Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zwei-Faktor-Authentifizierung: Google…

Vorteile zu GAuthenticator ?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Vorteile zu GAuthenticator ?

    Autor: v2nc 15.07.17 - 15:48

    Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der GAuthenticator App außer ein paar Sekunden Komfort ?

  2. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 17:03

    Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.

    Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

  3. Re: Vorteile zu GAuthenticator ?

    Autor: Zeussi 15.07.17 - 18:12

    Scorcher24 schrieb:
    --------------------------------------------------------------------------------
    > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich
    > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    >
    > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

    What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline und die Apps und der Server generieren über einen möglichst synchronen Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen, ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun. Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde, abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

  4. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 18:25

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

    https://www.golem.de/news/onlinebanking-neue-betrugsmasche-betrifft-offenbar-auch-telef-nica-1510-117062.html

    Leider nicht. mTan ist auch nur ein 2FA Passwort. Und du kannst das 2FA PW direkt am PC abfangen, wo es eingegeben wird. Da ist genug Zeit nach der Eingabe den übernommenen PC nach der Eingabe zu stören und das PW an einen Server zu schicken und zu verwenden. Davon abgesehen ging es ja hier direkt um SMS und da gab es, wie man sieht, bereits MITM Angriffe kombiniert mit Social Engineering.



    1 mal bearbeitet, zuletzt am 15.07.17 18:25 durch Scorcher24.

  5. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 18:27

    v2nc schrieb:
    --------------------------------------------------------------------------------
    > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > GAuthenticator App außer ein paar Sekunden Komfort ?

    Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

  6. Re: Vorteile zu GAuthenticator ?

    Autor: picaschaf 15.07.17 - 19:23

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > v2nc schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > GAuthenticator App außer ein paar Sekunden Komfort ?
    >
    > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

    Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde) nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

  7. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 20:12

    Das musst du Google fragen und nicht mich. Ich nutze Google Authenticator mit einem Yubikey

  8. Re: Vorteile zu GAuthenticator ?

    Autor: McAfee Antitroll Solution 15.07.17 - 23:26

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > Scorcher24 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung.
    > Ich
    > > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    > >
    > > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.
    >
    > What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der
    > Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline
    > und die Apps und der Server generieren über einen möglichst synchronen
    > Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne
    > es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen,
    > ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun.
    > Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde,
    > abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im
    > Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps
    > offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu
    > bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite
    > Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die
    > Wahrscheinlichkeit doch sehr gering.

    Der Code vom Authenticator kann wie ein gewöhnliches Passwort auch gephisht werden (der Angreifer muss sich einfach direkt einloggen und kann nicht beliebig lang warten). Ein ähnliches Problem besteht allerdings mit Prompts (der Angreifer phist Passwort vom Opfer, logged sich damit bei Google ein, User erhält Prompt, akzeptiert und Angreifer ist drin). Mit U2F von FIDO, meldet der Browser dem Stick, welche Website die Authentifizierung verlangt, was phishen verunmöglicht.

  9. Re: Vorteile zu GAuthenticator ?

    Autor: Nudelarm 15.07.17 - 23:43

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Jakelandiar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > v2nc schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > > GAuthenticator App außer ein paar Sekunden Komfort ?
    > >
    > > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.
    >
    > Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde)
    > nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

    Das nutzt man als Zweitfaktor wenn man eben keinen Authenticator nutzt. Wenn man bisher nur die SMS genutzt hat, sind die Prompts eine Alternative. Nicht für den Authenticator. Dafür benötigt man keine App, dass ist in Android integriert. Wenn du dich einlogst erscheint einfach automatisch auf deinem Handy der Login-Hinweis, den du entweder ablehnen oder bestätigen kannst.

  10. Re: Vorteile zu GAuthenticator ?

    Autor: My1 16.07.17 - 13:10

    ja da gibts welche.

    u.a. sind TOTPs mit einer Blankounterschrift gleichzusetzen, ergo die können gephisht werden
    des weiteren basieren diese auf einem shared secret, d.h. wenn jemand aufm Server die TOTP Secrets mitnimmt merkst du erstmal nix.

    und eben wenn deine uhr falsch geht, geht auch nix.

    aber es gibt auch vorteile

    bspw. dass TOTP ein komplett offener algo ist wo es wirklich für alles was gibt.

    man kann mit passender Hardware TOTP komplett Airgappen, was die sicherheit deutlich erhöhen kann.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. über Duerenhoff GmbH, Raum Mannheim
  2. Technische Universität Hamburg, Hamburg
  3. Gesellschaft für Reisevertriebssysteme mbH, Bochum
  4. Robert Bosch GmbH, Abstatt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 79,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Blade Runner Blu-ray 8,99€, The Equalizer Blu-ray 6,66€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Star Wars Battlefront 2 im Test: Filmreife Sternenkrieger
Star Wars Battlefront 2 im Test
Filmreife Sternenkrieger
  1. Electronic Arts Community empört über freischaltbare Helden in Battlefront 2
  2. Star Wars Mächtiger Zusatzinhalt für Battlefront 2 angekündigt
  3. Star Wars Battlefront 2 angespielt Sammeln ihr sollt ...

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

  1. Open Routing: Facebook gibt interne Plattform für Backbone-Routing frei
    Open Routing
    Facebook gibt interne Plattform für Backbone-Routing frei

    Facebook hat seine Netzwerk-Routing-Plattform Open/R unter eine freie Lizenz gestellt und auf Github veröffentlicht. Das Unternehmen nutzt Open/R selbst in seinen eigenen Backbone-Netzen und hat die Software zunächst für urbanes GBit-Wi-Fi erstellt.

  2. Übernahme: Vivendi lässt Ubisoft ein halbes Jahr in Ruhe
    Übernahme
    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

    In den nächsten Monaten will der französische Medienkonzern Vivendi die feindliche Übernahme von Ubisoft nicht weiter vorantreiben - danach sind aber wieder alle Optionen offen. Immerhin hat Vivendi durch den Anteilskauf bislang rund eine Milliarde Euro an Buchgewinnen gemacht.

  3. Boston Dynamics: Humanoider Roboter Atlas macht Salto rückwärts
    Boston Dynamics
    Humanoider Roboter Atlas macht Salto rückwärts

    Manche Robotiker nennen Boston-Dynamics-Gründer Marc Raibert wegen seiner von der Natur abgeschauten Roboter ehrfürchtig einen Künstler. Letzter Coup der Bostoner Robotiker: eine akrobatische Ausbildung für einen humanoiden Roboter.


  1. 17:08

  2. 16:30

  3. 16:17

  4. 15:49

  5. 15:20

  6. 15:00

  7. 14:40

  8. 14:20