stefanFarnetani
commented
4 months ago Hallo Ernst,
vielen Dank für diesen Hinweis aus der Praxis. Super spannend. Wusste nicht, dass das geht. Kannst du mir den Namen des Tools nennen?
Grüße Stefan
Closed pp-ernst closed 4 months ago
stefanFarnetani
commented
4 months ago Hallo Ernst,
vielen Dank für diesen Hinweis aus der Praxis. Super spannend. Wusste nicht, dass das geht. Kannst du mir den Namen des Tools nennen?
Grüße Stefan
MarcHaunschild
commented
4 months ago Dass man von jedem Apple Gerät kopiertes auf jedem Apple-Gerät mit derselben Apple-ID einfügen kann ist bekannt? Man kann auch von einem Mac oder einer Watch aus SMS senden und empfangen und Codes müssen gar nicht kopiert und eingefügt werden.
Wenn eine Website einen 2FA-Code zusendet, bleibt man auf der Website bis der Code ankommt. Dann fragt Safari ob er den erhaltenen Code einfügen und anschließend löschen soll.
Es gibt vermutlich für fast jedes OS solche Möglichkeiten, die aber die Sicherheit mehr oder weniger einschränken.
sweckenmann
commented
4 months ago Wenn wir nicht sicherstellen können, dass es für jedes OS solche Möglichkeiten gibt, müssen wir rauskriegen, ob ein Kopieren des Codes und Senden (etwa über e-mail) auf ein anderes Gerät ausreichend ist im Sinne der WCAG. Das scheint noch eine offene Frage zu sein.
Dieses zusätzliches Tool, das @pp-ernst finde ich auch sehr interessant, aber das kann man vermutlich nicht zur Erfüllung des SC bei Nutzenden voraussetzen.
MarcHaunschild
commented
4 months ago Die Abschätzung des "accessible supported" heißt es in der WCAG glaube ich, finde ich auch sehr schwammig und daher schwierig. Es ist ja schon so, dass es mehrere Möglichkeiten gibt, sich einen Code woanders hinzu schicken. Per Signal zum Beispiel auch sehr sicher.
Ist zwar lästig, aber ist das schon/ noch eine Barriere?!?
Wie bekannt sind solche Möglichkeiten?
stefanFarnetani
commented
4 months ago Das understanding document schreibt unter "Two-factor authentication systems (verification codes)":
There are scenarios where a verification code must be received or generated on a secondary device. For example, authenticating in a web browser on a laptop requires a verification code that is sent as an SMS text message to a mobile phone. However, in most cases, it is possible for the code to then be sent directly to the primary device, where it can then be copied and pasted (for example, by copying the code on the secondary device and emailing it to the primary device, or through the use of a shared cross-device clipboard where copying content on the secondary device makes it available to paste on the primary device). Evaluating whether or not the code can be seamlessly transferred from the secondary device to the primary device is outside of the scope for this Success Criterion. For the purpose of evaluating Web content that relies on authentication using these types of secondary device systems, it is assumed that provisions are in place that make the code available in the user's clipboard. Evaluating this criterion therefore only requires verification that the web content does allow pasting the clipboard content in the related authentication challenge field.
Das reine technische Prinzip einen Code als SMS zu erhalten ist, nach meinem Verständnis des Textes, noch kein Verstoß. Es werden nur die kognitiven Fähigkeiten bewertet.
Für die Beurteilung nach WCAG ist es egal, ob es Tools gibt, die das einfache Kopieren im primären System ermöglichen. Solange die Einfügenfunktion am Passwort-Eingabefeld auf der Webseite nicht deaktivert wurde.
@pp-ernst Trotzdem finde ich es persönlich interessant und würde gerne wissen wie die App heißt. ;)
sweckenmann
commented
4 months ago @stefanFarnetani Danke! Ja da steht es ja, kopieren, sich zuschicken und am anderen Gerät einfügen können ist ausreichend.
pp-ernst
commented
4 months ago Das Tool heißt MyPhoneExplorer: https://www.fjsoft.at/de/
detlevhfischer
commented
4 months ago Siehe Änderungen in https://github.com/BIK-BITV/BIK-Web-Test/pull/408
sprungmarker
commented
4 months ago nur noch als Ergänzung zum letzten BIK-Meeting - man kann das in iOS einstellen, dass alle SMS auf allen Geräten ankommen und damit auch kopiert werden können. Ich hatte das nur nich überall eingestellt.
Ich möchte kurz eine Praxis-Erfahrung zur 2-Faktor-Authentifizierung mit einem Android-Mobilgerät beitragen. Ich nutze ein kostenloses Tool, mit dem ich SMS am PC lesen und schreiben kann. Auf diese Weise kann ich einen per SMS versendeten Code kopieren und in einem entsprechenden Eingabefeld hineinkopieren.