1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Windows und Office: Microsoft…

Bitte noch Mal für Blöde erklären?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Bitte noch Mal für Blöde erklären?

    Autor: amsel978 16.09.21 - 17:40

    Ich nehme mir einen token und der fungiert dann als Passwort? Dann habe ich keinen zweiten Faktor mehr? Wo ist das sicherer, außer das der token schwerer zu erraten ist als das Passwort? Was soll zum Beispiel mir das bringen, der eindeutige, zufällig generierte Passwörter im keepass hat? Apps sind ein Unsicherheitsfaktor auf dem viel angreifbareren Smartphone. Und sms bzw. Mobilnummer rausgeben ist der super GAU.

  2. Re: Bitte noch Mal für Blöde erklären?

    Autor: Sharra 16.09.21 - 19:22

    Die Erklärung ist ganz einfach: Es ist Schwachsinn, aber die Kundschaft will es.

  3. Re: Bitte noch Mal für Blöde erklären?

    Autor: x2k 16.09.21 - 19:23

    Der zweite faktor kann ein zusätzlicher Schlüssel auf dem token sein

  4. Re: Bitte noch Mal für Blöde erklären?

    Autor: FreakAzoid 16.09.21 - 19:42

    Das ist sicherer, weil ein Token generiert wird, welches nur für diese eine Transaktion gültig ist. So muss man kein Passwort mehr übertragen, was quasi ewig gültig sein kann. Über dieses Token wirst du dann identifiziert und eingeloggt. Das Passwort brauchst du nur noch beim erstmaligen einrichten dieser Authentifizierungsmethode. Kopieren des Tokens bringt Angreifern also nix. So funktioniert zumindest Webauthn und Windows Hello. Zudem ist es ein Hardware Token mit einem Key, der die Hardware nie verlässt und verschlüsselt darauf abgelegt ist.



    1 mal bearbeitet, zuletzt am 16.09.21 19:45 durch FreakAzoid.

  5. Re: Bitte noch Mal für Blöde erklären?

    Autor: franzropen 16.09.21 - 20:23

    Vorher hattest du aber die Möglichkeit zum Passwort das Token oder den Authenticator als 2. Faktor zu benutzen.
    Jetzt fällt das Passwort weg, d.h. es gibt nur noch das Token bzw. den Authenticator also nur noch einen Faktor.

  6. Re: Bitte noch Mal für Blöde erklären?

    Autor: FreakAzoid 16.09.21 - 20:33

    Nicht unbedingt. Es gibt Hardware Token mit Button, Tasten zur Codeeingabe, Fingerabdrucksensor zur Bestätigung deiner Anmeldung zusätzlich zum Token, welches übertragen wird. Ist das dann zwei Faktor?

  7. Re: Bitte noch Mal für Blöde erklären?

    Autor: Packwahn 16.09.21 - 23:09

    Wer sagt denn, dass das Passwort verschwindet? Wer mit MFA bereits seit Jahren arbeitet, der weiß doch genau, dass man weiterhin ein Passwort vergeben muss! Allerdings muss man sich nicht ständig mit den Passwort anmelden!

  8. Re: Bitte noch Mal für Blöde erklären?

    Autor: McWasa 17.09.21 - 08:09

    Ich habe das anders verstanden, basierend auf diesem Teil des Artikels:
    "Um das passwortlose Anmelden zu aktivieren, benötigen Kunden zunächst den Microsoft Authenticator, der zurzeit wohl als einzige Option freigeschaltet ist. Dieser schaltet sich dann vor jede Anmeldung. Das passwortlose Anmelden entfernt nicht die Zwei-Faktor-Authentifizierung. "

    Du hast also trotz der passwortlosen Anmeldung weiterhin MFA:
    1. Faktor: Der generierte Code aus dem Microsoft Authenticator (und auch nur der geht).
    2. Faktor: Der generierte Code aus einer beliebig anderen Authenticator App (falls eingerichtetet).

    Bei mir ist das MS Konto mit dem Google Authenticator abgesichert (2. Faktor), ich bräuchte dann also noch den MS Authenticator für den 1. Faktor um mich on Passwort anmelden zu können.

  9. Re: Bitte noch Mal für Blöde erklären?

    Autor: franzropen 17.09.21 - 08:20

    Schau dir mal das Video von MS an
    https://www.microsoft.com/en-us/videoplayer/embed/RWKL1o
    Das Passwort wird entfernt und ein Klick im MS Authenticator reicht zur Anmeldung. Kein 2. Faktor.

  10. Re: Bitte noch Mal für Blöde erklären?

    Autor: Kilpikonna 17.09.21 - 08:36

    Wenn man kein Passwort mehr braucht, kommen diverse Behörden viel leichter ins Konto, wenn das Handy beschlagnahmt wurde. Zur Mithilfe bei dessen Entsperrung mittels Fingerabdruck oder FaceID darf man in manchen Ländern gezwungen werden. Die Herausgabe eines Passwortes darf aber verweigert werden.

