1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Twitter: Zwei-Faktor…

Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

  1. Thema

Neues Thema Ansicht wechseln


  1. Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: twothe 22.11.19 - 11:04

    Es gab früher zur 2FA ein einfaches und solides System: auf einem externen Gerät wurden Nummern generiert, als Ergebnis einer Hash-ähnlichen Funktion in die die aktuelle Uhrzeit (in Minuten) so wie ein einmaliger Schlüssel des Kundens eingeflossen ist. Der Server, der den Key kennt, kann die gleiche Nummer generieren und vergleichen.

    Das einzige was man jetzt hätte machen müssen wäre das in eine App fürs Handy zu gießen, stattdessen verschickt man lieber SMS, was wesentlich umständlicher und unsicherer ist.

  2. Re: Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: anonym 22.11.19 - 11:18

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Es gab früher zur 2FA ein einfaches und solides System: auf einem externen
    > Gerät wurden Nummern generiert, als Ergebnis einer Hash-ähnlichen Funktion
    > in die die aktuelle Uhrzeit (in Minuten) so wie ein einmaliger Schlüssel
    > des Kundens eingeflossen ist. Der Server, der den Key kennt, kann die
    > gleiche Nummer generieren und vergleichen.
    >
    > Das einzige was man jetzt hätte machen müssen wäre das in eine App fürs
    > Handy zu gießen, stattdessen verschickt man lieber SMS, was wesentlich
    > umständlicher und unsicherer ist.

    Die App(s) gibts doch. Z.B. den Google Authenticator. Den konnte man auch schon bisher mit Twitter nutzten - nachdem man seine Telefonnummer hinterlegt hatte. Ab jetzt kann man diese dann auch wieder löschen bzw braucht sie garnicht erst anzugeben.

  3. Re: Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: ZeldaFreak 22.11.19 - 11:30

    Es ist eine Entschuldigung um an die Telefonnummer zu kommen. Ein Social Media Account ist mir da zu unwichtig, dass ich da meine Telefonnummer hinterlege, damit man mir helfen kann, denn Account zu reaktivieren.
    Meiner Meinung nach sollten Backupcodes und E-Mail Adresse reichen, mit einer Sperrfrist. Wenn Twitter sagt die können mir in 30 Tagen helfen und in der Zeit versuchen die via PN und E-Mail einen zu erreichen, mit dem Hinweis dass in 30 Tagen der 2FA Token entfernt wird. Meinetwegen auch länger. Ist ja mein Problem wenn ich die Backupcodes verbummelt habe.
    Wird ja sowieso ein Spaß wenn ich ein neues Handy hole und ich da dann jeden Account mit dem 2FA Token umziehen muss.

  4. Re: Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: ul mi 22.11.19 - 12:01

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Es gab früher zur 2FA ein einfaches und solides System: auf einem externen
    > Gerät wurden Nummern generiert, als Ergebnis einer Hash-ähnlichen Funktion
    > in die die aktuelle Uhrzeit (in Minuten) so wie ein einmaliger Schlüssel
    > des Kundens eingeflossen ist. Der Server, der den Key kennt, kann die
    > gleiche Nummer generieren und vergleichen.

    Gibt's ja, HOTP und TOTP. Das eine braucht eine einigermaßen genaue Uhrzeit, beim anderen kannst du Denial-of-Service machen, indem du heimlich 40x auf die Taste drückst.

    Aber was mich richtig richtig richtig gruselt: "der Server, der den Key kennt". How very 80s. Dann doch lieber challenge-response mit elliptischen Kurven, die haben relativ gute Effizienz bzgl. der Entropie, und der Server hat nie das Geheimnis in seinen grubbeligen Fingern gehabt.

  5. Re: Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: whitbread 22.11.19 - 18:51

    Ich hätte gar kein Gerät mehr welches sms empfangen kann. Aber ganz ehrlich - wozu 2FA bei twitter? Was ein overkill!

  6. Re: Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: huw 24.11.19 - 15:48

    Ganz einfach weil das Verfahren was du beschreibst (z.B. Google Authentikator) nicht sicher ist.
    Das Passwort um den Einmalhash zu gnerieren muß bekannt sein und zwar bei dir (deinem Smartphone und auch auf der anderen Seite z.B. auf dem Twitter Server)
    Und zwar muß das Passwort komplett auf dem Server gespeichert werden nicht nur ein Hash, weil du das Passwort brauchst umd den EinmalHash zu generien und Twitter muß dein Passwort auch kennen damit sie den EinmalHash auch generieren können und dann mit deiner Eingabe vergleichen.
    Ja klar und auf den Servern wurde noch niemals ein Passwort geklaut, ist klar.
    Und das schlimme ist wenn ein Hacker dein Passwort auf dem Twitter Server klaut merkst du davon nichts, erst dann wenn der Schaden entstanden ist.



    2 mal bearbeitet, zuletzt am 24.11.19 15:50 durch huw.

  7. Re: Frage mich bis heute wer auf den Unsinn mit der SMS gekommen ist

    Autor: Anonymer Nutzer 24.11.19 - 17:12

    Tja, da fragst du die Richtigen. Eben Leute, die keine Ahnung haben. Auch dass es diese Möglichkeit im Banking gab (SMStan), ist einfach nur... dumm!

    Aber so ist das nun mal: Unternehmen haben ein Interesse daran, die aktuellen Daten der Kunden zu bekommen und diese auch in deren Prozesse einzubinden, koste es was es wolle.
    Als User muss man auch sehr naiv sein, so was zu nutzen. Ich behaupte mal dass Menschen, die mit dem Internet groß geworden sind (also vorrangig Milllenlias), schon eher wissen, wie das Internet tickt und welche Sicherheitsmaßnahmen ausreichen, um kein Opfer zu werden.



    2 mal bearbeitet, zuletzt am 24.11.19 17:13 durch Morning.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden
  2. IT-Servicezentrum der bayerischen Justiz, Amberg/Oberpfalz, München, Nürnberg, Augsburg, Schwabmünchen
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Beuth Verlag GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 29,99€
  2. 49,99€ (Release 7. Mai)
  3. 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberpunk 2077: So wunderbar kaputt!
Cyberpunk 2077
So wunderbar kaputt!

Auch nach einem Monat mit Cyberpunk 2077 sind uns schlechte Grafik auf der PS4 oder die zahlreichen Bugs egal. Die toll inszenierte Dystopie macht uns nachdenklich und wird über Jahre unerreicht bleiben. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch und Sebastian Grüner

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. USA Die falsche Toleranz im Silicon Valley muss endlich aufhören
  3. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona

Biden und die IT-Konzerne: Die Zähmung der Widerspenstigen
Biden und die IT-Konzerne
Die Zähmung der Widerspenstigen

Bislang konnten sich IT-Konzerne wie Google und Facebook noch gegen eine schärfere Regulierung wehren. Das könnte sich unter Joe Biden ändern.
Eine Analyse von Friedhelm Greis

  1. Quibi Mobile-Streaming-Dienst nach einem halben Jahr dicht

Spitzenglättung: Die Pläne zur Zwangsabschaltung von Wallboxen gehen zu weit
Spitzenglättung
Die Pläne zur Zwangsabschaltung von Wallboxen gehen zu weit

Die Netzbetreiber wollen in großem Umfang in die Anschlüsse der Verbraucher eingreifen. Das macht die Elektromobilität unnötig teuer und kompliziert.
Ein IMHO von Friedhelm Greis

  1. CD Projekt Red Crunch trifft auf Cyberpunk 2077
  2. Open Source Niemand hat die Absicht, Sicherheitslücken zu schließen
  3. Disney+ Disney muss seinen Katalog aufstocken