Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zwei-Faktor-Authentifizierung: Google…

Vorteile zu GAuthenticator ?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Vorteile zu GAuthenticator ?

    Autor: v2nc 15.07.17 - 15:48

    Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der GAuthenticator App außer ein paar Sekunden Komfort ?

  2. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 17:03

    Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.

    Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

  3. Re: Vorteile zu GAuthenticator ?

    Autor: Zeussi 15.07.17 - 18:12

    Scorcher24 schrieb:
    --------------------------------------------------------------------------------
    > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung. Ich
    > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    >
    > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.

    What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline und die Apps und der Server generieren über einen möglichst synchronen Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen, ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun. Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde, abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

  4. Re: Vorteile zu GAuthenticator ?

    Autor: Scorcher24 15.07.17 - 18:25

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > aber bei alle dem ist die Wahrscheinlichkeit doch sehr gering.

    https://www.golem.de/news/onlinebanking-neue-betrugsmasche-betrifft-offenbar-auch-telef-nica-1510-117062.html

    Leider nicht. mTan ist auch nur ein 2FA Passwort. Und du kannst das 2FA PW direkt am PC abfangen, wo es eingegeben wird. Da ist genug Zeit nach der Eingabe den übernommenen PC nach der Eingabe zu stören und das PW an einen Server zu schicken und zu verwenden. Davon abgesehen ging es ja hier direkt um SMS und da gab es, wie man sieht, bereits MITM Angriffe kombiniert mit Social Engineering.



    1 mal bearbeitet, zuletzt am 15.07.17 18:25 durch Scorcher24.

  5. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 18:27

    v2nc schrieb:
    --------------------------------------------------------------------------------
    > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > GAuthenticator App außer ein paar Sekunden Komfort ?

    Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

  6. Re: Vorteile zu GAuthenticator ?

    Autor: picaschaf 15.07.17 - 19:23

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > v2nc schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > GAuthenticator App außer ein paar Sekunden Komfort ?
    >
    > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.

    Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde) nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

  7. Re: Vorteile zu GAuthenticator ?

    Autor: Jakelandiar 15.07.17 - 20:12

    Das musst du Google fragen und nicht mich. Ich nutze Google Authenticator mit einem Yubikey

  8. Re: Vorteile zu GAuthenticator ?

    Autor: McAfee Antitroll Solution 15.07.17 - 23:26

    Zeussi schrieb:
    --------------------------------------------------------------------------------
    > Scorcher24 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein zweites Passwort ist auch nur ein Passwort. Trotz zeitsensitiver
    > > Verwendung kann auch das abgefangen und automatisiert benutzt werden. Da
    > > finde ich einen Tap auf "Ja" sicherer, weil verschlüsselte Verbindung.
    > Ich
    > > habe einen FIDO Key. Da muss schon wer einbrechen und ihn klauen.
    > >
    > > Blizzard benutzt dieses System für Battle Net übrigens schon eine Weile.
    >
    > What? Da wird nur einmal am Anfang über eine verschlüsselte Verbindung der
    > Key (QR-Code) ausgetauscht. Ab dann laufen die Authenticator-Apps offline
    > und die Apps und der Server generieren über einen möglichst synchronen
    > Zeitrechner zur selben Zeit unabhängig und parallel das gleiche Token, ohne
    > es zu übertragen und das nur zeitlich beschränkt gültig ist. Soll heißen,
    > ein Token aus der Auth-App hat wenig mit einem normalen Passwort zu tun.
    > Wenn dann muss schon der Schlüssel, der einmalig getauscht wurde,
    > abgefangen werden. Die Wahrscheinlichkeit, dass das passiert, ist im
    > Vergleich dazu, ein Passwort zu ergaunern, sehr gering. Da die Auth-Apps
    > offline funktionieren würde ich sie meiner Meinung nach doch Prompts zu
    > bevorzugen. Man kann zusätzlich noch argumentieren, dass man das zweite
    > Gerät zur Bestätigung auch kapern kann... aber bei alle dem ist die
    > Wahrscheinlichkeit doch sehr gering.

    Der Code vom Authenticator kann wie ein gewöhnliches Passwort auch gephisht werden (der Angreifer muss sich einfach direkt einloggen und kann nicht beliebig lang warten). Ein ähnliches Problem besteht allerdings mit Prompts (der Angreifer phist Passwort vom Opfer, logged sich damit bei Google ein, User erhält Prompt, akzeptiert und Angreifer ist drin). Mit U2F von FIDO, meldet der Browser dem Stick, welche Website die Authentifizierung verlangt, was phishen verunmöglicht.

  9. Re: Vorteile zu GAuthenticator ?

    Autor: Nudelarm 15.07.17 - 23:43

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Jakelandiar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > v2nc schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Welchem Vorteil bietet mir dieses Verfahren im Vergleich mit der
    > > > GAuthenticator App außer ein paar Sekunden Komfort ?
    > >
    > > Keinen. Als ersatz dafür ist das auch nicht gedacht, wie man dem Text
    > > entnehmen kann sondern als Ersatz für eine SMS mit dem zweiten Code.
    >
    > Ja aber warum sollte man dann Prompts (zudem ich nichtmal eine App finde)
    > nutzen und nicht Google Authenticator der schon ewig unterstützt wird?

    Das nutzt man als Zweitfaktor wenn man eben keinen Authenticator nutzt. Wenn man bisher nur die SMS genutzt hat, sind die Prompts eine Alternative. Nicht für den Authenticator. Dafür benötigt man keine App, dass ist in Android integriert. Wenn du dich einlogst erscheint einfach automatisch auf deinem Handy der Login-Hinweis, den du entweder ablehnen oder bestätigen kannst.

  10. Re: Vorteile zu GAuthenticator ?

    Autor: My1 16.07.17 - 13:10

    ja da gibts welche.

    u.a. sind TOTPs mit einer Blankounterschrift gleichzusetzen, ergo die können gephisht werden
    des weiteren basieren diese auf einem shared secret, d.h. wenn jemand aufm Server die TOTP Secrets mitnimmt merkst du erstmal nix.

    und eben wenn deine uhr falsch geht, geht auch nix.

    aber es gibt auch vorteile

    bspw. dass TOTP ein komplett offener algo ist wo es wirklich für alles was gibt.

    man kann mit passender Hardware TOTP komplett Airgappen, was die sicherheit deutlich erhöhen kann.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Harting Electric GmbH & Co. KG, Espelkamp
  2. DEUTZ AG, Köln-Porz
  3. DPD Deutschland GmbH, Aschaffenburg
  4. TUI Group, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 12,85€ + 5€ FSK18-Versand
  2. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

  1. Globalfoundries: AMD nutzt künftig die 12LP-Fertigung
    Globalfoundries
    AMD nutzt künftig die 12LP-Fertigung

    Kommende Ryzen-CPUs und Vega-GPUs von AMD werden mit Globalfoundries' 12LP-Verfahren hergestellt. Anders als der Name es vermuten lässt, handelt es sich dabei um verbesserte 14-nm-Technik statt um einen echten Zwischenschritt zum 7-nm-Prozess.

  2. Pocketbeagle: Beaglebone passt in die Hosentasche
    Pocketbeagle
    Beaglebone passt in die Hosentasche

    Beagleboards stellt ein neues Mitglied der Beaglebone-Familie vor. Der kleine Bastelrechner taugt auch als Schlüsselanhänger - allerdings ist er dafür vergleichsweise teuer.

  3. Fifa 18 im Test: Kick mit mehr Taktik und mehr Story
    Fifa 18 im Test
    Kick mit mehr Taktik und mehr Story

    Konami hat mit PES 2018 spielerisch vorgelegt, Electronic Arts zieht jetzt mit Fifa 18 nach - und verspricht ebenfalls tiefgreifende Neuerungen. Erfahrene Kicker wissen aber natürlich schon, dass die Veränderungen einmal mehr im Detail zu finden sind.


  1. 08:11

  2. 07:21

  3. 18:13

  4. 17:49

  5. 17:39

  6. 17:16

  7. 17:11

  8. 16:49