  11. Re: Bitte noch Mal für Blöde erklären?

    Autor: McWasa 17.09.21 - 09:24

    Danke, aber aus dem Video wird nicht klar, wie das funktioniert, falls man wie von mir beschrieben bereits eine 2FA mit einem anderen Authentificator verwendet...



    1 mal bearbeitet, zuletzt am 17.09.21 09:26 durch McWasa.

  12. Re: Bitte noch Mal für Blöde erklären?

    Autor: Brian Kernighan 17.09.21 - 09:56

    amsel978 schrieb:
    --------------------------------------------------------------------------------
    > Ich nehme mir einen token und der fungiert dann als Passwort? Dann habe ich
    > keinen zweiten Faktor mehr?

    Die Token die ich kenne brauchen alle zusätzlich noch eine PIN. Das ist dann der zweite Faktor.

  13. Re: Bitte noch Mal für Blöde erklären?

    Autor: gan 17.09.21 - 10:10

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Die Erklärung ist ganz einfach: Es ist Schwachsinn, aber die Kundschaft
    > will es.

    Nein, es gibt durchaus Szenarien, wo das Sinn macht. Zum Beispiel in Arztpraxen. Viele Ärzte sind zu faul, sich jedes mal neu einzuloggen, so dass häufig Patienten unbeaufsichtigt in Behandlungsräumen mit entsperrten Rechnern sitzen. Erfolgt dagegen die Anmeldung automatisiert, sofern man ein Gerät nahe genug an den Rechner bringt, ist der Bequemlichkeit genüge getan.

  14. Re: Bitte noch Mal für Blöde erklären?

    Autor: tom.stein 17.09.21 - 11:17

    amsel978 schrieb:
    --------------------------------------------------------------------------------
    > Ich nehme mir einen token und der fungiert dann als Passwort?

    Exakt

    > Dann habe ich keinen zweiten Faktor mehr?

    Jein. Eigentlich handelt es sich bei 2FA ja um fast 3 Faktoren: Man braucht das Passwort, man braucht das Gerät, auf dem die App mit dem Seed gespeichert ist, und muss dessen generierten Code als Passwort wieder eingeben. Und dazwischen muss man sich am Handy auch identifizieren.

    Der Ursprung:
    0) Nach dem Passwort wird ein Authenticator-Code abgefragt, den man vom Handy anlesen und eingeben muss.

    Microsoft ist schon vor einiger Zeit dazu übergegangen, zwei vereinfachte Verfahren zu testen:
    1) Das Login zeigt nach dem Passwort einen Kode (eine zweistellige Zahl) an. Der Authenticator wird im Hintergrund angestoßen und meldet sich aktiv, dort muss man (nach Entsperrung des Handys UND Entsperrung der App) eine von drei Zahlen (nämlich die angezeigte) auswählen. Vorteil: Schnelle Auswahl statt sechsstelligem Code. Die Sicherheit hängt an den i.d.R.  getrennten Geräten UND am Entsperren der App.

    Und noch einfacher:
    2) Das Login stößt nach dem Passwort im Hintergrund den Authenticator an, der die Freigabe oder Verweigerung erfragt. Vorteil: Gar kein Code mehr, sondern nur noch "Erlauben" oder "Abbrechen" am Handy. Dabei prüft der Authenticator mit den Mitteln des Handys (Gesicht/Fingerabdruck), ob es vom richtigen Benutzer genutzt wird. Die Sicherheit hängt an den i.d.R.  getrennten Geräten UND am Entsperren der App.

    Jetzt also der nächste Schritt: Kein Passwort, sondern nur noch Codeeingabe. Das klingt wie eine Vereinfachung von 0 - das Passwort wird durch das Entsperren der App (mit den Mitteln des Handys) ersetzt.
    Wir dürfen also demnächst auf die Vereinfachung von 1) und insbesondere 2) warten: Am einen Rechner den Benutzernamen eingeben, am anderen Gerät die Nutzung nur noch authentifizieren. Ach ja - was ist eigentlich, wenn ich den Browser des Handys benutze, wie viele Geräte sind da involviert? Aber die Authentifizierung durch das Handy mit seinem Krypto-Chip ist weiterhin involviert. Wer misstraut Apple/Samsung/Huawei/sonstwem...?

    > Wo ist das sicherer, außer das der token schwerer zu erraten ist als das Passwort?

    Es ist auch volatiler, denn je länger der Hack-Vorgang dauert, umso wahrscheinlicher ist es, dass der richtige Code jetzt dabei ist - aber nicht mehr gültig ist. Eigentlich kann man alle 30 Sekunden wieder mit dem ersten Hack beginnen - was man natürlich sehr gut abblocken kann, indem man nicht allzu viele Eingaben pro Sekunde erlaubt.

