1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google Authenticator: 2FA-Codes…

Kleine Korrektur

  1. Thema

Neues Thema Ansicht wechseln


  1. Kleine Korrektur

    Autor: fosphatic 09.03.20 - 11:59

    Alle 30 Sekunden wird dieser Code geändert und somit ist der OTP Code nur 30 Sekunden lang gültig und nicht eine Minute. Davon abgesehen sollte man eventuell nicht nebenbei erwähnen dass es noch kein bekannten Fall es gibt wo es tatsächlich schon ausgenutzt werden konnte.

    Meiner Ansicht nach ist diese Panik Macherei ist nicht seriös, OTP von Google Authentificator ist weiterhin ein sehr gutes open source Produkt was die Sicherheit für online Konten ungemein erhöht und kann weiterhin bedenkenlos weiter empfohlen werden.

    Wer das ganze nochmals Sicherer haben möchte, kann die Authentificator App von Yubico verwenden und das ganze mit einem zusätzlichen Sicherheitslayer der auf einem Hardware Yubikey basierend. Das würde selbst für ein Trojaner wie Cerberus das Leben schwer machen um den 30 Sekunden gültigen Key herauszubekommen.



    1 mal bearbeitet, zuletzt am 09.03.20 12:04 durch fosphatic.

  2. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 12:15

    Hallo fosphatic,

    die TOTP-Codes werden zwar üblicherweise für 30 Sekunden generiert, die Server nehmen meist aber noch etwas ältere Codes an - daher hat ein Angreifer je nach Anbieter etwas mehr Zeit als die 30 Sekunden.

    Viele Grüße
    Moritz

  3. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 12:19

    Hallo fosphatic,

    um Missverständnisse vorzubeugen, habe ich die Stelle noch mal klarer formuliert.

    Viele Grüße
    Moritz

  4. Anwendung // Bezug zu PSD2

    Autor: DieTatsaechlicheDimensionDesGanzen 09.03.20 - 12:42

    Hallo Moritz/Golem,

    1) weder mein Online-Banking noch irgendwelche meiner Online-Accounts scheinen den "Google Authenticator" zu nutzen.

    Wo und durch wen findet der Dienst denn Anwendung?
    Selbst Wikipedia gibt hier keine konkreten Beispiele ...


    2) Wäre es nicht ein interessanter Ansatz zu hinterfragen, inwieweit die Banking-Apps in DE oder EU nach der Verpflichtung zur 2FA (PSD2) im Jahr 2019 in diesem Bezug abschneiden?

    Sind die Smartphone-Software-TAN-Genratoren von Commerzbank, Deutscher Bank, Postbank, etc denn sicher vor Screenshots?

    .



    1 mal bearbeitet, zuletzt am 09.03.20 12:44 durch DieTatsaechlicheDimensionDesGanzen.

  5. Re: Anwendung // Bezug zu PSD2

    Autor: Socke81 09.03.20 - 12:50

    1. So gut wie alles was mit Bitcoins zutun hat benutzt das. Epic (Konkurrent von Steam) nutzt das auch.

  6. Re: Anwendung // Bezug zu PSD2

    Autor: mxcd 09.03.20 - 12:54

    LastPass benutzt das.

  7. Re: Anwendung // Bezug zu PSD2

    Autor: fn.ord 09.03.20 - 12:57

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Wo und durch wen findet der Dienst denn Anwendung?
    > Selbst Wikipedia gibt hier keine konkreten Beispiele ...
    twofactorauth.org
    www.dongleauth.info

    Bei twofactorauth steht auf der Webseite nicht, ob der "Software Token" auf TOTP basiert.
    Dafür gibts dongeauth.info oder man muss in den Code der Webseite schauen:
    github.com./2factorauth/twofactorauth/search?q=totp



    2 mal bearbeitet, zuletzt am 09.03.20 13:12 durch fn.ord.

  8. Re: Anwendung // Bezug zu PSD2

    Autor: ashahaghdsa 09.03.20 - 13:01

    Ich kann meinen Login beim Webhoster damit absichern.

  9. Re: Anwendung // Bezug zu PSD2

    Autor: z3r0t3n 09.03.20 - 13:03

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Hallo Moritz/Golem,
    >
    > 1) weder mein Online-Banking noch irgendwelche meiner Online-Accounts
    > scheinen den "Google Authenticator" zu nutzen.
    >
    > Wo und durch wen findet der Dienst denn Anwendung?
    > Selbst Wikipedia gibt hier keine konkreten Beispiele ...
    >

    Es geht hier lediglich um einen Standard namens TOTP (Wikipedia: Time-based_One-time_Password_Algorithmus), dieser wird von vielen Apps unterstützt und auch nur um diese Apps geht es hier.

    Welche Implementierung da auf Serverseite dahintersteht ist für das genannte Problem irrelevant.

  10. Re: Kleine Korrektur

    Autor: fosphatic 09.03.20 - 14:10

    Hallo Moritz,

    jetzt ist das noch schwammiger ausgedrückt. Hier mal ein Auszug aus wiki:

    Zitat:
    "Die absolute Uhrzeit auf dem Gerät wie einem Mobiltelefon oder Laptop, mit dem das Einmalpasswort erzeugt wird, muss bis auf wenige Sekunden genau der Uhrzeit am Server entsprechen. Die Gültigkeitsdauer beträgt 30 Sekunden, je nach konkreter Implementierung am Server wird auch noch das TOTP aus dem Zeitfenster unmittelbar vor dem aktuellen Zeitfenster akzeptiert, womit sich eine Spanne von weniger als 1 Minute ergibt. Liegt eine größere Abweichung der beiden Uhrzeiten zwischen dem Gerät des Benutzers und dem Server vor, ist ein Login mittels TOTP nicht mehr möglich."

    Somit wird kein Server wird wenige Minuten diesen Code annehmen, sondern meiner persönlichen Erfahrung nach, ist höchstens eine Toleranz von maximal 15 Sekunden zwischen Mobilgerät uns Server vorgesehen und dadurch sollte ein Code nicht länger als 45 Sekunden gültig sein. Allerdings auf keinen Fall mehrere Minuten...



    1 mal bearbeitet, zuletzt am 09.03.20 14:11 durch fosphatic.

  11. Re: Kleine Korrektur

    Autor: Iruwen 09.03.20 - 14:13

    Man kann selbst entscheiden wie viele Schritte in die Vergangenheit zulässig sein sollen, können also auch mehrere Minuten sein.

  12. Re: Kleine Korrektur

    Autor: mtr (golem.de) 09.03.20 - 15:37

    Hallo fosphatic,

    tatsächlich können die Anbieter entscheiden, welchen zeitlichen intervall sie akzeptieren, was durchaus wenige Minuten sein können. Ich habe die Stelle durch eine ausführliche Erklärung ersetzt.

    Viele Grüße
    Moritz

  13. Re: Kleine Korrektur

    Autor: Prypjat 10.03.20 - 13:51

    Ich nutze den Google Authenticator für Uplay und Epic.
    Sobald der neue Code generiert ist, wird der alte nicht mehr angnommen.
    Bei diesen beiden Diensten hat man wirklich nur die 30 Sekunden Zeit (+ - 1 Sekunde).

    Angenommen der Code wird abgegriffen, dann müssen die Bösen Buben und deren Technik noch immer schneller sein als ich. Wie lange benötigt man um einen Sechsstelligen Code einzugeben?
    Vielleicht so 2 bis 3 Sekunden? