[Frage] FB7590 (und andere Boxen ab OS:7.50) Bestätigungen deaktivieren ?

[jopi56]

Hallo,
früher konnte man dauerhaft die Bestätigungen bei den Benutzer-Einstellungen deaktivieren.
Hierfür gab es eine Checkbox, sodaß keine Nachfragen mehr kamen.

Nachdem ich das Update auf Version 7.50 installiert habe, ist diese Checkbox weg (siehe Hardcopy).

Wie bekomme ich es hin, daß ich dauerhaft keine Bestätigungen mehr machen muß ?

Für nützliche Hinweise wäre ich dankbar.

Gruß Jopi56

 

[stoney]

Geht seit 7.50 nicht mehr, falls man vorher die Option nicht nutzte, diese in 7.50 akiviert, kann man diese über die GUI nicht mehr deaktivieren.

Heißt also wenn vor dem Update deaktiviert, ist sie dies, bis man sie aktiviert, auch noch in 7.50 "aus".

 

[Grisu_]

Also am einfachsten mit linux_start_fs wieder die vorherige 7.29 zur aktiven Partition machen, dort die Bestätigung ausschalten und Update auf 7.50 erneut durchführen.
Oder du findest noch eine ältere Sicherung wo es deaktiviert war und kannst die einspielen und weiterverwenden.

 

[FlyingToaster]

Am einfachsten ist ein adam2, linux_start_fs und ein zweites Update nicht gerade in meinen Augen.
Auf demselben Level geht dann auch
der Export der Konfiguration und
das Ändern per Notepad von two_factor_auth_enabled = yes; in two_factor_auth_enabled = no; und
Neuberechnen der Checksumme per https://www.mengelke.de/Projekte/FritzBox-JSTool oder der Offline-Version davon.

 

[NDiIPP]

Siehe Changelog zu FRITZ!OS 7.50:

## System:
- […]
- **Änderung** Die zusätzliche Bestätigung für das Setzen bestimmter Einstellungen kann nicht mehr abgeschaltet werden <mehr dazu siehe [6]>

[…]

## [6] zusätzliche Bestätigung

Die zusätzliche Bestätigung für bestimmte Einstellungen und Funktionen kann nach dem Update nicht mehr deaktiviert werden.
Sofern die zusätzliche Bestätigung vor dem Update deaktiviert war, bleibt dieser Zustand jedoch auch nach dem Update erhalten.
AVM empfiehlt aus Sicherheitsgründen, die zusätzliche Bestätigung stets zu nutzen.
Um auch aus der Ferne zusätzlich geschützte Einstellungen ändern zu können,
kann für die zusätzliche Bestätigung auch der TOTP-Standard mit Einmalkennwörtern genutzt werden.
Dafür können ein kostenlos erhältlicher Passwortmanager oder eine separate App wie beispielsweise der Google Authenticator genutzt werden.

-> http://download.avm.de/fritzbox/fritzbox-7590/deutschland/fritz.os/info_de.txt

Ansonsten:
- https://www.ip-phone-forum.de/threads/fritz-box-7590-ax-labor-7-39-sammelthema.312202/post-2481523
- https://www.ip-phone-forum.de/threads/fritz-box-7590-ax-labor-7-39-sammelthema.312202/post-2481453
- https://www.ip-phone-forum.de/threads/fritz-box-7590-laborserie-07-39-–-sammelthema.312181/post-2476425

 

[FlyingToaster]

Klar, liest jeder sofort und gewissenhaft wie auch sämtliche AGB.

 

[Thomas5]

Naja, das sich bei einem „großen“ OS-Update auch Dinge an bestehenden Funktionen ändern, kommt jetzt nicht gänzlich unerwartet. Insbesondere, da diese spezielle Funktion schon seit rund einem Jahr aus der Labor bekannt ist. Man sollte sich zumindest ein wenig informieren, bevor man sowas auf seine Box spielt.

 

[alexandi]

Man sollte sich zumindest ein wenig informieren, bevor man sowas auf seine Box spielt.

Und was ist mit denen, die gar nicht wissen, dass es Laboer-Versionen gibt ?
Und da gibt es auch noch Ottonormaluser, bei denen das automatische Update aktiviert ist.

 

[AugeK]

Ob die solche Einstellungen überhaupt kennen?
Mir war das neu.

 

[Grisu_]

Und obendrein, was ist mit Leuten die sich eine zusätzliche Box anschaffen und das verlorene "Feature" ersmals neu auf der Box benötigen?
Etwa weil sie hoch oben am Dachboden montiert ist oder sonstwo unzugänglich bzw. es für Fernwartung abgedreht brauchen?
Auf der vorhandenen Box läßt man es ja aktiviert da leicht zugänglich, aber auf der neuen sieht es für die dann aus als hätte es das gar nie gegeben.
Auch zur DECT-Erweiterung ins Mesh benötig man eben eine neue Box und keinen Repeater, wo es egal ist.
Zumindest nach vorheriger Warnung sollte es jedenfalls wieder aktivierbar sein, von mir aus auch irgendwo versteckt!

Aber so wie ich die Lage einschätze wird es bei einem 7.70 dann auch für bestehende die Möglichkeit gar nicht mehr geben und wurde nur bei 7.50 noch halb mitgeschleift.

 

[FlyingToaster]

Dabei kam das größte Firmware-Desaster in AVMs Geschichte von einer praktisch komplett offenen Schnittstelle und nicht von einem extrem unsicheren Login.
Aber es bleibt ja immer noch die "Bestätigung per App" für entfernte Boxen und welche auf dem Dachboden. Und das Wichtigste, es gibt keine 2FA-Zwangsaktivierung nur durch das 7.50-Update, nur die Deaktivierung geht nicht mehr per Web-IF.

 

[PeterPawn]

Was genau VERLIERT denn:

Ottonormaluser

durch den Umstand, daß er für bestimmte (sicherheitskritische) Änderungen an den Einstellungen (oder Ausgaben von Daten, die nicht für alle Ander:Innen zugänglich sein sollten) jetzt einen zweiten Faktor zur Authentifizierung braucht?

Es ist ja IMMER NOCH nicht so, daß man für das simple Login im GUI schon dieses zweite Merkmal braucht oder auch nur "gezwungen" wäre, sich per TLS (also mit HTTPS und damit so, daß die Daten nur noch verschlüsselt übertragen werden) mit der Oberfläche der FRITZ!Box zu verbinden.

Diejenigen, die von der Tatsache "überrascht" werden, daß man diese zusätzliche Bestätigung jetzt nicht mehr deaktivieren kann (außer man gibt sich entsprechenden Aufwand und dann stellt sich MIR eher die Frage, warum man dann das Angebot nicht wirklich nutzt und für seinen Benutzer (einmalig) die Authentifizierung mittels TOTP einrichtet), die werden ja wohl eher selten überhaupt mit der Aufforderung konfrontiert werden, mit der zusätzlichen Bestätigung irgendetwas zu bekräftigen und sollten sich dabei dann auch eher in räumlicher Nähe zur Box befinden.

Angesichts der DREI angebotenen Wege, diese zusätzliche Bestätigung zu bewirken, sollte da auch für jeden etwas dabei sein - ein passendes Telefon (und da geht m.W. ALLES, was kein IP-Telefon ist) sollte bei den meisten "Ottonormalusern" vorhanden sein und wenn es tatsächlich keines gibt und man die Box obendrein noch hinterm Schrank, unterm Dach oder anderweitig in größerer Entfernung montiert hat, so daß ein simples Drücken irgendeiner (beliebigen) Taste am Gerät auch zur Herausforderung wird, dann richtet man sich eben spätestens nach der ersten negativen Erfahrung, daß man nicht "mal eben" irgendwelche kritischen Einstellungen ändern kann, "time-based one-time passwords" (eben TOTP) für den eigenen Account ein.

Daß auch dabei ein paar Voraussetzungen vorhanden sein müssen (angefangen bei einem geeigneten Gerät mit irgendeiner App, bis hin zur halbwegs korrekt eingestellten Uhrzeit auf diesem Gerät), ist nicht unbedingt eine Besonderheit der FRITZ!Boxen ... das betrifft andere Anmeldungen ebenso, denn immer mehr Dienstanbieter und selbst Kundenportale stellen auf diese Form der Authentifizierung um, bei der eben selbst ein Keylogger (also ein Programm, mit dem man jeden Tastendruck aufzeichnen kann) NICHT ALLE notwendigen Daten abgreifen kann, die man für eine Anmeldung braucht - mit den "üblichen" Einstellungen bleibt so ein TOTP-Token halt gerade mal max. 30 Sekunden gültig.

Die Tatsache, daß dafür auch die FRITZ!Box bereits eine gültige Uhrzeit haben muß, ist für die "Fernbedienung" einer FRITZ!Box auch nicht unbedingt eine ZUSÄTZLICHE Hürde, denn die wird bei bestehender Internet-Verbindung umgehend ermittelt und ohne diese Internet-Verbindung, dürfte auch der Fernzugriff auf die Box kaum funktionieren. Für die reine "Nachschau", warum die Box vielleicht gerade keine Internet-Verbindung aufbauen mag, ist meines Wissens nirgendwo die zusätzliche Bestätigung erforderlich.

Also hört BITTE auf zu jammern über dieses "neue" Feature - es macht (gerade auch bei den Benutzern, die sich eher selten mit ihrer Box befassen) das Ganze sicherer. Und das sollte JEDEM ein Anliegen sein ....

EDIT:

und nicht von einem extrem unsicheren Login.

Und genau DAS sichert AVM auch gar nicht mit der zusätzlichen Bestätigung ab ... oder habe ich da etwas verpaßt?

 

[Peter_Lehmann]

Hallo @PeterPawn!

Endlich hat das mal jemand mit aller Deutlichkeit gesagt!
Ich führe diesen Kampf mit der Gattung der "Sicherheitsverweigerer" schon recht lange im Kundenforum meines Providers. Und im Gegensatz von sehr vielen Foren (und auch der Fritz!Box) gibt es im ControlCenter meines Providers noch nicht einmal eine 2FA. Noch nicht einmal als Option für sicherheitsbewusste User.

vy 73 de Peter

 

[FlyingToaster]

oder habe ich da etwas verpaßt?

Bis eben dachte ich noch, dass die "Bestätigung per App" für eine in meinen Augen extrem sinnvolle 2FA-Anmeldung an der Box gewesen wäre. Dabei ist das leider nur der Zusatz zu Telefonbestätigung und FB-Taste. Da habe ich dann was hineininterpretiert, was AVM tatsächlich auch nicht geschrieben hat "Hier können Sie für diesen Benutzer eine Authenticator-App zur zusätzlichen Bestätigung von Einstellungen und Funktionen einrichten.". Ein etwas zwiespältiges Gefühl hinterlässt das dann aber doch.

 

[alexandi]

Also hört BITTE auf zu jammern über dieses "neue" Feature - es macht (gerade auch bei den Benutzern, die sich eher selten mit ihrer Box befassen) das Ganze sicherer. Und das sollte JEDEM ein Anliegen sein .

Klarstellung: 2FA ist bei mir ein MUSS. Egal bei wem ( Amazon, Paypal, Onlinebanking,... )

 

[PeterPawn]

Ein etwas zwiespältiges Gefühl hinterlässt das dann aber doch.

Ich hätte tatsächlich auch gerne diese 2FA als OPTIONALES Feature bereits beim Login - zumindest von der WAN-Seite.

Denn dann hat die Box i.d.R. auch die passende Uhrzeit (wie ich oben schon schrieb), was beim Login im LAN eben NICHT zwingend der Fall sein muß und DA wäre dann auch bei noch fehlender Uhrzeit eine 2FA per TOTP eben NICHT sinnvoll, weil der Benutzer (bzw. dessen App) den richtigen Zeitpunkt gar nicht erraten KANN.

Man müßte dann also auch noch die Wahl der Methode (beim Login) ermöglichen, denn jemanden, der die Box tatsächlich unterm Dach betreibt und dort KEIN DECT-Telefon angemeldet hat (weil das an anderen Boxen in seiner Mesh-Konfiguration hängt), stellen die anderen beiden Methoden dann doch vor ziemliche Herausforderungen ... und daher würde ich das dann tatsächlich auch nur auf die Logins im "Fernzugriff" beschränken.

Wobei sich damit dann weitere Probleme/Aufgaben ergeben, denn bei AVM läuft ja auch der App-Zugang über TR-064 von der WAN-Seite über denselben Zugang, wie das GUI ... aber da das getrennte URL sind (TR-064 hat sein eigenes Lua-Gateway und CGI-Binary), sind das keine unüberwindlichen Probleme (und ich hätte das ja auch gerne nur als OPTIONAL zuschaltbare Sicherheitserweiterung).

Nur ist es eben auch nicht immer so einfach, daß man etwas "nur irgendwie implementieren" muß ... man muß auch die "Extrema" ausreichend berücksichtigen (sonst schütteln die Kunden auch schnell den Kopf und fragen sich, was AVM sich DABEI wohl wieder gedacht haben mag).

 

[Peter_Lehmann]

Ich erlaube mir doch noch eine Antwort.

Ich vertrete folgende Meinung (unvollständig und in ungeordneter Reihenfolge):

1. JEDE, selbst die einfachste Maßnahme zur Erhöhung der (IT-)Sicherheit, ist eine Verbesserung. Auch und gerade für ONU.
2. In der IT-Sicherheit kennen wir das Prinzip des "Kalkulierbaren Restrisikos". Das bedeutet vereinfacht gesagt, dass je nach dem abzusichernden Gerät oder den zu speichernden/zu übertragenden/zu verarbeitenden Daten auch ein angepasstes Maß an Sicherheitsmaßnahmen durchgesetzt werden muss. Also nicht unbedingt immer das technisch machbare. Es gibt eben gravierende Unterschiede zwischen einer SINA-Box und einer Fritz!Box.
3. Gerade bei Consumer-Geräten ist vom Hersteller auch die Zumutbarkeit seitens der Kunden für derartige Maßnahmen zu beachten. Kunden wie bspw. ich würden liebend gerne eine 2FA gleich beim Anmelden an der F!B haben (so, wie ich 2FA bei allen Diensten nutze, welche das anbieten). Bei leider vielen Kunden würde das zu einer totalen Ablehnung derartig gesicherter Produkte führen. Keine Firma kann oder will dieses Risiko eingehen. Zu hoch ist die Zahl derer, welche das als "unzumutbar" ablehnen würden.
4. Die in den aktuellen AVM-Produkten aktuell eingesetzte Möglichkeit der "zusätzlichen Bestätigung" ist sehr vernünftig auf bestimmte "gefährliche" und auch unter Umständen "teure" Einstellungen beschränkt. Für mich ein guter Kompromiss zwischen Aufwand (für den Nutzer) und Nutzen (für die Sicherheit eben jenes Nutzers). In Verbindung mit einem wirklich als Passwort zu bezeichnenden Passwort ist das schon mal in Ordnung. Und die Möglichkeit, diese Bestätigung jetzt auch per OTP durchzuführen, finde ich (als jemand, der recht viele weit entfernte Geräte administriert), als eine gute Lösung. Selbstverständlich würde ich mich freuen, wenn ich als Option auch eine 2FA gleich bei der Anmeldung hätte. Option deswegen, um die immer noch vorhandenen "Sicherheitsverweigerer" nicht zu verprellen.
5. Warten wirs einfach mal ab …

 

[Exodus88]

Ich hätte tatsächlich auch gerne diese 2FA als OPTIONALES Feature bereits beim Login - zumindest von der WAN-Seite.

...ich würden liebend gerne eine 2FA gleich beim Anmelden an der F!B haben

Hallo,

habt Ihr beiden eure Idee schon an AVM weitergeleitet? Evtl. wird das mit Wohlwollen aufgefasst und umgesetzt.

Ich für meinen Teil würde mir wünschen, wenn mir als Käufer dieses Produktes, nach wie vor die Wahl gelassen würde, wie ich mich auf die GUI der Fritzbox wählen möchte.
Egal ob es dabei nur mit Benutzer und Passwort, zusätzliche Bestätigung per Tastendruck oder Telefon, App oder eben der (noch nicht vorhandenen) 2FA geschieht.
Somit hätte jeder selbst die Wahl zwischen maximaler Sicherheit und schnellen Login.

Damit wäre jeder glücklich und es gäbe nichts mehr zu Meckern.

Gruß

Roland

 

[Peter_Lehmann]

Aber selbstverständlich habe ich das schon an AVM gemeldet.
Und ich habe meinen Wunsch als eine Option beschrieben, siehe 4. im Beitrag #17

vy 73 de Peter

 

[H´Sishi]

Solange man sich Daten nur *ansehen* kann, genügt in meinen Augen aus dem LAN ein einfaches Login, aus der Ferne optional 2FA.
Sobald Daten verändert, gelöscht oder hinzugefügt werden können -> optional 2FA.
Geht es an die Geräteeinstellungen (bspw. Einrichtung eines IP-Telefons oder SIP-Accounts, Ändern von Wahlregeln oder Rufsperren = Möglichkeit Kosten zu verursachen) -> zwingend 2FA.