1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google, Apple und Mailaccounts: Zwei…

Externes Gerät? Token?

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Externes Gerät? Token?

    Autor: eXeler0n 05.12.16 - 17:48

    Hallo,

    ich habe bisher das bei vielen Webseiten auch über eine App.
    Leider passt mir das nicht wirklich, da ich ja bei einigen auch über das Smartphone zugreife, auf welchem die App auch ist. Ist für mich iwie sinnfrei dann...

    Gibt es nicht zufälig ein kleines Gerät für den Schlüsselbund. Display, Scrollrad um die Seite auszuwählen, gut ist.
    Irgendwie müssen da die Codes drauf, klar (Kamera macht wenig Sinn bei so einem Gerät). Ggf txt Datei in die man die Codes kopiert?

    Gibt es sowas?

  2. Re: Externes Gerät? Token?

    Autor: My1 05.12.16 - 22:36

    ich fände es auch geil wenn es sowas gäbe, vlt mit cam um den code zz scannen oder whatever, man könnte bspw n extrem billiges Android phone nehmen, nie mit dem internet verbinden und fertig.

  3. Re: Externes Gerät? Token?

    Autor: eXeler0n 05.12.16 - 23:04

    Ich dachte auch erst an eine Cam, aber das wird dann teuer...
    Gegen ein Smartphone spricht die Größe. Ich hätte gerne etwas für den Schlüsselbund, wie bisherige Tokens. Ggf etwas größer. So einen habe ich noch für SW:Tor.

  4. Re: Externes Gerät? Token?

    Autor: My1 05.12.16 - 23:14

    eXeler0n schrieb:
    --------------------------------------------------------------------------------
    > Ich dachte auch erst an eine Cam, aber das wird dann teuer...
    > Gegen ein Smartphone spricht die Größe. Ich hätte gerne etwas für den
    > Schlüsselbund, wie bisherige Tokens. Ggf etwas größer. So einen habe ich
    > noch für SW:Tor.

    also Phototan geräte haben auch ne cam (logisch) und kosten je nach bank bspw nur 25 Euro

    für den bund wird doof, aber vor allem die keys in ne einfache textfile ist auch wieder dämlich da wenn man schon nen token nutzt sollten die keys auch fein unkopierbar sein.

  5. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 09:37

    fehler von mit es sind 15, nicht 25¤.
    und da es aber ausschlielich QRs lesen können muss reicht sogar ne S/W Cam aus die nicht die beste Quali hat.

  6. Re: Externes Gerät? Token?

    Autor: eXeler0n 06.12.16 - 09:40

    Das mit der Textfile wäre nur zum Einrichten der Seiten gedacht -> anstatt QR Code.
    Man kopiert einfach den 60-stelligen Code und die Bezeichnung in eine Textdatei, bspw:

    golem.de::asd123...

    Danach liest das Gerät die Textdatei, speichert sich den Code sicher ab um die Keys zu erzeugen und leert die Textdatei wieder.

    Hätte den Vorteil, dass man so auch Einträge updaten kann oder löschen kann.

    golem.de::DELETE
    golem.de::123asd...

    Man könnte das Ding dann auch gleich am USB Port wieder aufladen. Und natürlich wäre es günstiger und kleiner.
    Leider bin ich kein ITler und kann sowas nicht bastel, sonst würde ich es ja mal probieren ^^

  7. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 09:45

    okay wenn die textfile wieder verschwindet (unwiederherstellbar versteht sich) wäre es eine möglichkeit.

    aber air gap ist dennoch am sichersten.



    1 mal bearbeitet, zuletzt am 06.12.16 09:45 durch My1.

  8. Re: Externes Gerät? Token?

    Autor: eXeler0n 06.12.16 - 11:06

    Ggf. einfach ein RAM Speicher der nur mit Strom versorgt wird, wenn das Ding am USB Port hängt?
    Wie gesagt, ist zwar eine IT Seite, ich bin aber eher Laie, bzw. privat interessiert.

    Kamera wäre natürlich besser, hat aber drei Nachteile:

    1. Höherer Stromverbrauch
    2. Größeres Gehäuse nötig
    3. Teurer

    Ich wäre aber bereit für jede der beiden Variante auch 30-50 ¤ zu zahlen.

    EDIT:
    Dashier wäre ggf. eine Möglichkeit. Kein SIM Karte, kein WLAN, alles ausschalten. Dann hat es ggf. auch eine passable Akkulaufzeit?!
    [www.elephonestore.com]



    2 mal bearbeitet, zuletzt am 06.12.16 11:15 durch eXeler0n.

  9. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 11:12

    bei deinem Konzept muss man aber schauen dass die codes dann auch so gespeichert werden dass diese nicht über USB abrufbar sind.

    also im Prinzip bräuchte man nur ein auf QR-Codes angepasstes Phototan gerät.

    und so groß scheinen die nicht zu sein.

    und die laufen auf batterie.

    und Phototan geräte hab ich bspw bei der norisbank für 15¤ gesehen sollte also kein problem sein.

    und der Stromverbrauch der Cam dürfte relativ unwesentlich sein, denn immerhin muss es keine 80 Gigapixel (ich weiß übertrieben aber du weißt was ich meine) Kamera sein und in Farbe müsste die auch nicht mal sein, und nicht zu vergessen, wie oft braucht man die Cam nochmal? also iirc eher selten.

  10. Re: Externes Gerät? Token?

    Autor: eXeler0n 06.12.16 - 11:20

    Okay, dann hätten wir jetzt unser Gerät:

    - Kamera für QR Codes
    - Erzeugung 2FA Codes
    - Kleines Display für 6 stelligen Code Anzeige (+ Namen)
    - Knopf oder Drehrad zum Durchwählen (Drehrad an der Außenseite wäre mir lieber)
    - Portabel

    Das hier ist auch interessant, schleppt aber alle Passwörter mit. Das will ich widerrum nicht.
    [www.kickstarter.com] Mooltipass Mini

    Jetzt muss nur noch einer das Gerät bauen und verkaufen... Oder gibt es sowas schon?



    1 mal bearbeitet, zuletzt am 06.12.16 11:20 durch eXeler0n.

  11. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 11:38

    also ich weiß ncht wie viel so n Phototan gerät schafft aber wenn das ding von den specs und allem reicht müsste man nur so ne geräte nehmen und die software anpassen. und während mooltipass nett aussieht und mit smartcards echt nicht schlecht dasteht, ist gerade der Sinn der Air gap für OTPs wieder im jenseits.

  12. Re: Externes Gerät? Token?

    Autor: NuTSkuL 06.12.16 - 11:43

    Warum überhaupt so kompliziert? Wenn man es schaffen würde den Login Prozess teilweise zu vereinheitlichen, könnte man doch auf die bisherigen (Firmen) Token zurück greifen. extrem simpel und IMHO ausreichend sicher für den normal Verbraucher.
    Hab meinen kleinen Firmen Token immer am Schlüsselbund. Generiert automatisch jede Minute nen neuen 6 stelligen code, den man hinten an sein Passwort dran hängt.
    müsste man halt ne Schnittstelle schaffen, die den Code mit nem externen Anbieter Abgleich und nur wenn beide Anbieter ihr okay geben, kommt man rein.

    tatsächlich kenne ich mich mit den Thema nicht weiter aus, wäre für meine Bedürfnisse aber mehr als ausreichend

  13. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 11:48

    NuTSkuL schrieb:
    --------------------------------------------------------------------------------
    > Warum überhaupt so kompliziert? Wenn man es schaffen würde den Login
    > Prozess teilweise zu vereinheitlichen, könnte man doch auf die bisherigen
    > (Firmen) Token zurück greifen. extrem simpel und IMHO ausreichend sicher
    > für den normal Verbraucher.
    > Hab meinen kleinen Firmen Token immer am Schlüsselbund. Generiert
    > automatisch jede Minute nen neuen 6 stelligen code, den man hinten an sein
    > Passwort dran hängt.
    > müsste man halt ne Schnittstelle schaffen, die den Code mit nem externen
    > Anbieter Abgleich und nur wenn beide Anbieter ihr okay geben, kommt man
    > rein.
    >
    > tatsächlich kenne ich mich mit den Thema nicht weiter aus, wäre für meine
    > Bedürfnisse aber mehr als ausreichend

    es gibt nur ein Problem, der Token ist shared secret. deswegen haste den Token von der Firma da da kein problemin der Übertragung des Secrets ist da der einfach bei der Herstellung reingesetzt wird und die Firma das direkt bekommt. die interessante Frage ist ob der Firmentoken nach irgendeinem Standard arbeitet.

    das Zweite problem ist wenn der Token mit Counter Arbeitet wirds doof wenn man mehrere Dienste nutzt weil wenn man sich bspw jeden tag bei dienst A B und C einloggt aber dienst D n paar Monate Fallen lässt hat dienst D keinen aktuellen Counter.

    Das Problem an shared Secrets ist dass Alle Dienste Zugriff auf das Secret haben, und das Secret nicht gehasht werden kann, ergo, wenn ein dienst gehackt wurde ist 2FA bei allen tot.

    deswegen gibt es 2FA idr so dass der Anbieter einem für jeden Dienst ein anderen Zufällig generiertes Secret vorgibt.



    1 mal bearbeitet, zuletzt am 06.12.16 11:55 durch My1.

  14. Re: Externes Gerät? Token?

    Autor: eXeler0n 06.12.16 - 13:43

    Also braucht man doch wieder ein Gerät/Token, dass es so noch nicht am Markt gibt?

  15. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 14:04

    eben wie gesagt man könnte wenn die specs reichen ein Phototan Gerät softwaremäßig anpassen und die gibts ja schon für 15¤ also recht günstig.

    ich meine das hat ja alles was man braucht, sicheren speicher für Geheimnisse, ne cam und n Display-

    das Problem ist dass die meisten bisherigen Lösungen dieser Tokens wie bspw von ner Firma nicht für Self-Provisioning geeignet sind, die einzige (dumme) lösung wäre die 2FA auf so nen hersteller outsourcen und den die ganzen Prüfungen machen lassen. ist halt nur doof wenn der Server offline oder eingestellt ist.

  16. Re: Externes Gerät? Token?

    Autor: eXeler0n 06.12.16 - 14:06

    Wäre eine Idee für Kickstarter so ein Gerät.
    Wenn ich jetzt Ahnung von der Marterie hätte...

  17. Re: Externes Gerät? Token?

    Autor: My1 06.12.16 - 14:12

    da es im Besten Fall nur ne Softwareabwandlung braucht bräuchte man ggf nicht mal Kickstarter, die Hardware würde es ja schon geben.

  18. Re: Externes Gerät? Token?

    Autor: eXeler0n 06.12.16 - 20:36

    Nur wer macht das? :-D

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)
  2. Possling GmbH & Co. KG, Berlin
  3. DeRisk GmbH, Neu Ulm, Germersheim, Ulm, Leinfelden-Echterdingen, Affalterbach
  4. Universitätsklinikum des Saarlandes, Homburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme