1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Android und iOS: Microsoft…

besser wenn 2FA komplett offline läuft (kwT)

  1. Thema

Neues Thema Ansicht wechseln


  1. besser wenn 2FA komplett offline läuft (kwT)

    Autor: tearcatcher 06.02.19 - 10:11

    kT

  2. Re: besser wenn 2FA komplett offline läuft (kwT)

    Autor: sphere 06.02.19 - 10:49

    Die MS-2FA nutzt primär Online-2FA (Push) und als Fallback Offline-2FA (TOTP).

  3. Re: besser wenn 2FA komplett offline läuft (kwT)

    Autor: chefin 06.02.19 - 11:55

    tearcatcher schrieb:
    --------------------------------------------------------------------------------
    > kT

    Wieso braucht man Offline 2FA? Nutzt du das um dein Klo oder die Küche abzusichern?

    Solltest du allerdings einen Onlinedienst absichern, nutzt du es ja online.

  4. Re: besser wenn 2FA komplett offline läuft (kwT)

    Autor: tearcatcher 06.02.19 - 12:11

    chefin schrieb:
    --------------------------------------------------------------------------------
    > tearcatcher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kT
    >
    > Wieso braucht man Offline 2FA? Nutzt du das um dein Klo oder die Küche
    > abzusichern?
    >
    > Solltest du allerdings einen Onlinedienst absichern, nutzt du es ja online.

    nö ... lies mal nach, was TOTP-2FA bedeutet

  5. Re: besser wenn 2FA komplett offline läuft (kwT)

    Autor: chefin 06.02.19 - 13:22

    ich weis den Unterscheid schon, aber nichts davon ist offline.

    du wirfst wie viele Menschen einfach irgendwelche Begriffe in den Raum ohne zu wissen was sie bedeuten und wie es eigentlich funktioniert. TOTP bastelt sich aus einem Seed und der Uhrzeit einen Token. Aufgrund der Uhrzeit ist der nur wenige Sekunden gültig. Je nach Auslegung 30-300sec. Wurde mal ursprünglich im Kerberos Protocol schon so "erfunden"

    https://de.wikipedia.org/wiki/Kerberos_(Informatik)

    Schon in den 80er hat man die Uhrzeit benutzt um Token die man mitlauscht automatisch nach einer bestimmten zeit ungültig werden zu lassen. Also ist das nichts neues. Nur das es für 2FA benutzt wird und ein eigenes RFC bekommen ist neu und 2011 entwickelt worden. Also eigentlich nur wie man eine Pin erzeugt die Zeitabhängig ist und aus einem Seed generiert wird, den man auf beiden Seiten kennt.

    Dieser Seed ist jetzt in Klartext gespeichert. Heist, das er jedesmal im Klartext vorliegen muss, wenn man einen Token erzeugt. Ob das ansonsten verschlüsselt abgelegt wird, ist egal. Es liegt entschlüsselt vor wenns benutzt wird und der Schlüssel zum entschlüsseln ist ebenfalls im Gerät fest gespeichert. Entweder wäre es hardcodiert...ganz beschissen, weil das jeder rausfinden kann oder es liegt eine Datei auf dem Rechner in der dieser Key gespeichert ist und damit für jeden Hacker auslesbar. Egal wie, ein Infiziertes Gerät gibt den Seed preis und ab dann ist TOTP absolut sinnlos.

    Man kann nichts hashen, weil man immer den Klartext braucht um einen token zu erzeugen. Der ist dann mit einer Hashfunktion aus dem Seed erzeugt worden. Aber einfach den seed nur gehashed speichern geht halt nicht wie bei Passwörtern.

    TOTP hat also ziemlich große Lücken, wenn die eigene Sicherheit nicht 100% steht. Da ein Dienst der 2FA anbietet viel Wert auf Sicherheit legt, ist eine SMS die man bekommt oder eine Pushnachricht viel sicherer. Den ist das Gerät das die SMS empfängt infiziert, hat der Hacker immer Zugriff. Nur beim TOTP kann er sich jederzeit einen eigenen Token generieren, hingegen muss er abgefangene SMS möglichst schnell benutzen, die verfallen.

  6. Re: besser wenn 2FA komplett offline läuft (kwT)

    Autor: tearcatcher 06.02.19 - 14:15

    Danke, für die Ausführungen ... auch wenn sie mir nicht neu sind

    dass erstmal der Seed unerkannt(!) auf das zukünftige Offline-Device (Billig-Android-Phone, in dem keine SIM-Karte eingelegt ist, WLAN deaktiviert, ausschließlich[!!] die TOTP App läuft) wo dann der TOTP genereriert wird, kommen muss, ist natürlich Voraussetzung, dass die Benutzung auch weiterhin sicher ist ... aber nun ja ... 100%ige Sicherheit wird es nie geben... auch nicht mit SMS-Token

  7. Re: besser wenn 2FA komplett offline läuft (kwT)

    Autor: John_Doe_Ivanhoe 06.02.19 - 15:03

    Nur leider wird SMS-basierte 2FA schon in der Praxis ausgehebelt. Das geht indem man die laschen Sicherheitsvorkehrungen der Mobilfunkprovider ausnutzt. Der grundlegende Vorteil, das ein Konto über ein zweites Gerät abgesichert wird, ist aber auch bei Protokollen wie TOTP gegeben. Der Offline-Vorteil bezieht sich darauf, dass der Anbieter des 2FA-Produkts dich online nicht ohne weiteres tracken kann (sollte).
    Ja für manche ist das ein "Vorteil" und vor allem ist nicht hardwarebasierte 2FA billig/quasi umsonst und daher weiter verbreitet. Das erhöht wiederum die Sicherheit für alle, auch wenn natürlich das Sicherheitsniveau ein bisschen niedriger ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Hughes Network Systems GmbH, Griesheim
  3. Kassenzahnärztliche Vereinigung Bayerns, München
  4. Henke-Sass, Wolf GmbH, Tuttlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Inno3D GeForce RTX 3090 Gaming X3 für 1.724€)
  2. (u. a. Xbox Wireless Controller Robot White für 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Elektromobilität 2020/21: Nur Tesla legte in der Krise zu
Elektromobilität 2020/21
Nur Tesla legte in der Krise zu

Für die Autoindustrie war 2020 ein hartes Jahr. Wer im Homeoffice arbeitet und auch sonst zu Hause bleibt, braucht kein neues Auto. Doch in einem schwierigen Umfeld entwickelten sich die E-Auto-Verkäufe sehr gut.
Eine Analyse von Dirk Kunde

  1. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
  2. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen
  3. Dorfauto im Hunsrück Verkehrswende geht auch auf dem Land

Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne