Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zwei-Faktor-Authentifizierung: Google…

Vorteile zu GAuthenticator ?

  1. Thema

Neues Thema Ansicht wechseln


  1. Vorteile zu GAuthenticator ?

    Autor: v2nc 15.07.17 - 15:48

    Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der GAuthenticator App außer ein paar Sekunden Komfort ?

  2. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 17:03

    Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.

    Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

  3. Re: Vorteile zu GAuthenticator ?

    Autor: Zeussi 15.07.17 - 18:12

    Scorcher24 schrieb:
    --------------------------------------------------------------------------------
    > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich
    > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    >
    > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

    What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline und die Apps und der Server generieren über einen möglichst synchronen Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen, ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun. Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde, abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

  4. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 18:25

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

    https://www.golem.de/news/onlinebanking-neue-betrugsmasche-betrifft-offenbar-auch-telef-nica-1510-117062.html

    Leider nicht. mTan ist auch nur ein 2FA Passwort. Und du kannst das 2FA PW direkt am PC abfangen, wo es eingegeben wird. Da ist genug Zeit nach der Eingabe den übernommenen PC nach der Eingabe zu stören und das PW an einen Server zu schicken und zu verwenden. Davon abgesehen ging es ja hier direkt um SMS und da gab es, wie man sieht, bereits MITM Angriffe kombiniert mit Social Engineering.



    1 mal bearbeitet, zuletzt am 15.07.17 18:25 durch Scorcher24.

  5. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 18:27

    v2nc schrieb:
    --------------------------------------------------------------------------------
    > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > GAuthenticator App außer ein paar Sekunden Komfort ?

    Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

  6. Re: Vorteile zu GAuthenticator ?

    Autor: picaschaf 15.07.17 - 19:23

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > v2nc schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > GAuthenticator App außer ein paar Sekunden Komfort ?
    >
    > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

    Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde) nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

  7. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 20:12

    Das musst du Google fragen und nicht mich. Ich nutze Google Authenticator mit einem Yubikey

  8. Re: Vorteile zu GAuthenticator ?

    Autor: McAfee Antitroll Solution 15.07.17 - 23:26

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > Scorcher24 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung.
    > Ich
    > > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    > >
    > > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.
    >
    > What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der
    > Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline
    > und die Apps und der Server generieren über einen möglichst synchronen
    > Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne
    > es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen,
    > ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun.
    > Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde,
    > abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im
    > Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps
    > offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu
    > bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite
    > Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die
    > Wahrscheinlichkeit doch sehr gering.

    Der Code vom Authenticator kann wie ein gewöhnliches Passwort auch gephisht werden (der Angreifer muss sich einfach direkt einloggen und kann nicht beliebig lang warten). Ein ähnliches Problem besteht allerdings mit Prompts (der Angreifer phist Passwort vom Opfer, logged sich damit bei Google ein, User erhält Prompt, akzeptiert und Angreifer ist drin). Mit U2F von FIDO, meldet der Browser dem Stick, welche Website die Authentifizierung verlangt, was phishen verunmöglicht.

  9. Re: Vorteile zu GAuthenticator ?

    Autor: Nudelarm 15.07.17 - 23:43

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Jakelandiar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > v2nc schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > > GAuthenticator App außer ein paar Sekunden Komfort ?
    > >
    > > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.
    >
    > Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde)
    > nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

    Das nutzt man als Zweitfaktor wenn man eben keinen Authenticator nutzt. Wenn man bisher nur die SMS genutzt hat, sind die Prompts eine Alternative. Nicht für den Authenticator. Dafür benötigt man keine App, dass ist in Android integriert. Wenn du dich einlogst erscheint einfach automatisch auf deinem Handy der Login-Hinweis, den du entweder ablehnen oder bestätigen kannst.

  10. Re: Vorteile zu GAuthenticator ?

    Autor: My1 16.07.17 - 13:10

    ja da gibts welche.

    u.a. sind TOTPs mit einer Blankounterschrift gleichzusetzen, ergo die können gephisht werden
    des weiteren basieren diese auf einem shared secret, d.h. wenn jemand aufm Server die TOTP Secrets mitnimmt merkst du erstmal nix.

    und eben wenn deine uhr falsch geht, geht auch nix.

    aber es gibt auch vorteile

    bspw. dass TOTP ein komplett offener algo ist wo es wirklich für alles was gibt.

    man kann mit passender Hardware TOTP komplett Airgappen, was die sicherheit deutlich erhöhen kann.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Heinrich-Heine-Universität, Düsseldorf
  2. RSG Group GmbH, Berlin
  3. igefa IT-Service GmbH & Co. KG, Ahrensfelde bei Berlin, Dresden
  4. BfS Bundesamt für Strahlenschutz, Oberschleißheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Y25f-10 144 Hz für 159€)
  2. (u. a. Anno 1800 - Sonderausgabe für 33€ und Fast & Furious 6 Steelbook für 4,99€)
  3. 249,99€ + 5€-Versand (USK 18) - Bestpreis!
  4. (aktuell u. a. Corsair T1 Race 2018 in diversen Farben für 229,90€ + Versand. Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Epyc 7H12 & Ryzen 5 3500X AMD bringt 280-Watt-CPU und plant günstigen Sechskerner
  2. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  3. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000

Hue Sync: Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar
Hue Sync
Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar

Mit Hue Sync können Philips-Hue-Nutzer ihre Lampen passend zu Filmen oder Musik aufleuchten lassen - bisher aber nur recht umständlich über einen PC. Die neue Play HDMI Sync Box ist ein Splitter mit eingebautem Hue-Sync-Controller, an den einfach Konsolen oder Blu-ray-Player angeschlossen werden können.
Ein Hands on von Tobias Költzsch

  1. Signify Kleiner Schalter und Steckdose für Philips Hue
  2. Smart Home Philips-Hue-Leuchtmittel mit Bluetooth
  3. Smart Home Philips Hue mit Außenbewegungsmelder und neuen Außenlampen

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

  1. Beatbox: Das Pappmischpult zum Selberbauen
    Beatbox
    Das Pappmischpult zum Selberbauen

    Kickstarter ist auch eine Plattform für sonderbare Produkte. Die Beatbox ist beispielsweise ein programmierbares MIDI-Mischpult, das von Nutzern zusammengebaut wird. Das Chassis ist aus Pappe konstruiert. Die Buttons stammen von Arcade-Automaten.

  2. iPhone 11 Pro Max: Das neue iPhone hat 4 GByte RAM und wesentlich mehr Akku
    iPhone 11 Pro Max
    Das neue iPhone hat 4 GByte RAM und wesentlich mehr Akku

    Auch beim iPhone 11 Pro Max lässt sich iFixit eine komplette Demontage nicht entgehen: Das Gerät nutzt wohl tatsächlich 4 GByte RAM. Außerdem waren die Bastler vom wesentlich größeren Akku und gleich zwei Ladekabeln überrascht.

  3. Fairtube: Google lädt die Youtuber-Gewerkschaft zu Gesprächen ein
    Fairtube
    Google lädt die Youtuber-Gewerkschaft zu Gesprächen ein

    Mehr Transparenz, mehr Entscheidungsrecht und eine Anlaufstelle: Fairtube fordert von Googles Videoplattform Youtube bessere Arbeitsbedingungen für Inhalteersteller. Die Parteien werden im Oktober miteinander sprechen. Beide Seiten sind in ihren Ansichten recht weit voneinander entfernt.


  1. 13:29

  2. 13:01

  3. 12:08

  4. 11:06

  5. 08:01

  6. 12:30

  7. 11:51

  8. 11:21