You're not connected to the Internet.
Corporate logo
New features 7441

New: Two-factor authentication for your user account

Our last #FeatureFriday of the year is all about security. Make sure you’re the only person who can access your digitec and Galaxus account, even if someone knows your password.

There are more and more security features, especially in online shops. While a semi-secure password used to be enough to protect yourself from cybercriminals, single-factor authentication is considered a risk nowadays. With two-factor authentication (2FA), we’ve added a further security layer to our login process.

We’ve implemented the possibility to activate 2FA in your personal account. With this feature, you need your username and password as well as a one-time access code to log into your account. This access code is generated in real time from an app on your smartphone and expires after use. The two factors in this case are: 1. You know your password and 2. You have access to your smartphone.

As we support OAuth standard, there are several possible apps you can use to generate this access code. Google Authenticator, offered for iOS, Blackberry and Android, is one option. You’ll have to link your user account to the app when you set up 2FA (by scanning a QR code or entering a key). Once configured, you will not be able to log into your account without your smartphone. However, you’re given a list of backup codes, which you need to print or save in a safe place.

How to configure 2FA for your account

  1. Log into your account and go to user account
  2. The last item in the list is called Two-factor authentication*
  3. Initiate the activation process by pressing the button
  4. Open the authentication app and scan your personal QR code. Alternatively, use the security key that’s presented below.
  5. Your app will generate a six-digit code. Type this code into the field on the right.
  6. We give you access to ten one-time backup codes that you need to print or save. Use them (one at a time) if you have no access to your phone or if you’ve reinstalled the app.
  7. Once you’ve confirmed that you’ve printed or saved the backup codes, the process is completed.
  8. 2FA is now activated for your user account

You can generate and print new backup codes or deactivate 2FA any time in your user account. If you have no access to the app or your backup codes, you need to contact our customer service and identify yourself before you can log into your account again. If you have a new app or smartphone, log in with a backup code, deactivate 2FA, activate it again and link the app to your account by following the steps described above.

Do you have any questions or feedback regarding this new feature? We’re looking forward to your comments.

About #FeatureFriday

This is #FeatureFriday: We present new features from our online shop on our social media channels, mainly on Facebook and Twitter almost every Friday.

These articles might also interest you

#FeatureFriday: following authors and topics
New features

#FeatureFriday: following authors and topics

User
I’m passionate about observing the development of the digital environment – particularly when it comes to the countless exciting and interesting challenges and changes it has in store for our society, our everyday lives and businesses. Apart from that, gaming has been a part of my life since I first started out at Digitec Galaxus as well as IT in general, travelling, sports, concerts and good food.

74 comments

Please log in.

You have to be logged in to create a new comment.


User Deville_TGR

Nett, gleich mal aktiviert.
Besonderen Dank, dass ihr eine normale TOTP Authentifizierung verwendet welche man mittels beliebigem TOTP App/Programm benutzen kann. Finde es jeweils schade, wenn Unternehmen uns irgend welche selbst gebastelten Apps aufzuzwingen versuchen, so wie gewisse Banken oder auch Valve es leider tun.

29.12.2017
Report abuse

You must log in to report an abuse.

User fumo

Eine spezifische App bietet halt mehr Schutz als ein Open source Standard, zumindest die Banken dürfen das gerne weiterhin so tun.

29.12.2017
Report abuse

You must log in to report an abuse.

User Anonymous

@Fumo
So einfach ist das nicht.
Ein Open Source Standard ist vom Prinzip her besser/sicherer da er von vielen Seiten überprüft werden kann. Nur weil etwas "geheim" ist, ist es nicht zwingend sicherer.
Ob dann aber die App den Standard sicher/korrekt implementiert ist etwas anderes.

Bei vielen Firmen geht es aber bei eigenen Apps um andere Punkte.
- Marken sichtbarkeit
- App Kontrolle
- weitere Services
- etc

Manche Banken haben keine Login eine eigene Login App, z.B. Cronto Sign

30.12.2017
Report abuse

You must log in to report an abuse.

