besser wenn 2FA komplett offline läuft (kwT)

kT

Die MS-2FA nutzt primär Online-2FA (Push) und als Fallback Offline-2FA (TOTP).

tearcatcher schrieb:
--------------------------------------------------------------------------------
> kT

Wieso braucht man Offline 2FA? Nutzt du das um dein Klo oder die Küche abzusichern?

Solltest du allerdings einen Onlinedienst absichern, nutzt du es ja online.

chefin schrieb:
--------------------------------------------------------------------------------
> tearcatcher schrieb:
> ---------------------------------------------------------------------------
> -----
> > kT
>
> Wieso braucht man Offline 2FA? Nutzt du das um dein Klo oder die Küche
> abzusichern?
>
> Solltest du allerdings einen Onlinedienst absichern, nutzt du es ja online.

nö ... lies mal nach, was TOTP-2FA bedeutet

ich weis den Unterscheid schon, aber nichts davon ist offline.

du wirfst wie viele Menschen einfach irgendwelche Begriffe in den Raum ohne zu wissen was sie bedeuten und wie es eigentlich funktioniert. TOTP bastelt sich aus einem Seed und der Uhrzeit einen Token. Aufgrund der Uhrzeit ist der nur wenige Sekunden gültig. Je nach Auslegung 30-300sec. Wurde mal ursprünglich im Kerberos Protocol schon so "erfunden"

https://de.wikipedia.org/wiki/Kerberos_(Informatik)

Schon in den 80er hat man die Uhrzeit benutzt um Token die man mitlauscht automatisch nach einer bestimmten zeit ungültig werden zu lassen. Also ist das nichts neues. Nur das es für 2FA benutzt wird und ein eigenes RFC bekommen ist neu und 2011 entwickelt worden. Also eigentlich nur wie man eine Pin erzeugt die Zeitabhängig ist und aus einem Seed generiert wird, den man auf beiden Seiten kennt.

Dieser Seed ist jetzt in Klartext gespeichert. Heist, das er jedesmal im Klartext vorliegen muss, wenn man einen Token erzeugt. Ob das ansonsten verschlüsselt abgelegt wird, ist egal. Es liegt entschlüsselt vor wenns benutzt wird und der Schlüssel zum entschlüsseln ist ebenfalls im Gerät fest gespeichert. Entweder wäre es hardcodiert...ganz beschissen, weil das jeder rausfinden kann oder es liegt eine Datei auf dem Rechner in der dieser Key gespeichert ist und damit für jeden Hacker auslesbar. Egal wie, ein Infiziertes Gerät gibt den Seed preis und ab dann ist TOTP absolut sinnlos.

Man kann nichts hashen, weil man immer den Klartext braucht um einen token zu erzeugen. Der ist dann mit einer Hashfunktion aus dem Seed erzeugt worden. Aber einfach den seed nur gehashed speichern geht halt nicht wie bei Passwörtern.

TOTP hat also ziemlich große Lücken, wenn die eigene Sicherheit nicht 100% steht. Da ein Dienst der 2FA anbietet viel Wert auf Sicherheit legt, ist eine SMS die man bekommt oder eine Pushnachricht viel sicherer. Den ist das Gerät das die SMS empfängt infiziert, hat der Hacker immer Zugriff. Nur beim TOTP kann er sich jederzeit einen eigenen Token generieren, hingegen muss er abgefangene SMS möglichst schnell benutzen, die verfallen.

Danke, für die Ausführungen ... auch wenn sie mir nicht neu sind

dass erstmal der Seed unerkannt(!) auf das zukünftige Offline-Device (Billig-Android-Phone, in dem keine SIM-Karte eingelegt ist, WLAN deaktiviert, ausschließlich[!!] die TOTP App läuft) wo dann der TOTP genereriert wird, kommen muss, ist natürlich Voraussetzung, dass die Benutzung auch weiterhin sicher ist ... aber nun ja ... 100%ige Sicherheit wird es nie geben... auch nicht mit SMS-Token

Nur leider wird SMS-basierte 2FA schon in der Praxis ausgehebelt. Das geht indem man die laschen Sicherheitsvorkehrungen der Mobilfunkprovider ausnutzt. Der grundlegende Vorteil, das ein Konto über ein zweites Gerät abgesichert wird, ist aber auch bei Protokollen wie TOTP gegeben. Der Offline-Vorteil bezieht sich darauf, dass der Anbieter des 2FA-Produkts dich online nicht ohne weiteres tracken kann (sollte).
Ja für manche ist das ein "Vorteil" und vor allem ist nicht hardwarebasierte 2FA billig/quasi umsonst und daher weiter verbreitet. Das erhöht wiederum die Sicherheit für alle, auch wenn natürlich das Sicherheitsniveau ein bisschen niedriger ist.