Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zwei-Faktor-Authentifizierung: Google…

Vorteile zu GAuthenticator ?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Vorteile zu GAuthenticator ?

    Autor: v2nc 15.07.17 - 15:48

    Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der GAuthenticator App außer ein paar Sekunden Komfort ?

  2. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 17:03

    Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.

    Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

  3. Re: Vorteile zu GAuthenticator ?

    Autor: Zeussi 15.07.17 - 18:12

    Scorcher24 schrieb:
    --------------------------------------------------------------------------------
    > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich
    > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    >
    > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

    What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline und die Apps und der Server generieren über einen möglichst synchronen Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen, ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun. Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde, abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

  4. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 18:25

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

    https://www.golem.de/news/onlinebanking-neue-betrugsmasche-betrifft-offenbar-auch-telef-nica-1510-117062.html

    Leider nicht. mTan ist auch nur ein 2FA Passwort. Und du kannst das 2FA PW direkt am PC abfangen, wo es eingegeben wird. Da ist genug Zeit nach der Eingabe den übernommenen PC nach der Eingabe zu stören und das PW an einen Server zu schicken und zu verwenden. Davon abgesehen ging es ja hier direkt um SMS und da gab es, wie man sieht, bereits MITM Angriffe kombiniert mit Social Engineering.



    1 mal bearbeitet, zuletzt am 15.07.17 18:25 durch Scorcher24.

  5. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 18:27

    v2nc schrieb:
    --------------------------------------------------------------------------------
    > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > GAuthenticator App außer ein paar Sekunden Komfort ?

    Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

  6. Re: Vorteile zu GAuthenticator ?

    Autor: picaschaf 15.07.17 - 19:23

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > v2nc schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > GAuthenticator App außer ein paar Sekunden Komfort ?
    >
    > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

    Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde) nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

  7. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 20:12

    Das musst du Google fragen und nicht mich. Ich nutze Google Authenticator mit einem Yubikey

  8. Re: Vorteile zu GAuthenticator ?

    Autor: McAfee Antitroll Solution 15.07.17 - 23:26

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > Scorcher24 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung.
    > Ich
    > > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    > >
    > > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.
    >
    > What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der
    > Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline
    > und die Apps und der Server generieren über einen möglichst synchronen
    > Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne
    > es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen,
    > ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun.
    > Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde,
    > abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im
    > Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps
    > offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu
    > bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite
    > Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die
    > Wahrscheinlichkeit doch sehr gering.

    Der Code vom Authenticator kann wie ein gewöhnliches Passwort auch gephisht werden (der Angreifer muss sich einfach direkt einloggen und kann nicht beliebig lang warten). Ein ähnliches Problem besteht allerdings mit Prompts (der Angreifer phist Passwort vom Opfer, logged sich damit bei Google ein, User erhält Prompt, akzeptiert und Angreifer ist drin). Mit U2F von FIDO, meldet der Browser dem Stick, welche Website die Authentifizierung verlangt, was phishen verunmöglicht.

  9. Re: Vorteile zu GAuthenticator ?

    Autor: Nudelarm 15.07.17 - 23:43

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Jakelandiar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > v2nc schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > > GAuthenticator App außer ein paar Sekunden Komfort ?
    > >
    > > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.
    >
    > Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde)
    > nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

    Das nutzt man als Zweitfaktor wenn man eben keinen Authenticator nutzt. Wenn man bisher nur die SMS genutzt hat, sind die Prompts eine Alternative. Nicht für den Authenticator. Dafür benötigt man keine App, dass ist in Android integriert. Wenn du dich einlogst erscheint einfach automatisch auf deinem Handy der Login-Hinweis, den du entweder ablehnen oder bestätigen kannst.

  10. Re: Vorteile zu GAuthenticator ?

    Autor: My1 16.07.17 - 13:10

    ja da gibts welche.

    u.a. sind TOTPs mit einer Blankounterschrift gleichzusetzen, ergo die können gephisht werden
    des weiteren basieren diese auf einem shared secret, d.h. wenn jemand aufm Server die TOTP Secrets mitnimmt merkst du erstmal nix.

    und eben wenn deine uhr falsch geht, geht auch nix.

    aber es gibt auch vorteile

    bspw. dass TOTP ein komplett offener algo ist wo es wirklich für alles was gibt.

    man kann mit passender Hardware TOTP komplett Airgappen, was die sicherheit deutlich erhöhen kann.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. über Harvey Nash GmbH, Lübeck
  2. Landeskriminalamt Thüringen, Erfurt
  3. DIRINGER & SCHEIDEL GmbH & Co. Beteiligungs KG, Mannheim
  4. Ratbacher GmbH, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 49,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Porsche Design Huaweis Porsche-Smartwatch kostet 800 Euro
  2. Smartphone Neues Huawei Y6 für 150 Euro bei Aldi erhältlich
  3. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt

Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

48-Volt-Systeme: Bosch setzt auf Boom für kompakte Elektroantriebe
48-Volt-Systeme
Bosch setzt auf Boom für kompakte Elektroantriebe
  1. Elektroautos Bayern startet Förderprogramm für Ladesäulen
  2. Elektromobilität Staatliche Finanzhilfen elektrisieren Norwegen
  3. Elektromobilität Shell stellt Ladesäulen an Tankstellen auf

  1. Terrorismusbekämpfung: Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten
    Terrorismusbekämpfung
    Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten

    Weil es keine ausreichenden Schutzmechanismen für besonders schützenswerte Daten gibt, hat der Europäische Gerichtshof (EUGH) das Abkommen über den Austausch von Fluggastdaten für nicht mit den Grundrechten vereinbar erklärt.

  2. Makeblock Airblock im Test: Es regnet Drohnenmodule
    Makeblock Airblock im Test
    Es regnet Drohnenmodule

    Mit einem Knall zerschellt die Airblock an Hindernissen. Dann prasseln die sieben Teile zu Boden. Die Drohne kann beliebig wieder zusammengebaut und selbst programmiert werden: als Hovercraft, Schnellboot oder Fluggerät. Der Kreativität sind nur einige Grenzen gesetzt.

  3. Tri Alpha Energy: Google entwickelt Algorithmus für die Fusionsforschung
    Tri Alpha Energy
    Google entwickelt Algorithmus für die Fusionsforschung

    Weniger Energieverlust, höhere Plasmaenergie: Entwickler von Google haben zusammen mit dem Unternehmen Tri Alpha Energy einen Algorithmus für die Plasmaforschung geschaffen. Er soll die Kernfusion voranbringen.


  1. 12:30

  2. 12:03

  3. 12:00

  4. 11:55

  5. 11:32

  6. 11:00

  7. 10:30

  8. 10:18