    Man benötigt den Benutzernamen und die Authentifizierung am Handy.

    > Was soll zum Beispiel mir das
    > bringen, der eindeutige, zufällig generierte Passwörter im keepass hat?

    Die sind statisch und können geklaut (bei der Eingabe mit Kameras oder USB-Loggern beobachtet, abgehört etc.) werden.

    > Apps sind ein Unsicherheitsfaktor auf dem viel angreifbareren Smartphone.

    Nein, das ist nicht angreifbarer als der PC - allerdings ist es leichter stehlbar und dann dem Dieb komplett ausgeliefert.

    > Und sms bzw. Mobilnummer rausgeben ist der super GAU.

    Nein, die haben mit dem Authenticator nichts zu tun.

    Aber: Wenn mal das Handy ins Meer/Klo/sonstwohin fällt, geklaut wird, explodiert (Akku!) - dann hat man ein Problem, weil man irgendwann auch nicht mehr an die Wiederherstellungs-Mails dran kommt, denn das Mailkonto ist dann entweder ebenso geschützt oder sein Passwort liegt in der KeePass-App auf dem gehimmelten Handy. Da muss man also mitdenken, wo überall man welche Sicherheit einsetzt.

  15. Re: Bitte noch Mal für Blöde erklären?

    Autor: tom.stein 17.09.21 - 11:27

    franzropen schrieb:
    --------------------------------------------------------------------------------
    > Vorher hattest du aber die Möglichkeit zum Passwort das Token oder den
    > Authenticator als 2. Faktor zu benutzen.
    > Jetzt fällt das Passwort weg, d.h. es gibt nur noch das Token bzw. den
    > Authenticator also nur noch einen Faktor.

    Jein, Du hattest ein Passwort an Gerät1, welches durch die Identifizierung am Handy (welche die Authenticator-App anfordert) ersetzt wird. Diese Identifizierung an Gerät2 setzt den Schlüssel in der App als 2. Faktor voraus, ohne dass die App an Gerät 1 weiß, welches Handy überhaupt zuständig ist. Da das Backend die Authentifizierung erledigt, ist es tatsächlich kein 2FA mehr. Aber es ist besser als ein Passwort, weil Passwörter statisch sind und somit abgehört und wieder benutzt werden können, während die Authentification nur zeitlich begrenzt gültig ist - 30 Sekunden später braucht man einen anderen Code basierend auf dem geheimen Schlüssel.

  16. Re: Bitte noch Mal für Blöde erklären?

    Autor: Mnt 17.09.21 - 13:05

    McWasa schrieb:
    --------------------------------------------------------------------------------
    > Danke, aber aus dem Video wird nicht klar, wie das funktioniert, falls man
    > wie von mir beschrieben bereits eine 2FA mit einem anderen Authentificator
    > verwendet...
    Gar nicht, der Code - bzw. OTP für One Time PASSWORD - ist nicht passwortloser Login. Der echte passwortlose Login funktioniert nicht mit Google Authenticator, Authy und Co., leider nur mit dem MS Authenticator.

  17. Re: Bitte noch Mal für Blöde erklären?

    Autor: unbuntu 17.09.21 - 14:01

    amsel978 schrieb:
    --------------------------------------------------------------------------------
    > Apps sind ein Unsicherheitsfaktor auf dem viel angreifbareren Smartphone.
    > Und sms bzw. Mobilnummer rausgeben ist der super GAU.

    Hast du ein Beispiel, wo sich jemand in ein System reingehackt hat, das per Authenticator-App geschützt war?

    Im Gegensatz zu nem Passwort sind diese Codes nunmal nur einen kurzen Zeitraum überhaupt gültig.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein



    1 mal bearbeitet, zuletzt am 17.09.21 14:02 durch unbuntu.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Cyber Security Manager (m/w/d)
    Jungheinrich AG, Hamburg
  2. Product Owner Microsoft Dynamics NAV (m/f/d)
    Autodoc AG, Berlin, Moldawien, Ukraine, Polen, Tschechische Republik (Home-Office)
  3. Datenkoordinator*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Mitarbeiter Support Labor - SAP QM / LIMS (m/w/d)
    Sachsenmilch Leppersdorf GmbH, Wachau

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. PS Plus 12 Monate 39,99€, Demon's Souls PS5 für 44,99€, The Last of Us Part 2 PS4 für...
  2. 19,99€
  3. (u. a. Forza Horizon 5 (Windows PC oder Xbox One / Series X|S Download Code) für 45,99€, PSN...
  4. PC, PS5, PS4, Xbox, Switch


Haben wir etwas übersehen?

E-Mail an news@golem.de