[Frage] FB7590 (und andere Boxen ab OS:7.50) Bestätigungen deaktivieren ?

Grundsätzlich meine volle Zustimmung zu dem, was du geschrieben hast, @H'Sishi!
Prinzipiell macht ja AVM bereits dieses => "pillepalle-Einstellungen" ohne 2FA und "gefährliche" sowie "teure" Einstellungen mit 2FA.
Ich als ehemaliger IT-Sicherheitsfuzzi mag es aber eben "richtig". Ja, als Option, aber dann gleich so, dass es nicht vergessen wird.
Und dann sind wir schon wieder bei einem guten Passwortmanager. PW, welche diese Bezeichnung zu Recht tragen und die auch nur gegenüber einem einzigen Dienst oder Gerät zur Auth. verwendet werden, kann sich (in der benötigten Menge) niemand merken. Und mein Lieblings-Passwortmanager, der keepassxc, kann sich nicht nur PW merken, sondern auch mit OTP umgehen. Ich muss also nicht jedes Mal meinen Authenticator zücken und die 6 Zahlen einhacken, sondern nur in das OTP-Feld klicken.
Und dann gibt es auch noch einen kleinen Unterschied gegenüber dem ONU: Ich verwalte 18 aktive F!B von entsprechend vielen Bürgern und Institutionen. Und alle verlassen sich auf mich … .

Aber letztendlich: jeder ist für seinen Bereich selbst verantwortlich. Und noch einmal: Ich bat bei AVM um eine optionale Lösung und keine Zwangsbeglückung.

vy 73 de Peter
 
Gestern bin ich mit dem paranoiden 2FA an einer frisch recoverten 7390 7530 voll auf die Fresse gefallen.
Hat man bei der Einrichtung die 2FA per Authenticator-App oder ein SIP-Telefon mal schlicht vergessen, führt danach kein Weg mehr zum Ziel, ohne dass man neben der Box oder einem angemeldeten Telefon steht.
Wenn man schon den 2FA-Zwang einführt, sollte man wenigstens eine von beiden o.g. Möglichkeiten (sanft) erzwingen.
 
Zuletzt bearbeitet:
Wenn man schon den 2FA-Zwang einführt, sollte man wenigstens eine von beiden o.g. Möglichkeiten (sanft) erzwingen.
Wie soll man das bitte verstehen?

Als "Zwang", bei der Einrichtung eines neuen Benutzers auch die 2FA per TOTP für diesen Benutzer zu aktivieren?

Oder bei der Aktivierung der 2FA zu prüfen, ob auch (alle?) Benutzer schon die TOTP-Option aktiviert haben?

Macht für mich wenig Sinn (so "sanft" kann das gar nicht sein, daß es normale User, die gar keine Ahnung haben, was TOTP sind, nicht doch zusätzlich verwirrt), weil dann vermutlich deutlich weniger Leute die 2FA überhaupt aktivieren würden - und der Fall, daß per "Fernzugriff" entscheidende Einstellungen geändert werden sollen, dürfte IMMER NOCH unter "ferner liefen" rangieren bei den allermeisten Kunden.

Was jetzt ein SIP-Telefon überhaupt mit der 2FA zu tun haben soll, erschließt sich mir nicht - meines Wissens ist es gar nicht möglich, damit den angezeigten Telefoncode irgendwie einzugeben.

Und DAS hat sich auch mit der Einführung der "nicht wieder abschaltbaren" 2FA nicht wirklich geändert ... zumal die Firmware einer 7390 ja nun gar nichts mit dem Thema des Threads ([...] ab OS:7.50 [...]) zu tun haben sollte.
 
Was jetzt ein SIP-Telefon überhaupt mit der 2FA zu tun haben soll,
Mit meinen simplen Vorstellungen von der wilden Entschlossenheit AVMs zur Sicherheit dachte ich erst, erstelle ich ein SIP-Phone (vulgo LAN/WLAN (IP-Telefon)) und melde mal einen Phoner an zur Wahl des *12345. Und im tatsächlich allerletzten Schritt kam dann der 2FA-Mittelfinger. So hat ein SIP-Telefon mit der 2FA tun. Wohl noch nicht probiert?
 
[…] an einer frisch recoverten 7390 voll auf die Fresse gefallen.
Hat man bei der Einrichtung die 2FA per Authenticator-App oder ein SIP-Telefon mal schlicht vergessen, […]
Schön wäre es ja wenn es "nur" vergessen" wurde. Aber bei meiner 7390 und 7272 mit FRITZ!OS 6.8x wird noch gar keine 2FA per totp unterstützt. Das kam ja imo erst mit FRITZ!OS 7.00.



Wohl noch nicht probiert?
Auch wenn du nicht mich gefragt hattest aber ich habe es auch noch nicht probiert. Und zwar weil seitens AVM behauptet wird, dass ein IP-Telefon für die 2FA nicht verwendet werden kann:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3282_Ausfuhrung-von-Funktionen-zusatzlich-bestatigen/ schrieb:
Mit IP-Telefonen, z.B. FRITZ!App Fon, können keine Tastenbefehle an die FRITZ!Box gesendet werden. Mit IP-Telefonen können Sie die Ausführung daher nicht bestätigen
Und ich bin halt bisher davon ausgegangen, dass das auch stimmt was da steht (und habe es daher bisher auch nicht ausprobiert). Aber klar, vielleicht gibt es da einen Bug und es funktioniert trotzdem. Aber das scheint ja deiner Äußerung nach nicht der Fall zu sein…
 
Ein SIP-Phone ist tatsächlich nicht für 2FA geeignet, könnte aber u.U. ordentlich Kosten verursachen, daher wohl die Restriktion. Trotzdem fühlt es sich überraschend hinterhältig an. Und wie schon geschrieben, ein Hinweis auf die Zwangs-2FA als neuen AVM-Goldstandard wäre nett gewesen. Sonst überschlägt man sich ja auch mit Quasi-Werbung über "neue" Features wie Mesh.
 
Und im tatsächlich allerletzten Schritt kam dann der 2FA-Mittelfinger.
Ja, und? Das Einrichten neuer (SIP-)"Telefoniegeräte" ist nun mal über die 2FA abgesichert (bei anderen Telefonen ist ja entweder eine Kabelverbindung oder die Aktivierung der DECT-Anmeldung erforderlich, wobei letztere auch eine "räumliche Nähe" (wenn auch mit etwas erweitertem Radius) verlangt) ... solange man dann in einer solchen räumlichen Nähe zur Box ist, sollte das "Knöpfchendrücken" ja auch keine größere Herausforderung sein - noch dazu, wenn man zuvor das Recovery-Programm verwendet hat, was (na gut, nicht immer, wie ich irgendwo mal gezeigt habe) EBENFALLS einen Aufenthalt in der Nähe der betreffenden Box erfordert.

Ein zuvor eingerichtetes SIP-Telefon hätte Dir aber (zumindest ist das auch mein Kenntnisstand und ich HABE es probiert, sogar über Capi-over-TCP mit einer passenden ISDN-Software bei eingerichteten ISDN-Geräten, was ebenfalls erfolglos bliebt und ansonsten eine Alternative zu einem "Angriff" auf die 2FA hätte sein können) ohnehin nichts geholfen, wenn es um die "Lösung" des Problems der 2FA-Verifizierung geht - wie @NDiIPP schon schrieb, wird das von AVM NICHT unterstützt. Es wäre ja auch komisch, wenn auf diesem, sehr simplen Weg die Idee hinter der 2FA so einfach ausgehebelt werden könnte - DAS würde ja dann keinen ernsthaften Angriff abwehren können.

Aber wie man es auch dreht und wendet ... wenn Du hier von der Firmware einer 7390 redest, dann kannst Du max. den Entwicklungsstand aus dem 06.8x-Zweig meinen und der HATTE noch keine "Sperre", mit der eine einmal aktivierte 2FA nicht wieder deaktiviert werden konnte (auch wenn man für die Deaktivierung der 2FA wiederum per 2FA autorisiert sein mußte).

Wenn ich mich richtig erinnere, gab es in diesem Zweig noch nicht mal die TOTP-Option bei der 2FA - man mußte sich also SEHR GENAU überlegen, ob man die 2FA überhaupt aktiviert, denn eine "Fernwartung" war dann nahezu ausgeschlossen, zumindest aber das Ändern sicherheitsrelevanter Einstellungen und dazu gehörte auch die Einrichtung von SIP-Nebenstellen.

Da dabei auch noch keine AUTOMATISCHE Einrichtung der 2FA erfolgte, muß das ja am Ende DEINE Entscheidung gewesen sein und da hättest Du Dich vielleicht VORHER über die damit gewonnene Sicherheit und die zusätzlich eingebrockten Probleme informieren sollen.

Wobei das m.W. auch bei der 07.50 immer noch so, daß sie nicht automatisch aktiviert wird - aber nun starte ich auch nicht regelmäßig mit einer "frischen Konfiguration", wenn ich etwas untersuche. Die Tatsache, daß sie sich auf Umwegen auch wieder deaktivieren läßt, spricht m.E. aber auch gegen eine automatische Aktivierung, ebenso der Umstand, daß in der "Vorlage" für die ar7.cfg (in /etc/$CONFIG_PRODUKT/$OEM/ar7.cfg - die ist (nur nebenbei) auch "flat formatted" - also ohne Einrückungen - was bei AVM einigermaßen ungewöhnlich ist) KEIN Einschalten der 2FA vorgesehen ist. Solange da also nicht der "Standardwert" geändert wurde, der bei fehlender Einstellung wirksam wird, sollte es auch keine automatische Aktivierung der 2FA geben - sie läßt halt nur nicht mehr deaktivieren.

Und wie schon geschrieben, ein Hinweis auf die Zwangs-2FA als neuen AVM-Goldstandard wäre nett gewesen.
Und das ist durchaus auch bei den neuen Versionen DEUTLICH angesagt seitens AVM in den "Weiteren Informationen zu diesem Update" (mal abgesehen davon, daß es eben KEINEN Zwang gibt, die 2FA einzuschalten): https://avm.de/service/update-news/download/product/fritzbox-7590/

[6] zusätzliche Bestätigung​


Die zusätzliche Bestätigung für bestimmte Einstellungen und Funktionen kann nach dem Update nicht mehr deaktiviert werden. Sofern die zusätzliche Bestätigung vor dem Update deaktiviert war, bleibt dieser Zustand jedoch auch nach dem Update erhalten. AVM empfiehlt aus Sicherheitsgründen, die zusätzliche Bestätigung stets zu nutzen. Um auch aus der Ferne zusätzlich geschützte Einstellungen ändern zu können, kann für die zusätzliche Bestätigung auch der TOTP-Standard mit Einmalkennwörtern genutzt werden. Dafür können ein kostenlos erhältlicher Passwortmanager oder eine separate App wie beispielsweise der Google Authenticator genutzt werden.
[ Der direkte Link auf diesen Text ist fürchterlich lang und unübersichtlich - sicherlich dem verwendeten CMS geschuldet. ]
Auf diesen "Punkt [6]" wird in den darüberliegenden "Aufzählungen" der Änderungen verwiesen und er steht außerdem - schwer zu übersehen - noch einmal sehr prominent in dem Text ... das ist also auch nicht nur irgendwo eine "Anmerkung".

Genauso steht das alles noch einmal in der Datei "info_de.txt" auf dem Server, wo das Update liegt und üblicherweise wird auch beim Auslösen eines Online-Updates genau dieser Text noch einmal im GUI angezeigt (EDIT: bzw. ein Link dorthin angeboten), bevor man das Update in die Wege leitet:
online-update.PNG
- der markierte Link führt zur direkten Anzeige der Textdatei vom FTP-Server bei AVM und da steht es - wie in diesem Thread auch mehrfach nachzulesen - nun mal drin.

Ich sehe nicht, wo man AVM hier einen Vorwurf machen wollte ...

EDIT: Da war mir doch schon wieder entfallen, daß all diese Argumente hinsichtlich fehlender Informationen und "Zwangseinschaltung" auch in DIESEM Thread schon einmal widerlegt wurden - ich frage mich nur allmählich, ob das diejenigen, an die es sich richtet(e), überhaupt lesen. :mad:
 
Zuletzt bearbeitet:
"steht doch in den Releasenotes" ist genau mein Douglas-Adams*-Humor. Danke für dir Rettung meines Tages!
Die Zwangsaktivierung passierte bei übrigens bei einer 7530 mit dem Recover.
Der Witz ist aber, dass meine eingebaute Rechtschreibprüfung bzgl. 7390 - 7530 versagt hatte und damit wieder hervorragende Rants produzierte.
 
Da ein anderer Thread der generell für alle Boxen gilt, geschlossen und hierher verlinkt wurde, stelle ich meiner Frage einfach mal hier, wo es ursprünglich um die 7590 geht.

Auf Anraten des AVM Service habe ich meine 6690 mit der FW 7.50 auf Werkseinstellung zurückgesetzt.
Der Hintergrund hierfür ist eine fehlerhafte Mesh-Ansicht der 6690, sobald sich ein oder mehrere AVM Geräte mit einer FW 7.39-xxxx im Netz befindet.

Wie ich vermutet hatte, brachte dieses leider überhaupt nichts... Gestern Nachmittag habe ich damit verbracht, alle Geräte auf Werkseinstellung zurücksetzen und ohne Backup neu einzurichten... Schadet ja nie.

Nur habe ich jetzt bedauerlicherweise das Problem, dass ich bei einigen Funktionen die zusätzliche Bestätigung ausführen muss - was ich aber nicht will.

Die verlinkten Optionen scheinen bei der Kabelbox nicht zu klappen...


Ich habe keinen Telnetzugriff auf die Box, womit ich dieses ausschalten könnte.

Ein Downgrade wird vermutlich nicht funktionieren, da es dafür kein Recovery gibt.

Die ursprüngliche Sicherung von der FW 7.50, wo diese Funktion noch deaktiviert ist, ist vorhanden - will ich aber ungern wieder einspielen, sonst wäre die Arbeit von gestern umsonst gewesen.

Wenn ich vom laufendem System eine Sicherung, wo die zusätzliche Bestätigung aktiviert ist, finde ich auch den Eintrag, der vermutlich dafür verantwortlich ist...


Code:
remote_access_id = 0;
        version = 2;
        two_factor_auth_enabled = yes;
        tfa_cfg_version = 1;
        myfritz_boxuser_id = 0;

Ändere ich die Zeile " two_factor_auth_enabled = yes;" auf "two_factor_auth_enabled = no;", um das Übel zu beenden, kommt beim Einlesen ein Fehler und bricht ab.

Könnte mir jemand helfen, wie ich an der 6690 die zusätzliche Bestätigung wieder ausschalten könnte.

Danke

Roland
 
Meines Wissen muss man nach Änderungen an der Datei die Prüfsumme anpassen, die in der letzten Zeile steht. Dafür gab's mal den Fritzbox-Editor, der das automatisch machte. Hab ich aber ewig nicht mehr benutzt.
 
  • Like
Reaktionen: Exodus88
@Benares

vielen Dank für deine Info... Oft verrennt man sich so stark, dass man den "Wald vor lauter Bäumen nicht sieht".

Ist ja logisch, dass die Checksumme nach einer Änderung nicht mehr stimmt.

Hier noch meine Vorgehensweise...

Aktuelle Sicherung erstellen.

Folgende Seite Besuchen - https://www.mengelke.de/Projekte/FritzBox-JSTool

Die Sicherungsdatei in das offene Fenster ziehen oder über durchsuchen auswählen.

Rechts den Balken auf den unteren Bereich des ersten Drittels ziehen und nach dem Eintrag

two_factor_auth_enabled = yes;

suchen.

Diesen dann im Fenster auf

two_factor_auth_enabled = no;

abändern.

Links unten auf "Berechnen" klicken, bestätigen und anschließend auf "Herunterladen".

Diese Datei könnt ihr dann einspielen - alle Einstellungen.

Resultat

1111sfdghdshdfgjfdgjfg.jpg

Hurra.....

Gruß

Roland
 
  • Like
Reaktionen: Benares und AMD@OPA
Moin,
mal nur so am Rande; eine erfolgreich eingerichtete 2FA mit dem Google Authenticator wird mir auf meiner 7590 mit FW 7.50 bei Bedarf leider nicht angeboten.
Kann das jemand bestätigen?
 
Ich möchte hier keine Diskussion über das Für und Wider dieser 2FA anstoßen. In den meisten Fällen sollte das Thema kein Problem sein.
Mir ist nur ein Szenario eingefallen, bei dem das nervig sein könnte: die Wählhilfe.

Für die Wählhilfe an sich ist keine 2FA nötig. Jedoch für das Umstellen der Telefone.

Man stelle sich vor, dass 2 Nutzer unterschiedliche DECT-Geräte nutzen und die Wählhilfe verwenden. Wenn Nutzer A die Wählhilfe auf sein Telefon umstellt (z. B. mit TR064), kommt die 2FA. Wenn Nutzer B kurz darauf sein Telefon in der Wählhilfe konfiguriert (er muss es umstellen, da die Wählhilfe auf Nutzer A steht), muss er auch die 2FA überwinden. Wenn das so im Wechsel immer gemacht wird, ist das schon nervig.

BTW: Wenn ich einen 2FA-Code in mein DECT-Gerät eintippen muss, kann ich eigentlich auch gleich die Nummer, die ich anrufen will, eingeben.
 
Mir ist nur ein Szenario eingefallen, bei dem das nervig sein könnte: die Wählhilfe.

Da kann ich dir eine ganze Latte voll nennen... :D

Was für den einen ein Fluch ist, kann für andere ein Segen sein.

Alleine für das Erstellen einer Sicherungsdatei will die Box eine Bestätigung.

Ich sitze im Büro, das sich 2 Stockwerke weiter unten befindet, und möchte eine Sicherungsdatei erstellen. Dafür muss ich einen Druck aufs Knöpfchen der 6690 durchführen oder den Code übers Telefon eingeben. Das FritzFon hat aber mal wieder keine Verbindung zur 6690 - wie so oft. Somit musste ich schon ins freie rennen. Ob es an einem Telefon der angeschlossenen ClientBox 6660 auch ginge, habe ich nicht ausprobiert.
Ist im Grunde genommen dieselbe Option, wenn man ein Gerät ins Mesh bringen will, da muss man auch "Fit im Schritt" sein, wenn die Geräte etwas weiter auseinanderliegen.

Eigentlich hat diese Option auch seine Vorteile, vor allem zum Thema Sicherheit. Aber ich als Endkunde hätte eben lieber selbst die Wahl, ob ich diese option nutzen möchte oder nicht. Aber wie so oft, wurde diese Entscheidung dem Anwender, durch den Hersteller abgenommen.

Solange man das Thema wie beschrieben lösen kann, habe ich auch kein Problem damit.

Gruß

Roland
 
  • Like
Reaktionen: Grisu_
mit dem Google Authenticator wird mir auf meiner 7590 mit FW 7.50 bei Bedarf leider nicht angeboten.
Beim gewählten Benutzer gibt es ganz unten "Bestätigung per App (Einmalkennwort)" und dem Button "Neu einrichten" kommst du dann weiter.
Ändere mal "nicht angeboten" in "nicht gefunden". Aber Achtung, dabei wird immer auch die 2FA aktiviert.
 
Wenn man den TOTP Token über die TR-064 schicken könnte (!), würde das auch helfen. Meines Wissens nach geht das nicht. (Obwohl, das in gewissen Teilen die 2FA aushebelt.)
Ich kann ja mal eine Anfrage starten.
 
@FlyingToaster
Ich habe einen Token! Im Web-IF wird mir aber zur gg. Zeit nur die Option "Button" oder "Telefon" angeboten.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.