1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google Authenticator: 2FA-Codes…

Kleine Korrektur

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Kleine Korrektur

    Autor: fosphatic 09.03.20 - 11:59

    Alle 30 Sekunden wird dieser Code geändert und somit ist der OTP Code nur 30 Sekunden lang gültig und nicht eine Minute. Davon abgesehen sollte man eventuell nicht nebenbei erwähnen dass es noch kein bekannten Fall es gibt wo es tatsächlich schon ausgenutzt werden konnte.

    Meiner Ansicht nach ist diese Panik Macherei ist nicht seriös, OTP von Google Authentificator ist weiterhin ein sehr gutes open source Produkt was die Sicherheit für online Konten ungemein erhöht und kann weiterhin bedenkenlos weiter empfohlen werden.

    Wer das ganze nochmals Sicherer haben möchte, kann die Authentificator App von Yubico verwenden und das ganze mit einem zusätzlichen Sicherheitslayer der auf einem Hardware Yubikey basierend. Das würde selbst für ein Trojaner wie Cerberus das Leben schwer machen um den 30 Sekunden gültigen Key herauszubekommen.



    1 mal bearbeitet, zuletzt am 09.03.20 12:04 durch fosphatic.

  2. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 12:15

    Hallo fosphatic,

    die TOTP-Codes werden zwar üblicherweise für 30 Sekunden generiert, die Server nehmen meist aber noch etwas ältere Codes an - daher hat ein Angreifer je nach Anbieter etwas mehr Zeit als die 30 Sekunden.

    Viele Grüße
    Moritz

  3. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 12:19

    Hallo fosphatic,

    um Missverständnisse vorzubeugen, habe ich die Stelle noch mal klarer formuliert.

    Viele Grüße
    Moritz

  4. Anwendung // Bezug zu PSD2

    Autor: DieTatsaechlicheDimensionDesGanzen 09.03.20 - 12:42

    Hallo Moritz/Golem,

    1) weder mein Online-Banking noch irgendwelche meiner Online-Accounts scheinen den "Google Authenticator" zu nutzen.

    Wo und durch wen findet der Dienst denn Anwendung?
    Selbst Wikipedia gibt hier keine konkreten Beispiele ...


    2) Wäre es nicht ein interessanter Ansatz zu hinterfragen, inwieweit die Banking-Apps in DE oder EU nach der Verpflichtung zur 2FA (PSD2) im Jahr 2019 in diesem Bezug abschneiden?

    Sind die Smartphone-Software-TAN-Genratoren von Commerzbank, Deutscher Bank, Postbank, etc denn sicher vor Screenshots?

    .



    1 mal bearbeitet, zuletzt am 09.03.20 12:44 durch DieTatsaechlicheDimensionDesGanzen.

  5. Re: Anwendung // Bezug zu PSD2

    Autor: Socke81 09.03.20 - 12:50

    1. So gut wie alles was mit Bitcoins zutun hat benutzt das. Epic (Konkurrent von Steam) nutzt das auch.

  6. Re: Anwendung // Bezug zu PSD2

    Autor: mxcd 09.03.20 - 12:54

    LastPass benutzt das.

  7. Re: Anwendung // Bezug zu PSD2

    Autor: fn.ord 09.03.20 - 12:57

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Wo und durch wen findet der Dienst denn Anwendung?
    > Selbst Wikipedia gibt hier keine konkreten Beispiele ...
    twofactorauth.org
    www.dongleauth.info

    Bei twofactorauth steht auf der Webseite nicht, ob der "Software Token" auf TOTP basiert.
    Dafür gibts dongeauth.info oder man muss in den Code der Webseite schauen:
    github.com./2factorauth/twofactorauth/search?q=totp



    2 mal bearbeitet, zuletzt am 09.03.20 13:12 durch fn.ord.

  8. Re: Anwendung // Bezug zu PSD2

    Autor: ashahaghdsa 09.03.20 - 13:01

    Ich kann meinen Login beim Webhoster damit absichern.

  9. Re: Anwendung // Bezug zu PSD2

    Autor: z3r0t3n 09.03.20 - 13:03

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Hallo Moritz/Golem,
    >
    > 1) weder mein Online-Banking noch irgendwelche meiner Online-Accounts
    > scheinen den "Google Authenticator" zu nutzen.
    >
    > Wo und durch wen findet der Dienst denn Anwendung?
    > Selbst Wikipedia gibt hier keine konkreten Beispiele ...
    >

    Es geht hier lediglich um einen Standard namens TOTP (Wikipedia: Time-based_One-time_Password_Algorithmus), dieser wird von vielen Apps unterstützt und auch nur um diese Apps geht es hier.

    Welche Implementierung da auf Serverseite dahintersteht ist für das genannte Problem irrelevant.

  10. Re: Kleine Korrektur

    Autor: fosphatic 09.03.20 - 14:10

    Hallo Moritz,

    jetzt ist das noch schwammiger ausgedrückt. Hier mal ein Auszug aus wiki:

    Zitat:
    "Die absolute Uhrzeit auf dem Gerät wie einem Mobiltelefon oder Laptop, mit dem das Einmalpasswort erzeugt wird, muss bis auf wenige Sekunden genau der Uhrzeit am Server entsprechen. Die Gültigkeitsdauer beträgt 30 Sekunden, je nach konkreter Implementierung am Server wird auch noch das TOTP aus dem Zeitfenster unmittelbar vor dem aktuellen Zeitfenster akzeptiert, womit sich eine Spanne von weniger als 1 Minute ergibt. Liegt eine größere Abweichung der beiden Uhrzeiten zwischen dem Gerät des Benutzers und dem Server vor, ist ein Login mittels TOTP nicht mehr möglich."

    Somit wird kein Server wird wenige Minuten diesen Code annehmen, sondern meiner persönlichen Erfahrung nach, ist höchstens eine Toleranz von maximal 15 Sekunden zwischen Mobilgerät uns Server vorgesehen und dadurch sollte ein Code nicht länger als 45 Sekunden gültig sein. Allerdings auf keinen Fall mehrere Minuten...



    1 mal bearbeitet, zuletzt am 09.03.20 14:11 durch fosphatic.

  11. Re: Kleine Korrektur

    Autor: Iruwen 09.03.20 - 14:13

    Man kann selbst entscheiden wie viele Schritte in die Vergangenheit zulässig sein sollen, können also auch mehrere Minuten sein.

  12. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 15:37

    Hallo fosphatic,

    tatsächlich können die Anbieter entscheiden, welchen zeitlichen intervall sie akzeptieren, was durchaus wenige Minuten sein können. Ich habe die Stelle durch eine ausführliche Erklärung ersetzt.

    Viele Grüße
    Moritz

  13. Re: Kleine Korrektur

    Autor: Prypjat 10.03.20 - 13:51

    Ich nutze den Google Authenticator für Uplay und Epic.
    Sobald der neue Code generiert ist, wird der alte nicht mehr angnommen.
    Bei diesen beiden Diensten hat man wirklich nur die 30 Sekunden Zeit (+ - 1 Sekunde).

    Angenommen der Code wird abgegriffen, dann müssen die Bösen Buben und deren Technik noch immer schneller sein als ich. Wie lange benötigt man um einen Sechsstelligen Code einzugeben?
    Vielleicht so 2 bis 3 Sekunden? Und nach der Eingabe wird dieser Code nicht ein zweites mal akzeptiert.

    Ich bin der Meinung, dass die Sicherheit immer noch gegeben ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Dr. Hobein (Nachf.) GmbH, med. Hautpflege / EUBOS, Meckenheim
  2. Komm.ONE Anstalt des öffentlichen Rechts, verschiedene Standorte
  3. Simovative GmbH, München
  4. Kommunale Versorgungskassen Westfalen-Lippe, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 10,48€
  2. (-29%) 19,99€
  3. 4,99€
  4. (-45%) 21,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de