Vous n’êtes pas connecté à Internet.
Corporate logo
Nouvelles fonctions 7441

Nouveau: authentification à deux facteurs pour votre compte client

Le dernier #FeatureFriday de cette année concerne la sécurité: dès maintenant, vous pouvez encore mieux protéger votre compte client chez digitec et Galaxus, grâce à l’authentification à deux facteurs optionnelle!

Le domaine de la sécurité s’est développé en continu, surtout dans le domaine en ligne. Alors qu’il était, autrefois, possible d’avoir un mot de passe relativement sûr, on part maintenant généralement du principe qu’un seul canal d’authentification présente un risque à court ou à long terme. Pour contrer ce risque, l’authentification à deux facteurs (2FA) est une solution qui rajoute une couche de sécurité au processus de connexion.

Depuis peu de temps, nous proposons donc, dans votre compte d’utilisateur, la possibilité d’activer le 2FA pour vote compte client. Si vous activez cette fonction, vous ne vous connectez plus seulement à digitec et Galaxus avec votre nom d'utilisateur et votre mot de passe, mais aussi avec un code d'accès unique qui est généré en temps réel via une application sur votre smartphone et qui expire tout de suite après. Dans ce cas, deux facteurs signifient que: nous savons que vous connaissez votre mot de passe et que vous avez accès à votre smartphone.

Une appli disponible pour générer ce code d’accès est Google Authenticator, proposé pour iOS, BlackBerry et Android. Cependant, nous misons sur le standard OAUTH, ce qui signifie que d’autres applis proposant cette fonctionnalité peuvent aussi être utilisées. L’important est que l’application doit être connectée au compte utilisateur une seule fois durant la configuration (en scannant un code QR ou en saisissant un code). Gardez à l’esprit que l’accès à votre compte d’utilisateur ne sera plus possible sans l’appli/le smartphone après l’activation du 2FA. Dans le processus de configuration, nous proposons donc une liste de codes de sauvegarde valable une seule fois – que nous conseillons absolument d’imprimer ou de sauvegarder.

Voilà comment configurer le 2FA pour votre compte client

  1. Inscrivez-vous dans votre compte client et cliquez sur Compte d’utilisateur
  2. Tout en bas, vous trouverez le nouvel onglet Authentification à deux facteurs
  3. Lancez le processus d’activation en cliquant sur le bouton en question
  4. Ouvrez votre application d’authentification et scannez le code QR individuel. Vous pouvez aussi utiliser la clé de sécurité dans le champ inférieur.
  5. Votre appli génère un code de six chiffres. Entrez ce dernier dans le champ à droite.
  6. Nous vous mettons 10 codes de sauvegarde à disposition. Nous vous conseillons vivement de les imprimer ou de les sauvegarder. Vous pouvez les utiliser – dans l’ordre – si vous n’avez pas accès à votre smartphone ou si vous avez réinstallé l’appli.
  7. Vous pouvez clore le processus seulement après avoir confirmé que vous avez imprimé ou sauvegardé les codes.
  8. Le 2FA est maintenant activé pour votre compte client!

Dans votre compte client, vous pouvez à tout moment générer et imprimer de nouveaux codes de sauvegarde ou désactiver le 2FA. Si vous n’avez plus accès à l’appli ou aux codes de sauvegarde, il vous faudra contacter notre service clientèle et vous identifier avant de pouvoir vous reconnecter sur digitec ou Galaxus. Si vous changez de smartphone ou l’appli, inscrivez-vous avec un code de sauvegarde, désactivez et réactivez immédiatement 2FA pour définir la connexion avec la nouvelle appli selon le processus défini ci-dessus.

Vous avez des questions ou souhaitez nous faire part de votre avis concernant la nouvelle fonction? N’hésitez pas à nous en faire part dans les commentaires.

À propos du #FeatureFriday

Sur nos réseaux sociaux, principalement Facebook et Twitter, nous célébrons presque chaque vendredi le #FeatureFriday et présentons une nouvelle fonctionnalité ou une fonctionnalité améliorée de nos boutiques en ligne.

User

Thierry Pool, Zurich

  • Head of Digital Marketing and Media Planning
Je suis passionné par le développement de l’environnement numérique, et plus particulièrement par les innombrables et très intéressantes façons dont ce dernier interagit avec notre quotidien privé et professionnel. Je m’intéresse également aux jeux vidéo, qui m’accompagnent depuis mon premier jour de travail chez Digitec Galaxus, l’informatique en général, les voyages, le sport, les concerts et les bons petits plats.

Commentaires 74

3000 / 3000 caractères

User Deville_TGR

Nett, gleich mal aktiviert.
Besonderen Dank, dass ihr eine normale TOTP Authentifizierung verwendet welche man mittels beliebigem TOTP App/Programm benutzen kann. Finde es jeweils schade, wenn Unternehmen uns irgend welche selbst gebastelten Apps aufzuzwingen versuchen, so wie gewisse Banken oder auch Valve es leider tun.

29.12.2017
User fumo

Eine spezifische App bietet halt mehr Schutz als ein Open source Standard, zumindest die Banken dürfen das gerne weiterhin so tun.

29.12.2017
User Anonymous

@Fumo
So einfach ist das nicht.
Ein Open Source Standard ist vom Prinzip her besser/sicherer da er von vielen Seiten überprüft werden kann. Nur weil etwas "geheim" ist, ist es nicht zwingend sicherer.
Ob dann aber die App den Standard sicher/korrekt implementiert ist etwas anderes.

Bei vielen Firmen geht es aber bei eigenen Apps um andere Punkte.
- Marken sichtbarkeit
- App Kontrolle
- weitere Services
- etc

Manche Banken haben keine Login eine eigene Login App, z.B. Cronto Sign

30.12.2017
User felixthomm

Wenn nicht die bestehenden Standards für 2FA benutzt werden, quellen unsere Mobiles über kurz oder lang mit Webshop spezifischen Authentisierungs Apps über. Dies ist m.E. absolut nicht zielführend oder kundenfreundlich.
Liebe Digitec geht doch nochmals über die Bücher und verwendet entweder oben genannten Standard oder Alternativen wie
- MobileID
- SMS Code

Ich jedenfalls werde mir sicher nicht geschätzte 100 verschiedene Auth Apps der von mir benutzten Shops auf mein Smartphone laden!

31.12.2017
User Anonymous

@Felixthomm
MobileID sehe ich als propriotär an, da meines wissens nur Swisscom und Sunrise solche SIM-Karten im Angebot hat (denke Prepaid SIM sind nicht abgedeckt). Zudem kostet der Service je nach Provider jährlich. Auch der Online-Shop kann dieses Verfahren nicht kostenlos anbieten.
Das von Digitec eingesetzte Verfahren ist aber Weltweit gebräuchlich und benötigt nur eine App für alles. Google, Microsoft und hundert andere bieten eine dem Standard kompatible App an.

31.12.2017
User fumo

Jaja immer dieses weil es offen ist kann es von mehreren überprüft werden Argument. Leider versalzen jedoch zu viele Köche die Suppe und Geheim ist nicht immer gleich negativ.
Ich vertraue lieber etwas dass nur wenige kennen und Einsicht haben, ein kleiner Kreis bietet die bessere Übersicht.

31.12.2017
Répondre
User Anonymous

Wie häufig muss man den 2FA eingeben?
Bei jedem Login? alle 30 Tage pro Gerät?
Darauf wird soweit ich es sehe nicht eingegangen...

IT Security muss "bequem" sein bzw. nicht kompliziert und störend, sonst wird es nicht benutzt, ist leider die Realität.
Und ja, ich arbeite in der IT Security

29.12.2017
User Thierry Pool

Als Anhaltspunkt: Einfach jedes Mal, wenn man in der Vergangenheit das Passwort eingeben musste. Auch diesen Parameter könnten wir aber theoretisch noch anpassen (wie wir es bspw. mit der ReCaptcha-Frequenz auch gemacht haben).

29.12.2017
User Anonymous

Kurz Kontext
Ich verwende einen PW Manager, welcher mich automatisch mit einem für Digitec unique random PW einloggt, weshalb ich nicht eingeloggt bleiben muss, was sicherer ist.

Die ReCaptcha Frequenz geht mir somit ehrlich gesagt auf die nerven, ich muss pro Tag bis zu 10 Stück davon lösen. 10 mal pro Tag Phone rauskramen und ein 2FA einzugeben ist schlicht zu mühsam, dann würde sogar ich als IT Sec Verantwortlicher darauf verzichten.

Evtl. inverse propertional zu PW length + entropy ;)

29.12.2017
User noah.zimmermann

Da muss ich mich dir anschliessen: Die ReCaptchas regen richtig auf! Da will man nur kurz etwas nachschauen im Kundenkonto, schon muss man mühsam diese Bilder anklicken! Überlegt euch bitte, die Google-Abfrage wieder zu deaktivieren...

30.12.2017
User reecube

Somit wäre jedoch auch ein 2FA nicht wirklich notwendig, oder sehe ich das falsch? Denn wenn man die Frequenz erhöt, schafft man damit genau das selbe Sicherheitsproblem, welches man auch hat wenn man eingeloggt bleibt.

30.12.2017
User Anonymous

Nein.
Captcha "testet" ob es ein Mensch ist.
2FA verifiziert dass der Benutzer "etwas" persönliches (App + Code) hat, was ein Dieb nicht hat.
Eine aktive Session kann prinzipiell geklaut werden, ohne dass der User gerade bei digitec.ch ist.

Besteht keine Session, so kann diese nicht geklaut werden.
Wird von einem Gerät eingeloggt, kann dieses mit 2FA für X Tage als vertrauenswürdig freigeschaltet werden. Ein Dieb kann mit dem geklauten PW nicht einloggen.

30.12.2017
Répondre
User ZippoMan95

Verstehe ich das richtig, dass man ohne die App und die Backup-Codes nicht mehr in sein Konto reinkommt?
Weshalb wird nicht, wie bei MFA üblich, ein SMS Code als Backup angeboten?

29.12.2017
User Deville_TGR

Per SMS gesendete Codes sind bereits seit Jahren als unsicher bekannt. Sollte eigentlich niemand mehr verwenden, da es die eigentlich sichere TOTP Authentifizierung aushebelt.

Was ein nettes Gimmick gewesen wäre, wenn man anstatt Codes abspeichern sich im "Notfall" in einer Filiale melden könnte für einen Reset. Dank physischen Filialen hätte an diese ungewöhnliche Möglichkeit. Wäre aber natürlich viel mehr Aufwand für Digitec.

29.12.2017
User Thierry Pool

Die Identifikation vor Ort hat eher organisatorische als technische Implikationen. In der ersten Version wollten wir das eigentlich einfach mal pragmatisch lösen.

29.12.2017
User ZippoMan95

@Deville_TGR
Interessant, wird allerdings immer noch rege verwendet. Muss mich da wohl noch mal besser informieren.

29.12.2017
Répondre
User Infinyte

Ist auch Support für YubiKeys und/oder U2F geplant ?

30.12.2017
User Aragon0

U2F wäre deutlich bequemer als TOTP und ebenfalls offen, würde ich unterstützen

07.01.2018
Répondre
User Anonymous

Kann man dieses dämliche Captcha abstellen, wenn man die 2 Faktor Authentifizierung aktiviert hat?

05.01.2018
User Thierry Pool

Nein, das hat einen unterschiedlichen Hintergrund. Mit dem Captcha wollen wir (möglichst gezielt) maschinelle Logins verhindern, 2FA sichert das einzelne Konto. Haben aber sicher beide Features noch Entwicklungspotenzial.

12.01.2018
Répondre
User bochri

Mhhh... Das mit den Codes ausdrucken find ich irgendwie nicht wirklich praktisch. Warum kann nicht ganz einfach MobilID verwendet werden? Wäre einiges einfacher und auch sicher.

29.12.2017
User Thierry Pool

Wir haben uns bewusst für einen offenen Standard entschieden.

Das Ausdrucken ist ja nur eine Option, man kann sich die Codes auch anderweitig (sicher) abspeichern. Es ist aber auch durchaus möglich, dass wir diesen Teil des Prozesses mittelfristig noch anpassen.

29.12.2017
Répondre
User Tobler0wn3d

Finde ich top das Ihr euren Shop stetig weiterentwickelt! 2 Fragen: ich wünschte mir ein Feature welches mich über Preisänderungen informieren würde und 2. Wo ist der Kontaktchat geblieben? War immer meine beliebteste Möglichkeit um mit euch in Kontakt zu treten.

29.12.2017
User Thierry Pool

Vielen Dank für das Feedback!

1. Das ist immer wieder mal ein Thema, gibt aber noch keinen konkreten Zeitplan dafür.
2. Der Chat wurde testweise aktiviert um zu prüfen, wie beliebt er ist. In der Weihnachtszeit war er dann zeitweise überlastet, was den Sinn der Funktion letztlich in Frage gestellt hat. Deshalb wurde er vorübergehend wieder deaktiviert - es ist aber vorgesehen, dass er zurückkehren wird.

29.12.2017
Répondre
User Muscat

Ich überlege mir eben wie hoch das Risiko ist, dass sich jemand in mein privates Konto einloggt. Ihr schickt doch sicher eine Warnung, wenn die Daten im Profil mutiert werden, oder ? Bin jedenfalls froh, dass 2FA nicht obligatorisch ist 👍.

31.12.2017
User adrian2b

Am besten wäre die Zwei-Faktor-Authentifizierung so wie apple oder Amazon das macht.
Also dort habe ich die Möglichkeit dies einmalig pro Gerät zu machen.

02.01.2018
User adrian2b

und warum sind eigentlich bei euch soviele zahlen meiner Kreditkartennummer sichtbar gespeichert ?
Normalerweise genügen die letzten 4 Ziffern.

02.01.2018
User twobarbquickstep

Please note that I am not being asked for the code when logging in with a third party account (Google), even though 2FA shows as activated on my user account. Note that this applies to my Galaxus account too.

03.01.2018
User Artionet

J'adore cette fonctionnalité, merci beaucoup

05.01.2018
User ms4k

Danke Digitec. Endlich :D

30.12.2017
User fotofreak_ch

Wie kann ich an einem zweiten Gerät die 2FA einrichten? Ich habe nicht herausgefunden wo ich den QR Code nochmals aufrufen kann. Die Authenticator App von Microsoft benötigt aber den QR Code zum anlegen.

31.12.2017
User retiarius

Genau deshalb speichere ich die QR Codes vorher immer,so das ich zu einem späteren Zeitpunkt zb.nach Handy Wechsel ,bequem alle Konten wieder einlesen kann.Bitte nicht als Vorwurf verstehen,kam mir nur bekannt vor das Problem :)

09.01.2018
User fotofreak_ch

Nein, sehe es nicht als Vorwurf, sondern als guter Tipp! Das werde ich mir merken. :-)

09.01.2018
Répondre
User witold.baryluk

Nice. Highly appreciated. I would prefer U2F (Yubikey, Trezor, etc) instead tho.

02.01.2018
User bugybunny

Ich kann nach Eingabe des Codes nicht auf den „Weiter mit Schritt 2“ Button klicken. Ich vermute mal, der Code müsste richtig sein dazu, habe schon mehrere Codes durch, jedoch wird der Button nicht aktiviert. Beim Einrichten anderer Dienste hatte ich keine Probleme.
Wer leistet mir hier Support?

02.01.2018
User bugybunny

Logischerweise klappts direkt nach dem Schreiben des Kommentars :D Nochmals zurück und nen neuen QR Code generieren lassen hat geholfen.

02.01.2018
Répondre
User red1337ch

Buggt bei euch die Eingabe des 2FA Codes auch? Nach Eingabe des 4. Zeichens springt der Cursor vor das 4. Zeichen (getestet auf Android mit Chrome).

08.01.2018
User bugybunny

Setzt doch bitte den Fokus direkt ins Feld wo man den 6-stelligen Code eingeben muss, nachdem man den Username und Passwort eingegeben hat ;-) Nochmals reinklicken müssen ist so benutzerunfreundlich.

15.01.2018
User matthias.straub

Ich kann mich nicht mehr einloggen, da die Goolge App nach einer iPhone Wiederherstellung keinen Inhalt mehr hatte. Kann keinen Code mehr generieren. Niemand von Digitec kann helfen. Backup Pin gibt es auch nicht mehr

02.02.2018
User Thierry Pool

Unser Kundendienst kann auf Anfrage und nach erfolgter Identifikation 2FA für ein Kundenkonto deaktivieren. Falls du Mailverkehr hattest, kannst du auf mich Bezug nehmen, dann sollte das klappen.

02.02.2018
Répondre
User Anonymous

Welche Alternativen gibt es zu Google Authenticator (muss man da extra noch ein google-Konto einrichten)?

10.02.2018
User Thierry Pool

Man kann eigentlich jede Authentificator-App nutzen, die den OATH-TOTP-Standard unterstützt, z.B. auch den Microsoft Authenticator.

12.02.2018
Répondre
User Anonymous

Die Zweifaktorauthentifizierung ist bei dem aktuellen Sicherehitsniveau des Shops doch nur Augenwischerei!
So lange Passwörter immer noch als Klartext gespeichtert werden, hilft die 2fA zwar bei Digitec falls wieder mal Daten abhanden kommen, aber wie viele User benutzen das selbe PW noch woanders?

03.01.2018
User Krono

Woher weisst du, dass die als Klartext gespeichert werden? :OO

03.01.2018
User Anonymous

"Benutzerkonto" > "Benutzer bearbeiten" > in das Textfeld "Passwort" klicken > das Auge rechts klicken > et voila, man sieht das eigene Passwort.
Das kann nur funktionieren nur wenn das PW im Klartext gespeichert ist...
Stand der Technik wäre der Einsatz einer Hash-Funktion mit zusätzlichem Salz.

03.01.2018
User abucito53

Das Auge ist dazu da, dass man sein Passwort bei einer Änderung (vor dem Absenden des Formulars) nochmals ansehen kann, um sicher zu sein, dass man sich nicht vertippt hat. Zu dem Zeitpunkt, zu dem du auf das Auge geklickt hast, wurde das Passwort noch gar nicht übermittelt und kann demzufolge auch gar nicht abgespeichert worden sein!

04.01.2018
User Anonymous

Das ist so nicht korrekt... Das funktioniert auch wenn das Passwort nicht geändert wurde!
Woher kommt in dem Falle das Klartext-PW?

04.01.2018
User Krono

Bei mir ist bei diesem Feld (zum Glück) kein Passwort ausgefüllt.

04.01.2018
Répondre
User global1

für was das ganze ist kein bankkonto!

01.01.2018
User darnok16

Finde ich auch Overkill für ein einfaches Kundenkonto ...

25.01.2018
Répondre
User Anonymous

Wenig Freude. Security muss auch einfach und freudvoll sein. Was ich hier lese ist keines von beidem. Mühsam bei der Einrichtung, mühsam bei Nutzung. Freude hat eine Handvoll selbst ernannte Security Freaks - das wars. Die Capthas gingen seeehr auf die Nerven. Dies auch. Lasse ich mal aus. Wait V2

31.12.2017
User fumo

Aber Zeit für eine Windows App habt ihr immer noch nicht!

30.12.2017
User Krono

Frage mich gerade echt was das bringen soll...

02.01.2018
User Krono

(also eine Windows App...)

02.01.2018
User fumo

Im Prinzip genau so wenig wie der billige Webgrapper für iOS und Android nur dass viel mehr Geräte gibt die davon profitieren würden ;)

03.01.2018
User Krono

"profitieren"

03.01.2018
User fumo

Jedes Win10 Gerät ist profitieren, wer das nicht erkennt kann nur beschränkt und voreingenommen sein ;)

03.01.2018
Répondre