[Frage] FB7590 (und andere Boxen ab OS:7.50) Bestätigungen deaktivieren ?

andauernd aufgefordert zu werden
Dann machst Du vermutlich etwas falsch - denn die einmal erfolgte Authentifizierung gilt (egal mit welcher Methode) für die Dauer der gesamten Sitzung am GUI des FRITZ!OS und die Dauer dieser Sitzung verlängert sich auch immer wieder (sprich: das 20-Minuten-Timeout wird zurückgesetzt), wenn man irgendwelche (sinnvollen) Aktionen zur Konfiguration des Gerätes ausführt. EDIT: Auch "ständige" Neustarts kann man mit entsprechend planvollem Vorgehen auf ein unumgängliches Minimum reduzieren.

Da das ebenso für die 2FA per TOTP gilt, wird wohl jeder halbwegs vernünftige/erfahrene "Administrator" als erste Aktion (ggf. nach dem Wiederherstellen einer zuvor gesicherten Konfiguration) hingehen und den von ihm verwendeten Benutzer entsprechend einstellen … damit kann man von diesem Zeitpunkt an auch problemlos TOTP verwenden und zur Häufigkeit der Notwendigkeit dieser Aktion gilt das weiter oben Geschriebene.

Für mich also (weiterhin) keine ausreichende Begründung, warum jemand die 2FA komplett deaktivieren müsse - abseits geplanter Automatisierungen, wo ich selbst auch eine Notwendigkeit sehen könnte.
 
Für mich gibt es weiterhin keine vernünftige Begründung, warum man das nicht im Web-UI ausschalten können darf. Es ist meine Fritz!Box, meine Entscheidung. Punkt. Meine Box ist nicht über "das Internet" erreichbar und irgendwelche bösen Freunde oder Verwandte die mein Gast-WLAN benutzen können mir irgendwie Schaden zufügen.

Ach so, und "falsch gemacht" habe ich auch nichts. Immer diese Besserwisserei...
 
  • Like
Reaktionen: Cloud_7 und DDD
geht es hier um den Schalter?
2fs.png 2fs2.png
 
Nur weil 5% meinen (oder dies auch wirklich können?) eine Fritte zu beherrschen, ist es trotzdem die richtige Entscheidung von AVM gewesen dies einzuführen. Eine Fritz Box ist ein Massenprodukt und in meinem erweiterten Bekanntenkreis sind die wenigsten in der Lage dieser Diskussion zu folgen.
Wer so etwas benötigt sollte sich nach Profi Produkten umschauen, aber nicht nach 08/15 Consumer Produkten, die für Otto-Normalverbraucher gebaut werden und die den Ruf haben einen hohen Sicherheitsstandart zu haben.
 
Meine Box ist nicht über "das Internet" erreichbar
Das dachte ich damals auch ... bis innerhalb von 12 Stunden 800 Euro Telefonrechnung nach Afrika und Palästina zusammenkamen.

Bei den damaligen und heutigen politischen Verhältnissen konnte man noch froh sein, wenn man nicht auch noch gefragt wurde, mit wem man da so Kontakt hatte ...
 
falsch gemacht" habe ich auch nichts.
Dann kläre uns doch bitte auf, warum Du von Deiner Box "andauernd" aufgefordert wirst, die 2FA erneut zu bestätigen. Änderst Du denn "andauernd" irgendwelche Einstellungen innerhalb neu eröffneter Sitzungen (warum?) oder wie erklärst Du das ansonsten?

Und ich schrieb "vermutlich" samt Begründung, warum ich das bei korrekter Handhabung nicht glauben mag - also solltest Du das schon irgendwie begründen können, warum du der Ansicht bist, dabei dann nichts falsch zu machen … und bitte unter Beachtung dessen, was Du ansonsten noch dazu geschrieben hattest.

Für die prinzipielle Angreifbarkeit eines Gerätes ist es ziemlich unerheblich, ob das "im Internet erreichbar" ist oder nicht (das macht es ggf. leichter) - da reicht am Ende schon ein infiziertes Gerät (oder eine App auf einem solchen) im LAN als Relay für einen Angriff.

Und es ist ein weit verbreiteter Irrtum (meist von Laien, jemand mit etwas Ahnung schätzt das i.d.R. realistischer ein), man hätte seine Technik schon irgendwie komplett im Griff - das glaube ich nicht mal mehr denjenigen, die in ihrem LAN nur selbst zusammengestellte Linux-Distributionen mit textbasiertem Internetbrowser betreiben und sonst gar nichts … was heutzutage schon sehr, sehr unwahrscheinlich ist, wo immer mehr Geräte Netzwerk-Funktionen integrieren und die Besitzer diese auch nutzen, von TV-Geräten über Settop-/SAT-Boxen bis hin zu Streaming-Boxen/-Sticks, von Smartphones und Tablet-PCs ganz zu schweigen und selbst Smarthome-Geräte (Kameras, Steckdosen) können als Relays dienen (https://www.heise.de/news/No-Name-H...erlaubt-leichten-Firmware-Upload-4284783.html - old, but not outdated), wie uns auch das Mirai-Botnet gezeigt hat.

Das
Meine Box ist nicht über "das Internet" erreichbar
ist also ebensowenig eine plausible Begründung, warum man beim FRITZ!OS die 2FA deaktivieren können MUSS und das dann auch noch "ganz bequem" per GUI - denn dass es (noch) möglich ist, ist hier ja das musikalische Grundthema in diesem Thread.

Du kannst allerdings auch Deine Haustür sperrangelweit offenstehen lassen und mußt sie weder (ver-)schließen noch abschließen - dennoch wird eine weit überwiegende Zahl von Haustüren mit der Funktion, sie zu verschließen, produziert werden und ich denke schon, andere Käufer werden das durchaus begrüßenswert finden, selbst wenn Du das nicht benötigen solltest oder es nicht nutzen willst.
 
Deine Aussagen sind insofern nicht konsistent, da sie ja auf ALLE Nutzer gleichmaßen zutreffen.
AVM macht aber selbst Unterschiede und jene, die es früher nicht aktiviert hatten, bleiben auch heute nach dem Update davon verschont.
Nach einem Recovery mit neuer FW fehlt es dann aber plötzlich.
Sowas kann mitten im Betrieb schon gehörige Probleme verursachen und als Zwischenschritt, bis sie es irgendwann gänzlich unterbinden, sollte es weiterhin änderbar sein.

Daher wäre es durchaus angebracht, natürlich mit "Aufwand" (Hinweisen, zusätzlich Bestätigungen, was auch immer) die Funktion manuell daktivieren zu können.
Etwa sowas wie früher die Erweiterten Einstellungen, die man erst aktivieren mußte.
Da stolpert dann eh kein 0815-User drüber, der sich dessen nicht bewußt wäre.
 
  • Like
Reaktionen: DDD
AVM macht aber selbst Unterschiede und jene, die es früher nicht aktiviert hatten, bleiben auch heute nach dem Update davon verschont.
Nach einem Recovery mit neuer FW fehlt es dann aber plötzlich.
Meinst Du nicht, es könnte auch ganz simpel eine "Unachtsamkeit" sein, dass diese (ungewollte) Randerscheinung einfach nicht beachtet/gefunden wurde:
Frühere wenige Benutzer hatten es deaktiviert, das Flag "Keine 2FA" ist gesetzt und wird mitgeschliffen und steht so einfach noch von früher in der Konfig drin.
Die Möglichkeit, diese 2FA zu deaktivieren ist entfernt worden und in allen Testszenarien bei AVM ist dieses Flag einfach nicht gesetzt gewesen, daher ist das nicht aufgefallen, dass das Flag im Hintergrund trotzdem noch aktiv ist. Gewachsene Umgebung halt...
Sowas kann mitten im Betrieb schon gehörige Probleme verursachen
Aha, also einfach so, mitten im Betrieb gibt es plötzlich "gehörige" Probleme?
Das ohne Belege einfach so zu behaupten, doch nicht haltbar
 
  • Like
Reaktionen: NDiIPP und Santa2021
Du kannst allerdings auch Deine Haustür sperrangelweit offenstehen lassen und mußt sie weder (ver-)schließen noch abschließen - dennoch wird eine weit überwiegende Zahl von Haustüren mit der Funktion, sie zu verschließen, produziert werden und ich denke schon, andere Käufer werden das durchaus begrüßenswert finden, selbst wenn Du das nicht benötigen solltest oder es nicht nutzen willst.

Im Großen und Ganzen stimme ich deiner Ausführung zu, bis auf dein Beispiel mit der Haustür, da widersprichst du dir selbst.

Wie du schon schreibst, werden die Haustüren so produziert. Aber als Besitzer/Nutzer/Mieter oder Eigentümer kann man frei entscheiden, ob ich die Haustüre nur zuziehe und verschließe oder mit einem Schlüssel absperre. Diese Wahl habe ich bei FritzOS nicht mehr. Hier wird man gezwungen, abzusperren. Ob es dadurch wirklich sicherer wird, sei mal dahingestellt.

Um wieder in die Räumlichkeiten zu kommen, recht mir zum Glück der Schlüssel. Will ich aber die Einstellung des Türblatts ändern, weil diese auf der Griffseite runterhängt und schleift, muss ich zuerst 3x den Türgriff betätigen und auf einem Bein zweimal im Kreis drehen. Dann habe ich 20 Minuten Zeit, diese Arbeiten zu erledigen. Brauche ich länger, fängt der Spaß von vorne an. :eek:

Das ist auch nur ein dummes Beispiel, und solange man die Möglichkeit hat, dieses noch zum Umgehen, wird jede Diskussion überflüssig.

Wer Beispiele braucht, wo diese Funktion nervt, kann Sie gerne haben.
Als Kabelkunde betreibe ich meine eigene Box am Kabelanschluss. Kommt es zu Problemen, was des Öfteren mal passiert, muss ich die Box des Providers in Betrieb nehmen. So kann erst einmal ausgeschlossen werden, ob die Probleme an der eigenen Box liegen oder doch an der Leitung. Ab da kann ich eine Störung melden.
Die Leihbox wird automatisiert auf Werkseinstellungen zurückgesetzt, und ich muss alles neu einrichten und etliche Einstellveränderungen bestätigen.
Das Backup der eigenen Box kann ich nicht nutzen, da sonst die Telefonie nicht mehr funktioniert. Meistens wird ein Update seitens des Providers durchgeführt und schon wird das Backup der Leihbox nicht mehr akzeptiert. Meine eigene Box steht im Kellergeschoss, meinen PC habe ich an einer weiteren Box 2 Stockwerke darüber. In der Regel führe ich von dort meine Veränderungen durch.
Um mir die Lauferei zu ersparen, nehme ich meinen Laptop mit in den Keller. So muss ich nur für die Repeater und zweite Box durch mein Haus laufen, um diese in das Mesh System einzufügen.
Bei dem Update des 3000AX Repeaters auf 8.02 wurde ebenfalls die 2FA aktiviert, was mir von unterwegs Probleme bereitete, da ich die automatisierten Änderungen, die durch das Update passierten, rückgängig machen wollte. Letztendlich landete ich wegen des fehlenden Tastendrucks bei einer 60-minütigen Sperre.
Auch dieses war nach Anwesenheit kein Problem mehr.

Mir persönlich wäre es lieber, wenn mir AVM die Wahl gelassen hätte, wie ich meine Box und Netzwerk betreibe oder die Ansicht grafisch dargestellt wird.
Leider wurden in der Vergangenheit viele dieser Auswahloptionen wie 160 Mhz gestrichen und andere Sachen wie LLDP ungefragt hinzugefügt, ohne dieses deaktivieren zu können.

Aber es ist wie es ist, und wenn man unzufrieden ist, kann man jederzeit den Hersteller wechseln. Ob es dadurch besser wird, müsste man erörtern.
 
  • Like
Reaktionen: DDD
@Novize: Wenn man ein Mesh mit 6 Boxen betreibt, von denen nur eine leichtzugänglich ist, alle anderen auf Dachböden, nur mit Leitern erreichbar oder in Nachbarhäusern, dann ist es ein Problem.
Schon allein die Master zu tauschen und alle Geräte zu vermeschen und Telefone anzulernen ist ein gehöriges Problem.
Und das bemerkt man oft erst, wenn der Hut brennt, weil irgendwas nicht so funktioniert wie es soll.
Oder man über VPN mehrere Boxen betreut, was hier ebenfalls der Fall ist.
 
  • Like
Reaktionen: Ldwg2002 und DDD
Wenn man ein Mesh mit 6 Boxen betreibt, von denen nur eine leichtzugänglich ist, alle anderen auf Dachböden, nur mit Leitern erreichbar oder in Nachbarhäusern, dann ist es ein Problem.
Ja klar, das macht auch jeder so ziemlich immer am Feierabend, um sich die Zeit zu vertreiben. Wer von uns hat nicht mindestens 5 Meshboxen verbaut und unerreichbar irgendwo eingebaut, die regelmäßig umkonfiguriert werden müssen... Genau das ist die Zielgruppe der gefühlt 99% der Fritz-Benutzer ;)
Ok, mal im Ernst: Das ist einer der soooo seltenen Fälle, da sollte der Experte, der solches aufgebaut hat, auch in der Lage sein, die 2FA auch selbstständig zu deaktivieren. Dass muss nicht für alle und jeden in der GUI passieren, weil die meisten sich damit einfach nur Gefahren ins Haus holen, welche definitiv nicht notwendig sind. ;)
Oder man über VPN mehrere Boxen betreut, was hier ebenfalls der Fall ist.
Solches mache ich auch - bei mir kommt der Anruf "Dies oder das klappt nicht", dann wähle ich mich ein und konfiguriere aus der Ferne. Der eigentliche Fritz-Besitzer drückt dann auf mein Zuruf mal eben eine Taste und fertig. Das empfinde ich nun wirklich nicht als Einschränkung sondern eher als zusätzliche Sicherheit und Beruhigung des Bekannten, damit da keiner unbemerkt Bockmist treiben kann.

Alles in allem ist beides kein Szenario, welches AVM bewegen sollte, diese zusätzliche Sicherheit mal wieder zu kippen.
 
@Pirelli1:
Bitte verstehe mein Beispiel mit der Haustür eher als "Bauart-Beschreibung" - auch wenn es andere Ausführungen geben mag/kann (links oder rechts angeschlagen, nach innen oder nach außen öffnend, etc.), wird doch JEDE (explizit als solche vorgesehene) Haustür (außer Sonderanfertigungen auf Kundenwunsch oder sehr, sehr spezielle "Portale") die notwendigen Aussparungen für ein entsprechendes Schloß aufweisen (wie wohl jede "normale" Tür zumindest einen Riegel vorsieht, selbst wenn da nicht abgeschlossen werden soll), unabhängig davon, ob der Besitzer (oder Mieter oder wer auch immer) gedenkt, sie zu benutzen und mit einem Schloss zu bestücken. AVM baut in die Firmware die Notwendigkeit der 2FA ein und wenn der Kunde ein AVM-Gerät mit aktueller Firmware haben will, muß er damit leben - sofern er sie nicht selbst abschaltet oder gleich passend konfiguriert, was auch keine "rocket science" ist.

Wenn das dann jemandem auf die Füße fällt, der seine Geräte aus der Ferne verwalten will und keine Vorsorge für solche Fälle getroffen hat (indem er die 2FA eben selbst passend konfigurierte für seinen Benutzer), dann ist das - für mich - eine sehr gute Nachricht … denn genau das ist der Zweck des ganzen Features, daß man eben nicht so einfach aus der Ferne (und das muß ja nicht automatisch ein Berechtigter sein) die Konfiguration ändern kann. Zumal ich mich dabei auch frage, wer DAS tatsächlich für sein eigenes Netzwerk (Fernwartung für Dritte ist wieder ein anderes Thema) machen muß, wenn er nicht vor Ort ist - und warum man dann automatische Updates in seiner Abwesenheit machen läßt, die ja (trotz doppelt ausgelegter Firmware-Slots) auch immer noch ein Restrisiko beinhalten.

Szenarien, in denen die 2FA nicht wirklich hilfreich ist, fallen mir auch genügend ein (die habe ich auch schon oft genug aufgezeigt) - aber was AVM jetzt mit dem umständlichen Handling Deines KNB bei der (offensichtlich ja des öfteren erforderlichen?) "Entstörung" Deines Kabelanschlusses zu tun haben soll, erschließt sich mir nicht bzw. ich hielte es für verfehlt, wenn AVM hier für die Umstände, die Dein KNB Dir bei der Fehlerbehebung aufbürden will, alle anderen Kunden gleich mit in die "Haftung" nehmen würde.

Zumal Du ja ziemlich sicher beim Wechsel vom Leihgerät zur eigenen FRITZ!Box noch deutlich mehr machen mußt, als nur die eigene Box wieder anzuschließen - all dieser zusätzliche Aufwand (von der "Ummeldung" der CM-MAC bis hin zur Generierung neuer SIP-Credentials) ist nichts als Theater bzw. Bequemlichkeit bei Deinem Provider (falls das Vodafone ist, dann auch bei meinem) und wäre gar nicht erforderlich, wenn man den Kunden mit eigenem Endgerät nicht einfach ein paar Steine in den Weg legen wollte - eine einfache Auswahl, ob das eigene Gerät ERNEUT angeschlossen werden soll oder ein anderes/neues, würde hier den Aufwand auf die reine physische Installation beschränken und NICHTS müsste neu konfiguriert werden.

Das ist also sicherlich ärgerlich für Dich, aber immer noch kein plausibler Grund, die Möglichkeit der Abschaltung der 2FA (die leider leichtsinnigerweise auch immer wieder in irgendwelchen "Tipps" im Internet empfohlen wird, selbst wenn es bessere Alternativen gäbe) weiterhin für ALLE Kunden im GUI "anzubieten" - aus ebendiesem Grund, daß auch weniger erfahrene Kunden damit dann die Sicherheit ihres Routers (unabsichtlich) erheblich mindern können (oder was auch immer ihnen da irgendein Chat-Bot vorschlagen mag - diese werden ja "trainiert" und lernen auch aus solchen "Tipps").

Das
Bei dem Update des 3000AX Repeaters auf 8.02 wurde ebenfalls die 2FA aktiviert,
verstehe ich nicht so ganz - entweder es handelt sich um eine Fehlfunktion beim bzw. nach dem Update (oder auch um einen Fehler in der Firmware oder die erste Inkarnation künftigen Verhaltens) oder die 2FA war zuvor eben auch schon aktiv. Jedenfalls entspräche das der von AVM bisher publizierten Intention - siehe die diversen Zitate der AVM-Infos weiter vorne in diesem Thread. Wenn da also tatsächlich "auf einmal" die 2FA aktiviert wurde, wäre zu klären, wie es dazu kam - z.B. durch Wiederherstellung des vorherigen Zustands und ein erneutes Update.

