2FA Authentifizierung für Polestar ID Account

Hallo an alle,

ich hab mich in letzter Zeit häufiger mit dem Thema IT-Sicherheit beschäftigt und mit dem was in der Realität ungesetzt ist.

Dabei ist mir aufgefallen dass es beim Polestar der ja kein billiger Chinaschrott ist, keine 2FA (2-Faktor-Authentifizierung) gibt, was mich irgendwie etwas enttäuscht. Wenn jemand aus Boshaftigkeit eine Attacke auf n Account startet um ein Auto zu übernehmen der wird zumindest über das Konto die Polestar ID auslesen können und kann dann den Support per Social Engineering um den Standort vom Fahrzeug erfragen und eventuell sogar aufsperren lassen.

Damit solche Fälle verhindert werden und allgemein damit der Sicherheitsstandard erhöht wird bietet es sich IMMER an eine 2FA zu implementieren…ob das SMS/E-Mail, Challange-Response oder Authenticator App ist, sei erstmal der Firma überlassen.

Mich würde es mal interessieren was Ihr davon haltet :thinking: .

Wenn so ein Feature bereits in Umsetzung oder Planung ist würde es mich freuen.

Grundsätzlich sollte jeder Login egal wo mit einem zweiten Faktor abgesichert sein. Insofern Daumen hoch für die Idee.

7 Likes

Gibt es ein Beispiel dafür?
Ich gehe nicht davon aus, dass der Support unter Angabe der Polestar ID (Email-Adresse?) das Auto aufsperrt oder schützenswerte Daten an „fremde“ Personen weitergibt.
Oder habe ich etwas nicht verstanden?

Mir wäre keines bekannt.

Zudem ist es reine Spekulation, das der Support überhaupt per remote das Fahrzeug aufsperren kann. Auch hierfür kenne ich keine belegten Aktivitäten und Aussagen.
Selbst wenn dies möglich wäre, dann fehlt der unberechtigten Person immer noch ein Schlüssel um die Wegfahrsperre zu deaktivieren und das Auto zu starten.

Ansonsten, ja der I-net Zugang zum Polestar-Konto könnte eine 2FA haben. Aber wozu? Soll halt jemand auf meinen Namen Zubehör oder gar ein Auto bestellen. Es ist ja keine Bezahlmethode hinterlegt - da passiert also gar nichts.

Eine 2FA für die App oder gar den DK wäre kontraproduktiv. Fast Alle haben sich ja schon beim „Login-Fehler“ beschwert. Man stelle sich nur vor zur Nutzung App/DK muss man sich einloggen und z.B. noch einen PIN (per SMS empfangen) eingeben - absolut unnütz und unzumutbar.

Darum meine 2cent: vergesst das Ganze, ist absolut überflüssig und bring keinen Nutzen.

4 Likes

Das waren Fiktivbeispiele, sorry wenn man das nicht gut rauslesen konnte.

Ich bin ja grundsätzlich ein Fan von solchen Security-Features, aber:

  • Polestar hat es jetzt schon mindestens zwei Mal geschafft, dass man sich in der App mehrmals (am Tag) anmelden muss (und das dann mit 2FA? Nein Danke!), solange man sowas nicht in den Griff bekommen hat (zuverlässig) wäre das in der App zumindest Mist. Selbst so muss man sich ja alle paar Wochen schon Mal anmelden.
  • Im Auto selbst macht das Null Sinn.
  • Bei der Website könnte man das vll. machen, die ist ja von überall aus erreichbar und wahrscheinlich nutzt man die nicht so oft. Ob sich das lohnt :man_shrugging:

Ist nicht die Mac-Adresse vom Schlüssel bzw Handy der 2te Faktor :thinking::question:
Die müssen ja im Auto registriert sein :thinking:

1 Like

Wenn die MAC per WLAN ermittelt wird, kommt die Verschleierungsfunktion der neueren Handys ins Spiel. Diese ändert die MAC regelmäßig beim Verbindungsaufbau. Das ist ein Trackingschutz für WLAN und standardmäßig aktiviert.

Vermute also, kann nicht sein. 2FA nervt mich langsam nur noch. Brauche das schon viel zu häufig bei Online-Shops. Bei Gesundheitsportalen ok, aber bei Polestar?

Ohne Witz. Alleine für die Arbeit habe ich dann 3 verschiedene. 2 unterschiedliche Authentificator Apps… und eins per SMS.

An anderen Stellen ist dann aber Single-Sign-On aktiviert…

Nochmal darüber nachgedacht. Wo 2FA absolut Sinn macht wäre bei der Einrichtung einer APP oder Erstanmeldung auf einer Webseite (zum Setzen eines Cookies für spätere Authentifizierungsvorgänge).

Aber definitiv nicht bei allen Anmeldungen.

Zum Teil teile ich Accounts (ja ich weiß) mit anderen Mitarbeitern. Dies wäre dann nicht mehr möglich, was ja auch ein bischen der Sinn für 2FA ist. Aber man sollte noch selbst entscheiden können ob man den Account mit seiner Frau / Kinder / Mitarbeitern usw. sharen möchte. In der Regel kann man pro Login nur einen OTP-Token definieren.

Auch wenn man sich bei Polestar / Geely ganz offensichtlich häufig mal eher weniger Gedanken über Architektur macht, so haben die relevanten Funktionen heute schon faktisch eine zwei Faktoren (eigentlich sogar noch mehr Multifaktor Authentifizierung).

Die die fahrzeugrelevanten Funktionen muss ein Handy gekoppelt sein.
Dafür muss eine Verbindung von Fahrzeug aus initiert werden.
Das ist eigentlich ein Faktor Zugriff zum Auto und ein Faktor eigenes Gerät in der Reichweite des Autos. Je nach Definition sind das ein oder zwei weitere Faktoren zum Account Passwort.
Für den DK braucht es zusätzlich noch die bisher registrierten Schlüssel.
An der Stelle hat es also schon immer Multifaktor.

Wenn das nicht der Fall wäre hätte Polestar eventuell auch schon Probleme bekommen, da ein Passwort alleine bei der durchschnittlichen Softwarequalität sonst eventuell schon zum Problem geworden wäre.

3 Likes

Vielen Dank auf jedenfall für die Meinungen dazu.

Wie es im Detail technisch abläuft könnte man revers egnineeren wenn man Lust hat.

Wenn die Multifaktor Authentifizierung bereits durch registrierte Schlüssel und co. gewährleistet ist, ist das natürlich gut. Dennoch sollte es meiner Meinung nach eine Option für die „klassischen“ 2FA geben.

Bei denen die sich mit mehreren Apps umher schlagen müssen ist es natürlich nachvollziehbar, dass man auf sowas verzichten will bzw. sich damit nicht auseinander setzen will.

TL:DR ein 2FA als Option wäre wohl eher ein „Nice to have“ als ein „Musst have“, wenns darum geht den Account zu schützen.

Eindeutig dagegen - diese „Mode“, alles und jedes nur noch mit 2-Faktor-Authentifizierung zu „schützen“, wird lästig! Das ständige Gebimmele am Handy stört.

2 Likes

Ich war lange nicht mehr hier aber eben habe ich gelesen das im Januar 2024 2 FA eingeführt werden soll.
Siehe Hier: Polestar ID FAQs | Polestar CH

1 Like

Würde ich sehr begrüßen.
Meiner Meinung nach viel zu lange nicht beachtet worden, Security wird immer wichtiger.
Letzten Endes sollte jeder selbst entscheiden dürfen im Account ob er 2FA oder MFA nutzen will.
Das Angebot sollte aber da sein, insofern sehe ich die Entwicklung als sehr positiv.

Während ich 2FA grundsätzlich begrüße und konsequent einsetze, habe ich doch Kritik am Vorgehen von Polestar:

  1. es sollte ein generiertes One-Time-Password (OTP) zum Einsatz kommen, welches von einer Authenticator App kommt. Dieses Verfahren hat sich etabliert (und geht übrigens auf die alten RSA Tokens zurück). Die Zusendung eines Codes via E-Mail oder SMS (wie geplant) ist nicht mehr up-to-date und unsicher.

  2. 2FA killt Apps und API-Anwendungen ohne geplante Interaktion, wenn nicht gleichzeitig API-Accounts ohne 2FA angeboten werden. Dies gilt zum Beispiel für die gerade erst entwickelte Home Assistant Integration, mit der man endlich den Status seines Fahrzeugs in seine Heimautomatisierung integrieren kann.

Also: 2FA für die Verwaltung des Accounts und Anmeldung an der Website und Polestar App über OTP und die Möglichkeit API Keys / API Accounts ohne 2FA zu erstellen - und alle sind glücklich.

3 Likes

So wie ich verstanden habe wird mittelfristig Passkeys die 2FA Authentifizierung ablösen. Habe mich aber noch nicht so detailliert damit auseinandergesetzt…

Passkeys können über kurz oder lang alle Passwörter ersetzen – nur noch nicht heute

Naja, das höre ich auch nicht zum ersten Mal. Vereinfacht gesagt ist Passkey ein Private Key auf dem lokalen Gerät, der mit den Möglichkeiten des Gerätes (Face ID, Windows Hello) im lokalen Trust-Store abgelegt ist. Der zugehörige Public Key liegt auf Seiten der zugehörigen Anwendung.

Daraus ergibt sich:

  • Ein Passkey pro Gerät, also auf dem Telefon, auf dem PC, im Auto. Ein Passkey kann nicht zwischen Geräten geteilt werden (ein Passwort mit und ohne 2FA schon).
  • auch Passkey kommt für App- und API-Accounts nicht infrage.
2 Likes

Und schon isses da:

Mit der Zwei-Faktor-Authentifizierung wird Ihnen zusätzliche Sicherheit geboten. Zusätzlich zu Ihrem Polestar ID Benutzernamen bzw. Passwort müssen Sie zur Anmeldung einen Code eingeben (den Sie per E-Mail oder SMS bekommen).

Die Zwei-Faktor-Authentifizierung wird ab Januar 2024 eingeführt. Gehen Sie zur Vorbereitung bitte auf polestarid.eu.polestar.com/Account/landing-page und stellen Sie bitte Folgendes sicher:

• Sie können sich in Ihrem Konto anmelden

• Sie haben eine gültige, mit Ihrem Konto verbundene Handynummer oder E-Mail-Adresse

Hinweis: Ihr Polestar ID Benutzername ist die E-Mail-Adresse oder Handynummer, an die der Code bei der Zwei-Faktor-Authentifizierung gesendet wird.

Leider ist unter „Mehr erfahren“ auch nichts über „einige Dienste“ zu erfahren, das ist wieder so ne dünne Kommunikation, die ich einfach nicht verstehe.