1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google, Apple und Mailaccounts: Zwei…

2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: IchBIN 10.12.16 - 23:38

    Wenn man einen Dienst (z.B. Google Authenticator, die Apple-Lösung oder OpenID) dafür benutzt, kennt dieser Dienst alle Dienste (und auch den Benutzernamen oder andere Identifikatoren bei diesen), bei denen man sich darüber anmeldet.
    Bei manchen Diensten möchte man auch mit seinem Namen angemeldet sein - bei anderen jedoch lieber anonym.

    Dazu zählt in meinem Fall auch das Smartphone, bzw. der Google-Account darauf, der immer ein anonymer "Wegwerf-Account" ist - wenn ich das Handy neu einrichte, oder auf ein anderes Gerät wechsle, dann gibts ein neues Google-Konto. Durch XPrivacy sichere ich schon so viel wie möglich ab, so dass Google diese Wegwerfaccounts nicht meiner Person zuordnen kann (ich lasse sogar WLAN aus, aber in erster Linie, weil ich mit 30GB LTE Volumen kein WLAN brauche und es Akku spart - der zusätzliche Bonus Privatsphäre ist mir aber dabei dann auch aufgefallen). Aus diesem Grund wäre auch ein Apple-Gerät nichts für mich, denn diese sind so sehr mit der Herstellercloud verbunden, dass eine solche anonyme Nutzung nicht möglich ist.

    Um bei dem Beispiel Google-2FA zu bleiben, wenn ich mich darüber bei Amazon anmelde, möchte ich das aber mit meinem echten Namen machen, denn die müssen ja meine Adresse, Bankverbindung etc. kennen - aber zugleich kann dann Amazon Google diese Daten mitteilen (oder sie sie "minen" lassen, durch irgend ein Vertragsabkommen oder was), denn in den USA gibt es ja bekanntlich keine Datenschutzgesetze, wie bei uns - und in dem Fall weiß Google dann, welcher echte Name zu dem Fake-Account gehört (und darüber, welche früheren Fake-Accounts auf anderen Smartphones dieselben Benutzerkonten authentifiziert haben, können sie die auch alle derselben Person zuordnen). Sowas wäre ein absolutes No-Go.

    Wie das bei Auth-Tokens wie dem yubikey ist, habe ich noch nicht ganz verstanden, aber irgendwie muss der Key ja auch auf die Person, die ihn benutzt, "geprägt" sein, also mit der Person verknüpft. Schließlich kann man nicht zur Erstellung eines Einmalpasswortes einen beliebigen yubikey in die USB-Buchse rein stecken, und dann ist man authentifiziert - das würde ja dem Prinzip widersprechen (das könnte dann auch jeder Angreifer tun). Also kennen die Seiten, bei denen man sich einloggt, irgend eine eindeutige ID eines Yubikey, der mit dem Account yx verknüpft ist und deshalb als sicher angesehen wird. Nun genügt es also, wenn diese Website-Betreiber alle die yubikey-IDs untereinander abgleichen, und dann wissen sie, dass der Account xy bei Website a zu derselben Person (demselben yubikey) wie der Acount yz bei Website b gehört. Klar, das deutsche Datenschutzgesetz mag sowas verhindern, aber angenommen, die Webseiten nutzen beide die AWS-Cloud für ihre Dienste, dann sind die Daten bereits in den USA, und können dann sogar von Amazon direkt "gemined" werden (und Amazon kennt meinen realen Namen, und meinen yubikey ebenso), also ist die Anonymität wieder dahin.

    Dasselbe gilt natürlich auch für eine Handynummer bei einer 2FA per SMS, das würde ich maximal noch bei Diensten akzeptieren, die meinen realen Namen kennen sollen, aber auch nur, wenn ich ihnen auch meine Handynummer in den Kundendatensatz schreiben würde.

    Also, alles in allem ist 2FA nichts, was man besonders gerne benutzen würde - aber nicht, weil es irgendwie schwierig, aufwändig oder sonstiges ist, sondern weil es die Anonymität im Netz unterbindet, und die Nutzer trackbar macht.

    Oder wie sonst funktioniert das mit den Hardware-Auth-Tokens? Denen spreche ich noch einen Rest an Potenzial zu, Anonmyität zu ermöglichen (alle anderen Methoden scheitern daran kläglich), aber ich gebe zu, wenn sie das tun, dann verstehe ich ihre Funktion nicht gut genug, um mir vorstellen zu können, dass (und wie) sie es tun.

  2. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: Bessunger 11.12.16 - 00:55

    Ich glaube du solltest mal tief durchatmen und dich nochmal mit der Thematik befassen, denn du hast da scheinbar einiges nicht ganz richtig verstanden. OpenID z.B. hat in erster Linie nichts mit 2FA zu tun.

    Du verbreitest hier gefährliches Halbwissen, denn die 2FA ist an sich extrem gut und wirksam, vor allem für die Mehrheit der Leute die schwache und immer die selben Passwörter verwenden.

    2FA nutze ich z.B. mit einer hervorragenden iPhone App von einem freien deutschen Entwickler die komplett offline läuft. 2FA braucht keinen Google Authenticator Account / App.
    2FA kann grundsätzlich offline und ohne Account oder sonst irgendwas funktionieren.

    Mein NAS (Synology), Amazon Account, Dropbox etc. habe ich alle abgesichert und die Schlüssel zur Generierung der Tokens sind nicht an einen Dienst wie Google Authenticator geknüpft.

  3. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: IchBIN 11.12.16 - 02:10

    Wie funktioniert eine 2-Faktor-Authentifizierungs-App denn bitte komplett offline? Wie kann das überhaupt funktionieren?

    Ansonsten: Ich bin sehr offen für Möglichkeiten der 2-Faktor-Authentifizierung, die die Anonymität (*allen* Beteiligten gegenüber - außer mir selbst natürlich ;)) bewahren, denn das war für mich bisher immer der Hinderungsgrund. Leider gehen die meisten Artikel zu dem Thema überhaupt nicht darauf ein.

  4. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: whitbread 11.12.16 - 12:08

    Ich muss hier vollzustimmen!

    G**gle Authenticator als Mittel zur 2-Faktor-Authentifizierung ist aus Gründen des Datenschutzes absolut abzulehnen!!!

  5. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: tyraenor 11.12.16 - 13:48

    IchBIN schrieb:
    --------------------------------------------------------------------------------
    > Wie funktioniert eine 2-Faktor-Authentifizierungs-App denn bitte komplett
    > offline? Wie kann das überhaupt funktionieren?
    >
    > Ansonsten: Ich bin sehr offen für Möglichkeiten der
    > 2-Faktor-Authentifizierung, die die Anonymität (*allen* Beteiligten
    > gegenüber - außer mir selbst natürlich ;)) bewahren, denn das war für mich
    > bisher immer der Hinderungsgrund. Leider gehen die meisten Artikel zu dem
    > Thema überhaupt nicht darauf ein.

    Das ist ganz einfach, der angebotene QR-Code beim aktivieren der 2FA, enthält alle Daten, die notwendig sind, um einen Code Algorithmus zu erzeugen. Das bedeutet, die Codes sind berechnet und werden nicht irgendwo abgerufen. Daher ist dafür auch keinerlei Internetverbindung erforderlich. Das funktioniert nach dem selben Prinzip, wie früher die RSA Hardware Tokens.
    Auch der Google Authenticator funktioniert so. Daher ist das ablehnen dieser App, aufgrund von Datenschutz-Sorgen, einfach unverständlich. Einfach der App keine Rechte für den Zugriff auf die Internetverbindung geben, wenn man da Paranoia hat, oder eine reine Offline App verwenden.

  6. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: IchBIN 11.12.16 - 15:15

    tyraenor schrieb:
    --------------------------------------------------------------------------------
    > Das ist ganz einfach, der angebotene QR-Code beim aktivieren der 2FA,
    > enthält alle Daten, die notwendig sind, um einen Code Algorithmus zu
    > erzeugen. Das bedeutet, die Codes sind berechnet und werden nicht irgendwo
    > abgerufen. Daher ist dafür auch keinerlei Internetverbindung erforderlich.
    > Das funktioniert nach dem selben Prinzip, wie früher die RSA Hardware
    > Tokens.
    Dieses Prinzip kenne ich nicht, daher muss ich genau nachfragen: Wer oder was erstellt den QR-Code, und was passiert damit dann genau? Welche Daten sind in dem QR-Code enthalten, wie kann sowohl die Legitimität als auch die Anonymität sichergestellt werden?

    > Auch der Google Authenticator funktioniert so. Daher ist das ablehnen
    > dieser App, aufgrund von Datenschutz-Sorgen, einfach unverständlich.
    > Einfach der App keine Rechte für den Zugriff auf die Internetverbindung
    > geben, wenn man da Paranoia hat, oder eine reine Offline App verwenden.

    Zumindest mit der seit Android 6.0 enthaltenen Rechteverwaltung kann man das Recht auf Internetzugriff keiner App enziehen, diese Option existiert schlicht nicht (schließlich muss auch eine Taschenlampen-App Werbeanzeigen nachladen dürfen), d.h. dafür bräuchte man dann Xprivacy. Das hab ich zwar, aber halte ich trotzdem für eine unbefriedigende Lösung.

    Ich bitte um eine genauere Erklärung, wie das mit dem QR-Code funktioniert (welche Seite den erstellt, anhand von welchen Daten er erstellt wird, und was damit weiterhin passiert, also wie man diesen für 2FA benutzt).

  7. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: Bessunger 11.12.16 - 16:59

    Ich glaube du kannst eine Suchmaschine deiner Wahl benutzen dich bezüglich der verschiedenen 2FA Möglichkeiten zu informieren.

    Viele Verfahren sind zeitgesteuert. Der QR Code, der letztendlich ja auch nur ein String ist, enthält alle Informationen die der 2FA Client benötigt, um zukünftig die Einmalpasswörter (OTPs) zu generieren. Diesen QR Code bzw. String erstellt der Server / Anbieter, also z.B. Amazon. Das Wichtigste darin ist wahrscheinlich der Startwert bzw. das "Geheimnis" der Berechnungssequenz, der für dich ausgewürfelt wurde. Außerdem enthält er noch noch den zu verwendeten Algorithmus, die Gültigkeitsdauer und die Länge der OTPs und ggf. den Nanem des Anbieters und / oder deines Accounts.
    Mithilfe dieser Sequenz und z.B. der aktuellen Uhrzeit kann dann dein Client und der Server ein (zwar dasselbe OTP) berechnen, welches für einen gewissen Zeitraum (30-60s häufig) gültig ist.

    Dieser Client muss nicht von Google sein, wahrscheinlich könntest du sogar auf dem Papier dein Einmalpasswort ausrechnen, wenn du schnell genug bist. Oder deine eigene Android App compilieren, gibt bestimmt Open Source Clients.

  8. Re: 2-Faktor-Authentifizierung ist die Antithese von Anonymität im Netz

    Autor: McWiesel 12.12.16 - 19:56

    > G**gle Authenticator als Mittel zur 2-Faktor-Authentifizierung ist aus
    > Gründen des Datenschutzes absolut abzulehnen!!!


    Jaja ... Google Bashing mal wieder. Google ist immer noch einer der wenigen Unternehmen, die Datenschutz und Datensicherheit AKTIV bewerben und anbieten. Und bis auf Android ist alles, was Google macht, verdammt professionell und funktioniert. Ich möchte nicht wissen, wie ein deutsches "Google Maps" aussähe - wahrscheinlich 4,99¤ pro Navigation, die so mies ist, dass ich lieber die Landkarte nehme (vgl. typische Auto-Navis made in Germany).

    Immerhin liegt auch Google ziemlich transparent offen, was sie mit den Daten machen und woher sie sie beziehen. Vieles kann man abschalten.

    Sicher kann man das alles anzweifeln, aber die eigentliche Datensicherheit ist bei Googlemail & Co um das dutzendfache besser als bei irgendwelchen deutschen Groß-Anbietern, wo erst nach massiven Druck (u.a. durch Google!) wenigstens mal unverschlüsselte pop & Co deaktiviert wurde.

    Und daher ist ein 2FA sehr gut bei Google aufgehoben. Da muss ich keine Sorge haben, dass der Dienst morgen von Chinahackern hochgenommen wurde, weil irgndeinem aktionärsgetriebenen BWL-Heini mal wieder die Kosten für IT-Security zu hoch waren.

  9. Re: [OT] Google-Bashing, oder so

    Autor: IchBIN 12.12.16 - 20:32

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Jaja ... Google Bashing mal wieder. Google ist immer noch einer der
    > wenigen Unternehmen, die Datenschutz und Datensicherheit AKTIV bewerben und
    > anbieten.
    Naja, das Problem ist, dass sie die Daten selbst haben wollen, um sie schützen zu können. Das bedeutet im Umkehrschluss, dass sie auch die Möglichkeit haben, diese zu missbrauchen - selbst wenn sie es derzeit nicht tun. Dieses Risiko ist mir persönlich bereits zu hoch.