EDIT: Ich sehe die 2FA tatsächlich (abseits von Automatisierungen, die damit erschwert werden - nur wie viele Promille der Kunden interessieren sich bitte DAFÜR) auch in EINEM Punkt kritisch - solange das Gerät mit FRITZ!OS noch keine aktuelle Uhrzeit hat, kann man (logischerweise) auch noch keine "time-based one-time passwords" benutzen. Entweder man sorgt also für eine gesetzte Uhrzeit (man müßte glatt noch einmal testen, nach welchen Kriterien AVM die 2FA-Methoden freigibt und ob auch ein per DHCP gesetzter Time-Server ausreicht, was im Mesh die Sache erleichtern würde) oder man muss sich aufs "Knöpfchendrücken" verlegen - wenn das Gerät eher unzugänglich installiert ist, dürfte auch die Verwendung von DECT- oder kabelgebundenen Telefonen ja in den Werkseinstellungen entfallen. Auch hier könnte AVM mit der zusätzlichen Möglichkeit, stattdessen auch HOTP zu verwenden (https://datatracker.ietf.org/doc/html/rfc4226), für mehr Komfort/Optionen bei den Kunden sorgen - ggf. sogar mit einem passenden Seed auf dem Typenschild des Gerätes (als QR-Code), den man erfassen kann, bevor man es irgendwo installiert. Wobei meines Erachtens (ich teste aber auch schon länger keine neuen AVM-Versionen mehr) ja auch während der Benutzung des Installationsassistenten die Notwendigkeit für die 2FA entfällt oder hat man das mittlerweile geändert?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Pirelli1
@PeterPawn

schön das man mit dir sachlich diskutieren kann, dafür danke ich dir.

Mein Provider ist übrigens Vodafone, da hat man es nicht immer leicht.

verstehe ich nicht so ganz - entweder es handelt sich um eine Fehlfunktion beim bzw. nach dem Update (oder auch um einen Fehler in der Firmware oder die erste Inkarnation künftigen Verhaltens) oder die 2FA war zuvor eben auch schon aktiv.

Das beim 3000AX ist kein Fehler, sondern von AVM offensichtlich gewollt. Mit dem Update kann der Repeater als Router bzw. Master agieren, darum wurde das Sicherheitspaket nachgereicht.
Dabei hatte ich aus der Ferne das Update über die Datei eingespielt, was normal für mich unüblich ist, aber es ist einfach passiert.
Dabei wurde die 2FA eingebunden, meine statische IP des Repeaters deaktiviert und selbstständig auf DHCP umgestellt und ein paar weitere Kleinigkeiten hatten sich verändert. Im Nachhinein ist man immer schlauer :)
 
  • Like
Reaktionen: PeterPawn
trotz Wahlregeln/Sperren?
Zu dem Zeitpunkt hatte ich einen Grund, eventuell in's Ausland telefonieren zu müssen, eine Komplettsperre für "00..." wäre also nicht hilfreich gewesen.

Da damals die Sicherheitslücke im Vorfeld nicht bekannt war (bzw. falls doch, nicht darüber gewarnt wurde), waren internationale Sperren kein Thema, weder beim Nutzer noch beim Provider. Diese Sperren kamen erst später als Standardeinstellungen.

Es war halt nicht vorstellbar, daß man ohne Bestätigungen aus dem Internet heraus Telefoniegeräte einrichten konnte, die dann auch noch aus dem Internet heraus für abgehende Telefonate nutzbar waren.
Dieses Setup ist zwar immer noch möglich, aber mittlerweile mit Sicherheitsabfragen versehen - es gibt diese 2FA-Bestätigung mittels lokaler Geräte (Analog-, DECT- oder ISDN-Telefone, jedoch KEINE IP-Telefone) also nicht ohne Grund.
 
Kostenlos!

Statistik des Forums

Themen
247,009
Beiträge
2,260,668
Mitglieder
375,267
Neuestes Mitglied
Glosdaichjohnny