1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google Authenticator: 2FA-Codes…

Kleine Korrektur

  1. Thema

Neues Thema Ansicht wechseln


  1. Kleine Korrektur

    Autor: fosphatic 09.03.20 - 11:59

    Alle 30 Sekunden wird dieser Code geändert und somit ist der OTP Code nur 30 Sekunden lang gültig und nicht eine Minute. Davon abgesehen sollte man eventuell nicht nebenbei erwähnen dass es noch kein bekannten Fall es gibt wo es tatsächlich schon ausgenutzt werden konnte.

    Meiner Ansicht nach ist diese Panik Macherei ist nicht seriös, OTP von Google Authentificator ist weiterhin ein sehr gutes open source Produkt was die Sicherheit für online Konten ungemein erhöht und kann weiterhin bedenkenlos weiter empfohlen werden.

    Wer das ganze nochmals Sicherer haben möchte, kann die Authentificator App von Yubico verwenden und das ganze mit einem zusätzlichen Sicherheitslayer der auf einem Hardware Yubikey basierend. Das würde selbst für ein Trojaner wie Cerberus das Leben schwer machen um den 30 Sekunden gültigen Key herauszubekommen.



    1 mal bearbeitet, zuletzt am 09.03.20 12:04 durch fosphatic.

  2. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 12:15

    Hallo fosphatic,

    die TOTP-Codes werden zwar üblicherweise für 30 Sekunden generiert, die Server nehmen meist aber noch etwas ältere Codes an - daher hat ein Angreifer je nach Anbieter etwas mehr Zeit als die 30 Sekunden.

    Viele Grüße
    Moritz

  3. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 12:19

    Hallo fosphatic,

    um Missverständnisse vorzubeugen, habe ich die Stelle noch mal klarer formuliert.

    Viele Grüße
    Moritz

  4. Anwendung // Bezug zu PSD2

    Autor: DieTatsaechlicheDimensionDesGanzen 09.03.20 - 12:42

    Hallo Moritz/Golem,

    1) weder mein Online-Banking noch irgendwelche meiner Online-Accounts scheinen den "Google Authenticator" zu nutzen.

    Wo und durch wen findet der Dienst denn Anwendung?
    Selbst Wikipedia gibt hier keine konkreten Beispiele ...


    2) Wäre es nicht ein interessanter Ansatz zu hinterfragen, inwieweit die Banking-Apps in DE oder EU nach der Verpflichtung zur 2FA (PSD2) im Jahr 2019 in diesem Bezug abschneiden?

    Sind die Smartphone-Software-TAN-Genratoren von Commerzbank, Deutscher Bank, Postbank, etc denn sicher vor Screenshots?

    .



    1 mal bearbeitet, zuletzt am 09.03.20 12:44 durch DieTatsaechlicheDimensionDesGanzen.

  5. Re: Anwendung // Bezug zu PSD2

    Autor: Socke81 09.03.20 - 12:50

    1. So gut wie alles was mit Bitcoins zutun hat benutzt das. Epic (Konkurrent von Steam) nutzt das auch.

  6. Re: Anwendung // Bezug zu PSD2

    Autor: mxcd 09.03.20 - 12:54

    LastPass benutzt das.

  7. Re: Anwendung // Bezug zu PSD2

    Autor: fn.ord 09.03.20 - 12:57

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Wo und durch wen findet der Dienst denn Anwendung?
    > Selbst Wikipedia gibt hier keine konkreten Beispiele ...
    twofactorauth.org
    www.dongleauth.info

    Bei twofactorauth steht auf der Webseite nicht, ob der "Software Token" auf TOTP basiert.
    Dafür gibts dongeauth.info oder man muss in den Code der Webseite schauen:
    github.com./2factorauth/twofactorauth/search?q=totp



    2 mal bearbeitet, zuletzt am 09.03.20 13:12 durch fn.ord.

  8. Re: Anwendung // Bezug zu PSD2

    Autor: ashahaghdsa 09.03.20 - 13:01

    Ich kann meinen Login beim Webhoster damit absichern.

  9. Re: Anwendung // Bezug zu PSD2

    Autor: z3r0t3n 09.03.20 - 13:03

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Hallo Moritz/Golem,
    >
    > 1) weder mein Online-Banking noch irgendwelche meiner Online-Accounts
    > scheinen den "Google Authenticator" zu nutzen.
    >
    > Wo und durch wen findet der Dienst denn Anwendung?
    > Selbst Wikipedia gibt hier keine konkreten Beispiele ...
    >

    Es geht hier lediglich um einen Standard namens TOTP (Wikipedia: Time-based_One-time_Password_Algorithmus), dieser wird von vielen Apps unterstützt und auch nur um diese Apps geht es hier.

    Welche Implementierung da auf Serverseite dahintersteht ist für das genannte Problem irrelevant.

  10. Re: Kleine Korrektur

    Autor: fosphatic 09.03.20 - 14:10

    Hallo Moritz,

    jetzt ist das noch schwammiger ausgedrückt. Hier mal ein Auszug aus wiki:

    Zitat:
    "Die absolute Uhrzeit auf dem Gerät wie einem Mobiltelefon oder Laptop, mit dem das Einmalpasswort erzeugt wird, muss bis auf wenige Sekunden genau der Uhrzeit am Server entsprechen. Die Gültigkeitsdauer beträgt 30 Sekunden, je nach konkreter Implementierung am Server wird auch noch das TOTP aus dem Zeitfenster unmittelbar vor dem aktuellen Zeitfenster akzeptiert, womit sich eine Spanne von weniger als 1 Minute ergibt. Liegt eine größere Abweichung der beiden Uhrzeiten zwischen dem Gerät des Benutzers und dem Server vor, ist ein Login mittels TOTP nicht mehr möglich."

    Somit wird kein Server wird wenige Minuten diesen Code annehmen, sondern meiner persönlichen Erfahrung nach, ist höchstens eine Toleranz von maximal 15 Sekunden zwischen Mobilgerät uns Server vorgesehen und dadurch sollte ein Code nicht länger als 45 Sekunden gültig sein. Allerdings auf keinen Fall mehrere Minuten...



    1 mal bearbeitet, zuletzt am 09.03.20 14:11 durch fosphatic.

  11. Re: Kleine Korrektur

    Autor: Iruwen 09.03.20 - 14:13

    Man kann selbst entscheiden wie viele Schritte in die Vergangenheit zulässig sein sollen, können also auch mehrere Minuten sein.

  12. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 15:37

    Hallo fosphatic,

    tatsächlich können die Anbieter entscheiden, welchen zeitlichen intervall sie akzeptieren, was durchaus wenige Minuten sein können. Ich habe die Stelle durch eine ausführliche Erklärung ersetzt.

    Viele Grüße
    Moritz

  13. Re: Kleine Korrektur

    Autor: Prypjat 10.03.20 - 13:51

    Ich nutze den Google Authenticator für Uplay und Epic.
    Sobald der neue Code generiert ist, wird der alte nicht mehr angnommen.
    Bei diesen beiden Diensten hat man wirklich nur die 30 Sekunden Zeit (+ - 1 Sekunde).

    Angenommen der Code wird abgegriffen, dann müssen die Bösen Buben und deren Technik noch immer schneller sein als ich. Wie lange benötigt man um einen Sechsstelligen Code einzugeben?
    Vielleicht so 2 bis 3 Sekunden? Und nach der Eingabe wird dieser Code nicht ein zweites mal akzeptiert.

    Ich bin der Meinung, dass die Sicherheit immer noch gegeben ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Münster
  2. über ATLAS TITAN Paderborn GmbH, Gütersloh
  3. Heinrich-Heine-Universität, Düsseldorf
  4. über duerenhoff GmbH, Wien (Österreich)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Ikea Trådfri im Test: Das preisgünstige Smart-Home-System
Ikea Trådfri im Test
Das preisgünstige Smart-Home-System

Ikea beweist, dass ein gutes Smart-Home-System nicht sündhaft teuer sein muss - und das Grundprinzip gefällt uns besser als bei Philips Hue.
Ein Test von Ingo Pakalski

  1. Ikea Trådfri Fehlerhafte Firmware ändert Schaltverhalten der Lampen
  2. Fyrtur und Kadrilj Ikeas smarte Rollos lernen Homekit
  3. Trådfri Ikeas dimmbares Filament-Leuchtmittel kostet 10 Euro

Big Blue Button: Wie CCC-Urgesteine gegen Teams und Zoom kämpfen
Big Blue Button
Wie CCC-Urgesteine gegen Teams und Zoom kämpfen

Ein Verein aus dem Umfeld des CCC zeigt in Berlin, wie sich Schulen mit Open Source digitalisieren lassen. Schüler, Eltern und Lehrer sind begeistert.
Ein Bericht von Friedhelm Greis

  1. Mint-Allianz Wir bleiben schlau! Wir bleiben unwissend!
  2. Programmieren lernen Informatik-Apps für Kinder sind oft zu komplex