    > Und bis auf Android ist alles, was Google macht, verdammt
    > professionell und funktioniert. Ich möchte nicht wissen, wie ein deutsches
    > "Google Maps" aussähe - wahrscheinlich 4,99¤ pro Navigation, die so mies
    > ist, dass ich lieber die Landkarte nehme (vgl. typische Auto-Navis made in
    > Germany).
    Stimmt. Wobei die Navigations-App "HereWeGo" (früher HERE Maps), ursprünglich von Nokia entwickelt, und inzwischen soweit ich weiß von einem Zusammenschluss deutscher Autohersteller gekauft (Audi, Mercedes usw. sind da glaube ich dran beteiligt), ziemlich gut funktioniert und kostenlos ist.

    > Immerhin liegt auch Google ziemlich transparent offen, was sie mit den
    > Daten machen und woher sie sie beziehen. Vieles kann man abschalten.
    Ich finde überhaupt nicht, dass sie das transparent offen legen. In den Datenschutzbestimmungen stehen in der Regel nur Allgemeinplätze, und es gibt keine Möglichkeit zu erfahren, ob sie z.B. auch biometrische Profile ihrer Nutzer anlegen anhand von Spracheingaben (Stimm-Profil) oder Gesichtsbildern (Videotelefonie etc).
    Es ist auch nicht bekannt, ob sie solche Profildaten dazu benutzen, mehrere Accounts ein und derselben Person zuzuordnen.
    Und das Problem mit der VDS, die automatisch in jedem Android-Handy enthalten ist, spricht auch keiner an, obwohl das hierzulande eigentlich sogar illegal ist. (statt dessen wird sich über Unwichtigkeiten wie StreetView aufgeregt, womit sich Deutschland vor dem Rest der Welt lächerlich macht).

    Nur um mal die Fragen, die mich bzgl. des Google-Datenschutzes am meisten interessieren, aus dem Stegreif aufzuschreiben. Dazu habe ich leider nichts in deren Datenschutzbestimmungen gefunden.

    > Sicher kann man das alles anzweifeln, aber die eigentliche Datensicherheit
    > ist bei Googlemail & Co um das dutzendfache besser als bei irgendwelchen
    > deutschen Groß-Anbietern,
    Deutsche Anbieter sind an das BDSG gebunden, deshalb haben die schon mal von vornherein einen Vertrauensbonus - wenn sie das Gesetz brechen würden, würden sie sich schließlich strafbar machen. Google hingegen hat kein Gesetz, was

    > wo erst nach massiven Druck (u.a. durch Google!)
    > wenigstens mal unverschlüsselte pop & Co deaktiviert wurde.
    Naja, das wurde wohl durch die Snowden-Leaks ausgelöst, und davor verlief die Kommunikation zwischen den Google-Rechenzentren auch noch unverschlüsselt ab. Also, diese Enthüllungen haben bei allen Anbietern zu etwas mehr Sicherheit beigetragen.

    > Und daher ist ein 2FA sehr gut bei Google aufgehoben. Da muss ich keine
    > Sorge haben, dass der Dienst morgen von Chinahackern hochgenommen wurde,
    > weil irgndeinem aktionärsgetriebenen BWL-Heini mal wieder die Kosten für
    > IT-Security zu hoch waren.
    Unter diesem Gesichtspunkt ist das zwar so, aber wenn eine Chance besteht, dass Google dadurch weiß, bei welchem Dienst (und dort unter welchem Benutzernamen) ich mich darüber anmelde, sind das bereits mehr Daten, als ich Google anzuvertrauen bereit wäre. Deshalb - nein.



    1 mal bearbeitet, zuletzt am 12.12.16 20:32 durch IchBIN.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Fresenius Medical Care, Bad Homburg vor der Höhe
  2. Merz Pharma GmbH & Co. KGaA, Dessau-Roßlau
  3. SENSIS GmbH, Viersen
  4. KfW Bankengruppe, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lords of the Fallen Game of the Year Edition für 2,50€, Toybox Turbos für 3,33€, Heavy...
  2. (u. a. 2in1 Convertible Bluetooth TV-Soundbar mit Subwoofer für 95,99€, Party-Soundsystem für...
  3. 39,99€
  4. (u. a. Neff Spülmaschine 60cm für 549€, Bosch Spülmaschine 60cm für 319€, Siemens...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme