ich hab mich in letzter Zeit häufiger mit dem Thema IT-Sicherheit beschäftigt und mit dem was in der Realität ungesetzt ist.
Dabei ist mir aufgefallen dass es beim Polestar der ja kein billiger Chinaschrott ist, keine 2FA (2-Faktor-Authentifizierung) gibt, was mich irgendwie etwas enttäuscht. Wenn jemand aus Boshaftigkeit eine Attacke auf n Account startet um ein Auto zu übernehmen der wird zumindest über das Konto die Polestar ID auslesen können und kann dann den Support per Social Engineering um den Standort vom Fahrzeug erfragen und eventuell sogar aufsperren lassen.
Damit solche Fälle verhindert werden und allgemein damit der Sicherheitsstandard erhöht wird bietet es sich IMMER an eine 2FA zu implementieren…ob das SMS/E-Mail, Challange-Response oder Authenticator App ist, sei erstmal der Firma überlassen.
Mich würde es mal interessieren was Ihr davon haltet .
Wenn so ein Feature bereits in Umsetzung oder Planung ist würde es mich freuen.
Gibt es ein Beispiel dafür?
Ich gehe nicht davon aus, dass der Support unter Angabe der Polestar ID (Email-Adresse?) das Auto aufsperrt oder schützenswerte Daten an „fremde“ Personen weitergibt.
Oder habe ich etwas nicht verstanden?
Zudem ist es reine Spekulation, das der Support überhaupt per remote das Fahrzeug aufsperren kann. Auch hierfür kenne ich keine belegten Aktivitäten und Aussagen.
Selbst wenn dies möglich wäre, dann fehlt der unberechtigten Person immer noch ein Schlüssel um die Wegfahrsperre zu deaktivieren und das Auto zu starten.
Ansonsten, ja der I-net Zugang zum Polestar-Konto könnte eine 2FA haben. Aber wozu? Soll halt jemand auf meinen Namen Zubehör oder gar ein Auto bestellen. Es ist ja keine Bezahlmethode hinterlegt - da passiert also gar nichts.
Eine 2FA für die App oder gar den DK wäre kontraproduktiv. Fast Alle haben sich ja schon beim „Login-Fehler“ beschwert. Man stelle sich nur vor zur Nutzung App/DK muss man sich einloggen und z.B. noch einen PIN (per SMS empfangen) eingeben - absolut unnütz und unzumutbar.
Darum meine 2cent: vergesst das Ganze, ist absolut überflüssig und bring keinen Nutzen.
Ich bin ja grundsätzlich ein Fan von solchen Security-Features, aber:
Polestar hat es jetzt schon mindestens zwei Mal geschafft, dass man sich in der App mehrmals (am Tag) anmelden muss (und das dann mit 2FA? Nein Danke!), solange man sowas nicht in den Griff bekommen hat (zuverlässig) wäre das in der App zumindest Mist. Selbst so muss man sich ja alle paar Wochen schon Mal anmelden.
Im Auto selbst macht das Null Sinn.
Bei der Website könnte man das vll. machen, die ist ja von überall aus erreichbar und wahrscheinlich nutzt man die nicht so oft. Ob sich das lohnt
Wenn die MAC per WLAN ermittelt wird, kommt die Verschleierungsfunktion der neueren Handys ins Spiel. Diese ändert die MAC regelmäßig beim Verbindungsaufbau. Das ist ein Trackingschutz für WLAN und standardmäßig aktiviert.
Vermute also, kann nicht sein. 2FA nervt mich langsam nur noch. Brauche das schon viel zu häufig bei Online-Shops. Bei Gesundheitsportalen ok, aber bei Polestar?
Nochmal darüber nachgedacht. Wo 2FA absolut Sinn macht wäre bei der Einrichtung einer APP oder Erstanmeldung auf einer Webseite (zum Setzen eines Cookies für spätere Authentifizierungsvorgänge).
Aber definitiv nicht bei allen Anmeldungen.
Zum Teil teile ich Accounts (ja ich weiß) mit anderen Mitarbeitern. Dies wäre dann nicht mehr möglich, was ja auch ein bischen der Sinn für 2FA ist. Aber man sollte noch selbst entscheiden können ob man den Account mit seiner Frau / Kinder / Mitarbeitern usw. sharen möchte. In der Regel kann man pro Login nur einen OTP-Token definieren.
Auch wenn man sich bei Polestar / Geely ganz offensichtlich häufig mal eher weniger Gedanken über Architektur macht, so haben die relevanten Funktionen heute schon faktisch eine zwei Faktoren (eigentlich sogar noch mehr Multifaktor Authentifizierung).
Die die fahrzeugrelevanten Funktionen muss ein Handy gekoppelt sein.
Dafür muss eine Verbindung von Fahrzeug aus initiert werden.
Das ist eigentlich ein Faktor Zugriff zum Auto und ein Faktor eigenes Gerät in der Reichweite des Autos. Je nach Definition sind das ein oder zwei weitere Faktoren zum Account Passwort.
Für den DK braucht es zusätzlich noch die bisher registrierten Schlüssel.
An der Stelle hat es also schon immer Multifaktor.
Wenn das nicht der Fall wäre hätte Polestar eventuell auch schon Probleme bekommen, da ein Passwort alleine bei der durchschnittlichen Softwarequalität sonst eventuell schon zum Problem geworden wäre.
Wie es im Detail technisch abläuft könnte man revers egnineeren wenn man Lust hat.
Wenn die Multifaktor Authentifizierung bereits durch registrierte Schlüssel und co. gewährleistet ist, ist das natürlich gut. Dennoch sollte es meiner Meinung nach eine Option für die „klassischen“ 2FA geben.
Bei denen die sich mit mehreren Apps umher schlagen müssen ist es natürlich nachvollziehbar, dass man auf sowas verzichten will bzw. sich damit nicht auseinander setzen will.
TL:DR ein 2FA als Option wäre wohl eher ein „Nice to have“ als ein „Musst have“, wenns darum geht den Account zu schützen.
Eindeutig dagegen - diese „Mode“, alles und jedes nur noch mit 2-Faktor-Authentifizierung zu „schützen“, wird lästig! Das ständige Gebimmele am Handy stört.
Würde ich sehr begrüßen.
Meiner Meinung nach viel zu lange nicht beachtet worden, Security wird immer wichtiger.
Letzten Endes sollte jeder selbst entscheiden dürfen im Account ob er 2FA oder MFA nutzen will.
Das Angebot sollte aber da sein, insofern sehe ich die Entwicklung als sehr positiv.
So wie ich verstanden habe wird mittelfristig Passkeys die 2FA Authentifizierung ablösen. Habe mich aber noch nicht so detailliert damit auseinandergesetzt…
Mit der Zwei-Faktor-Authentifizierung wird Ihnen zusätzliche Sicherheit geboten. Zusätzlich zu Ihrem Polestar ID Benutzernamen bzw. Passwort müssen Sie zur Anmeldung einen Code eingeben (den Sie per E-Mail oder SMS bekommen).
Die Zwei-Faktor-Authentifizierung wird ab Januar 2024 eingeführt. Gehen Sie zur Vorbereitung bitte auf polestarid.eu.polestar.com/Account/landing-page und stellen Sie bitte Folgendes sicher:
• Sie können sich in Ihrem Konto anmelden
• Sie haben eine gültige, mit Ihrem Konto verbundene Handynummer oder E-Mail-Adresse
Hinweis: Ihr Polestar ID Benutzername ist die E-Mail-Adresse oder Handynummer, an die der Code bei der Zwei-Faktor-Authentifizierung gesendet wird.
Leider ist unter „Mehr erfahren“ auch nichts über „einige Dienste“ zu erfahren, das ist wieder so ne dünne Kommunikation, die ich einfach nicht verstehe.
und weiter passiert nach dem Einloggen erst einmal nix.
Keine Mail. Keine SMS.
Ist wohl noch nicht soweit …
Jetzt können sich erst einmal alle aufregen
Mit dem Link kommt man erstmal eh nur auf ne Seite zur Überprüfung persönlicher Daten. Ob eine gültige E-Mail Adresse und/oder Handynummer vorhanden ist. Ob man den Code nun per E-Mail, SMS oder gar nicht bekommen möchte, ist da noch gar nicht vorgesehen.
.
