bugybunny

Logischerweise klappts direkt nach dem Schreiben des Kommentars :D Nochmals zurück und nen neuen QR Code generieren lassen hat geholfen.

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User red1337ch

Buggt bei euch die Eingabe des 2FA Codes auch? Nach Eingabe des 4. Zeichens springt der Cursor vor das 4. Zeichen (getestet auf Android mit Chrome).

08.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User bugybunny

Setzt doch bitte den Fokus direkt ins Feld wo man den 6-stelligen Code eingeben muss, nachdem man den Username und Passwort eingegeben hat ;-) Nochmals reinklicken müssen ist so benutzerunfreundlich.

15.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Die Zweifaktorauthentifizierung ist bei dem aktuellen Sicherehitsniveau des Shops doch nur Augenwischerei!
So lange Passwörter immer noch als Klartext gespeichtert werden, hilft die 2fA zwar bei Digitec falls wieder mal Daten abhanden kommen, aber wie viele User benutzen das selbe PW noch woanders?

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Krono

Woher weisst du, dass die als Klartext gespeichert werden? :OO

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

"Benutzerkonto" > "Benutzer bearbeiten" > in das Textfeld "Passwort" klicken > das Auge rechts klicken > et voila, man sieht das eigene Passwort.
Das kann nur funktionieren nur wenn das PW im Klartext gespeichert ist...
Stand der Technik wäre der Einsatz einer Hash-Funktion mit zusätzlichem Salz.

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abucito53

Das Auge ist dazu da, dass man sein Passwort bei einer Änderung (vor dem Absenden des Formulars) nochmals ansehen kann, um sicher zu sein, dass man sich nicht vertippt hat. Zu dem Zeitpunkt, zu dem du auf das Auge geklickt hast, wurde das Passwort noch gar nicht übermittelt und kann demzufolge auch gar nicht abgespeichert worden sein!

04.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Das ist so nicht korrekt... Das funktioniert auch wenn das Passwort nicht geändert wurde!
Woher kommt in dem Falle das Klartext-PW?

04.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Krono

Bei mir ist bei diesem Feld (zum Glück) kein Passwort ausgefüllt.

04.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Wenig Freude. Security muss auch einfach und freudvoll sein. Was ich hier lese ist keines von beidem. Mühsam bei der Einrichtung, mühsam bei Nutzung. Freude hat eine Handvoll selbst ernannte Security Freaks - das wars. Die Capthas gingen seeehr auf die Nerven. Dies auch. Lasse ich mal aus. Wait V2

31.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User fumo

Aber Zeit für eine Windows App habt ihr immer noch nicht!

30.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Krono

Frage mich gerade echt was das bringen soll...

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Krono

(also eine Windows App...)

02.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User fumo

Im Prinzip genau so wenig wie der billige Webgrapper für iOS und Android nur dass viel mehr Geräte gibt die davon profitieren würden ;)

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Krono

"profitieren"

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User fumo

Jedes Win10 Gerät ist profitieren, wer das nicht erkennt kann nur beschränkt und voreingenommen sein ;)

03.01.2018
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.