User felixthomm

Wenn nicht die bestehenden Standards für 2FA benutzt werden, quellen unsere Mobiles über kurz oder lang mit Webshop spezifischen Authentisierungs Apps über. Dies ist m.E. absolut nicht zielführend oder kundenfreundlich.
Liebe Digitec geht doch nochmals über die Bücher und verwendet entweder oben genannten Standard oder Alternativen wie
- MobileID
- SMS Code

Ich jedenfalls werde mir sicher nicht geschätzte 100 verschiedene Auth Apps der von mir benutzten Shops auf mein Smartphone laden!

31.12.2017
Report abuse

You must log in to report an abuse.

User Anonymous

@Felixthomm
MobileID sehe ich als propriotär an, da meines wissens nur Swisscom und Sunrise solche SIM-Karten im Angebot hat (denke Prepaid SIM sind nicht abgedeckt). Zudem kostet der Service je nach Provider jährlich. Auch der Online-Shop kann dieses Verfahren nicht kostenlos anbieten.
Das von Digitec eingesetzte Verfahren ist aber Weltweit gebräuchlich und benötigt nur eine App für alles. Google, Microsoft und hundert andere bieten eine dem Standard kompatible App an.

31.12.2017
Report abuse

You must log in to report an abuse.

User fumo

Jaja immer dieses weil es offen ist kann es von mehreren überprüft werden Argument. Leider versalzen jedoch zu viele Köche die Suppe und Geheim ist nicht immer gleich negativ.
Ich vertraue lieber etwas dass nur wenige kennen und Einsicht haben, ein kleiner Kreis bietet die bessere Übersicht.

31.12.2017
Report abuse

You must log in to report an abuse.

Answer
User Anonymous

Wie häufig muss man den 2FA eingeben?
Bei jedem Login? alle 30 Tage pro Gerät?
Darauf wird soweit ich es sehe nicht eingegangen...

IT Security muss "bequem" sein bzw. nicht kompliziert und störend, sonst wird es nicht benutzt, ist leider die Realität.
Und ja, ich arbeite in der IT Security

29.12.2017
Report abuse

You must log in to report an abuse.

User Thierry Pool

Als Anhaltspunkt: Einfach jedes Mal, wenn man in der Vergangenheit das Passwort eingeben musste. Auch diesen Parameter könnten wir aber theoretisch noch anpassen (wie wir es bspw. mit der ReCaptcha-Frequenz auch gemacht haben).

29.12.2017
Report abuse

You must log in to report an abuse.

User Anonymous

Kurz Kontext
Ich verwende einen PW Manager, welcher mich automatisch mit einem für Digitec unique random PW einloggt, weshalb ich nicht eingeloggt bleiben muss, was sicherer ist.

Die ReCaptcha Frequenz geht mir somit ehrlich gesagt auf die nerven, ich muss pro Tag bis zu 10 Stück davon lösen. 10 mal pro Tag Phone rauskramen und ein 2FA einzugeben ist schlicht zu mühsam, dann würde sogar ich als IT Sec Verantwortlicher darauf verzichten.

Evtl. inverse propertional zu PW length + entropy ;)

29.12.2017
Report abuse

You must log in to report an abuse.

User noah.zimmermann

Da muss ich mich dir anschliessen: Die ReCaptchas regen richtig auf! Da will man nur kurz etwas nachschauen im Kundenkonto, schon muss man mühsam diese Bilder anklicken! Überlegt euch bitte, die Google-Abfrage wieder zu deaktivieren...

30.12.2017
Report abuse

You must log in to report an abuse.

User reecube

Somit wäre jedoch auch ein 2FA nicht wirklich notwendig, oder sehe ich das falsch? Denn wenn man die Frequenz erhöt, schafft man damit genau das selbe Sicherheitsproblem, welches man auch hat wenn man eingeloggt bleibt.

30.12.2017
Report abuse

You must log in to report an abuse.

User Anonymous

Nein.
Captcha "testet" ob es ein Mensch ist.
2FA verifiziert dass der Benutzer "etwas" persönliches (App + Code) hat, was ein Dieb nicht hat.
Eine aktive Session kann prinzipiell geklaut werden, ohne dass der User gerade bei digitec.ch ist.

Besteht keine Session, so kann diese nicht geklaut werden.
Wird von einem Gerät eingeloggt, kann dieses mit 2FA für X Tage als vertrauenswürdig freigeschaltet werden. Ein Dieb kann mit dem geklauten PW nicht einloggen.

30.12.2017
Report abuse

You must log in to report an abuse.

Answer
User ZippoMan95

Verstehe ich das richtig, dass man ohne die App und die Backup-Codes nicht mehr in sein Konto reinkommt?
Weshalb wird nicht, wie bei MFA üblich, ein SMS Code als Backup angeboten?

29.12.2017
Report abuse

You must log in to report an abuse.

User Deville_TGR

Per SMS gesendete Codes sind bereits seit Jahren als unsicher bekannt. Sollte eigentlich niemand mehr verwenden, da es die eigentlich sichere TOTP Authentifizierung aushebelt.

Was ein nettes Gimmick gewesen wäre, wenn man anstatt Codes abspeichern sich im "Notfall" in einer Filiale melden könnte für einen Reset. Dank physischen Filialen hätte an diese ungewöhnliche Möglichkeit. Wäre aber natürlich viel mehr Aufwand für Digitec.

29.12.2017
Report abuse

You must log in to report an abuse.

User Thierry Pool

Die Identifikation vor Ort hat eher organisatorische als technische Implikationen. In der ersten Version wollten wir das eigentlich einfach mal pragmatisch lösen.

29.12.2017
Report abuse

You must log in to report an abuse.

User ZippoMan95

@Deville_TGR
Interessant, wird allerdings immer noch rege verwendet. Muss mich da wohl noch mal besser informieren.

29.12.2017
Report abuse

You must log in to report an abuse.

Answer
User Anonymous

Kann man dieses dämliche Captcha abstellen, wenn man die 2 Faktor Authentifizierung aktiviert hat?

05.01.2018
Report abuse

You must log in to report an abuse.

User Thierry Pool

Nein, das hat einen unterschiedlichen Hintergrund. Mit dem Captcha wollen wir (möglichst gezielt) maschinelle Logins verhindern, 2FA sichert das einzelne Konto. Haben aber sicher beide Features noch Entwicklungspotenzial.

12.01.2018
Report abuse

You must log in to report an abuse.

Answer
User bochri

Mhhh... Das mit den Codes ausdrucken find ich irgendwie nicht wirklich praktisch. Warum kann nicht ganz einfach MobilID verwendet werden? Wäre einiges einfacher und auch sicher.

29.12.2017
Report abuse

You must log in to report an abuse.

User Thierry Pool

Wir haben uns bewusst für einen offenen Standard entschieden.

Das Ausdrucken ist ja nur eine Option, man kann sich die Codes auch anderweitig (sicher) abspeichern. Es ist aber auch durchaus möglich, dass wir diesen Teil des Prozesses mittelfristig noch anpassen.

29.12.2017
Report abuse

You must log in to report an abuse.

Answer
User Tobler0wn3d

Finde ich top das Ihr euren Shop stetig weiterentwickelt! 2 Fragen: ich wünschte mir ein Feature welches mich über Preisänderungen informieren würde und 2. Wo ist der Kontaktchat geblieben? War immer meine beliebteste Möglichkeit um mit euch in Kontakt zu treten.

29.12.2017
Report abuse

You must log in to report an abuse.

User Thierry Pool

Vielen Dank für das Feedback!

1. Das ist immer wieder mal ein Thema, gibt aber noch keinen konkreten Zeitplan dafür.
2. Der Chat wurde testweise aktiviert um zu prüfen, wie beliebt er ist. In der Weihnachtszeit war er dann zeitweise überlastet, was den Sinn der Funktion letztlich in Frage gestellt hat. Deshalb wurde er vorübergehend wieder deaktiviert - es ist aber vorgesehen, dass er zurückkehren wird.

29.12.2017
Report abuse

You must log in to report an abuse.

Answer
User DragonSephHD

Ist auch Support für YubiKeys und/oder U2F geplant ?

30.12.2017
Report abuse

You must log in to report an abuse.

User Aragon0

U2F wäre deutlich bequemer als TOTP und ebenfalls offen, würde ich unterstützen

07.01.2018
Report abuse

You must log in to report an abuse.

Answer
User Muscat

Ich überlege mir eben wie hoch das Risiko ist, dass sich jemand in mein privates Konto einloggt. Ihr schickt doch sicher eine Warnung, wenn die Daten im Profil mutiert werden, oder ? Bin jedenfalls froh, dass 2FA nicht obligatorisch ist 👍.

31.12.2017
Report abuse

You must log in to report an abuse.

User twobarbquickstep

Please note that I am not being asked for the code when logging in with a third party account (Google), even though 2FA shows as activated on my user account. Note that this applies to my Galaxus account too.

03.01.2018
Report abuse

You must log in to report an abuse.

User fotofreak_ch

Wie kann ich an einem zweiten Gerät die 2FA einrichten? Ich habe nicht herausgefunden wo ich den QR Code nochmals aufrufen kann. Die Authenticator App von Microsoft benötigt aber den QR Code zum anlegen.

31.12.2017
Report abuse

You must log in to report an abuse.

User retiarius

Genau deshalb speichere ich die QR Codes vorher immer,so das ich zu einem späteren Zeitpunkt zb.nach Handy Wechsel ,bequem alle Konten wieder einlesen kann.Bitte nicht als Vorwurf verstehen,kam mir nur bekannt vor das Problem :)

09.01.2018
Report abuse

You must log in to report an abuse.

User fotofreak_ch

Nein, sehe es nicht als Vorwurf, sondern als guter Tipp! Das werde ich mir merken. :-)

09.01.2018
Report abuse

You must log in to report an abuse.

Answer
User bugybunny

Ich kann nach Eingabe des Codes nicht auf den „Weiter mit Schritt 2“ Button klicken. Ich vermute mal, der Code müsste richtig sein dazu, habe schon mehrere Codes durch, jedoch wird der Button nicht aktiviert. Beim Einrichten anderer Dienste hatte ich keine Probleme.
Wer leistet mir hier Support?

02.01.2018
Report abuse

You must log in to report an abuse.

User bugybunny

Logischerweise klappts direkt nach dem Schreiben des Kommentars :D Nochmals zurück und nen neuen QR Code generieren lassen hat geholfen.

02.01.2018
Report abuse

You must log in to report an abuse.

Answer
User matthias.straub

Ich kann mich nicht mehr einloggen, da die Goolge App nach einer iPhone Wiederherstellung keinen Inhalt mehr hatte. Kann keinen Code mehr generieren. Niemand von Digitec kann helfen. Backup Pin gibt es auch nicht mehr

02.02.2018
Report abuse

You must log in to report an abuse.

User Thierry Pool

Unser Kundendienst kann auf Anfrage und nach erfolgter Identifikation 2FA für ein Kundenkonto deaktivieren. Falls du Mailverkehr hattest, kannst du auf mich Bezug nehmen, dann sollte das klappen.

02.02.2018
Report abuse

You must log in to report an abuse.

Answer
User Anonymous

Welche Alternativen gibt es zu Google Authenticator (muss man da extra noch ein google-Konto einrichten)?

10.02.2018
Report abuse

You must log in to report an abuse.

User Thierry Pool

Man kann eigentlich jede Authentificator-App nutzen, die den OATH-TOTP-Standard unterstützt, z.B. auch den Microsoft Authenticator.

12.02.2018
Report abuse

You must log in to report an abuse.

Answer
User Anonymous

Die Zweifaktorauthentifizierung ist bei dem aktuellen Sicherehitsniveau des Shops doch nur Augenwischerei!
So lange Passwörter immer noch als Klartext gespeichtert werden, hilft die 2fA zwar bei Digitec falls wieder mal Daten abhanden kommen, aber wie viele User benutzen das selbe PW noch woanders?

03.01.2018
Report abuse

You must log in to report an abuse.

User Krono

Woher weisst du, dass die als Klartext gespeichert werden? :OO

03.01.2018
Report abuse

You must log in to report an abuse.

User Anonymous

"Benutzerkonto" > "Benutzer bearbeiten" > in das Textfeld "Passwort" klicken > das Auge rechts klicken > et voila, man sieht das eigene Passwort.
Das kann nur funktionieren nur wenn das PW im Klartext gespeichert ist...
Stand der Technik wäre der Einsatz einer Hash-Funktion mit zusätzlichem Salz.

03.01.2018
Report abuse

You must log in to report an abuse.

User abucito53

Das Auge ist dazu da, dass man sein Passwort bei einer Änderung (vor dem Absenden des Formulars) nochmals ansehen kann, um sicher zu sein, dass man sich nicht vertippt hat. Zu dem Zeitpunkt, zu dem du auf das Auge geklickt hast, wurde das Passwort noch gar nicht übermittelt und kann demzufolge auch gar nicht abgespeichert worden sein!

04.01.2018
Report abuse

You must log in to report an abuse.

User Anonymous

Das ist so nicht korrekt... Das funktioniert auch wenn das Passwort nicht geändert wurde!
Woher kommt in dem Falle das Klartext-PW?

04.01.2018
Report abuse

You must log in to report an abuse.

User Krono

Bei mir ist bei diesem Feld (zum Glück) kein Passwort ausgefüllt.

04.01.2018
Report abuse

You must log in to report an abuse.

Answer
User global1

für was das ganze ist kein bankkonto!

01.01.2018
Report abuse

You must log in to report an abuse.

User darnok16

Finde ich auch Overkill für ein einfaches Kundenkonto ...

25.01.2018
Report abuse

You must log in to report an abuse.

Answer
User Anonymous

Wenig Freude. Security muss auch einfach und freudvoll sein. Was ich hier lese ist keines von beidem. Mühsam bei der Einrichtung, mühsam bei Nutzung. Freude hat eine Handvoll selbst ernannte Security Freaks - das wars. Die Capthas gingen seeehr auf die Nerven. Dies auch. Lasse ich mal aus. Wait V2

31.12.2017
Report abuse

You must log in to report an abuse.

User fumo

Aber Zeit für eine Windows App habt ihr immer noch nicht!

30.12.2017
Report abuse

You must log in to report an abuse.

User Krono

Frage mich gerade echt was das bringen soll...

02.01.2018
Report abuse

You must log in to report an abuse.

User Krono

(also eine Windows App...)

02.01.2018
Report abuse

You must log in to report an abuse.

User fumo

Im Prinzip genau so wenig wie der billige Webgrapper für iOS und Android nur dass viel mehr Geräte gibt die davon profitieren würden ;)

03.01.2018
Report abuse

You must log in to report an abuse.

User Krono

"profitieren"

03.01.2018
Report abuse

You must log in to report an abuse.

User fumo

Jedes Win10 Gerät ist profitieren, wer das nicht erkennt kann nur beschränkt und voreingenommen sein ;)

03.01.2018
Report abuse

You must log in to report an abuse.

Answer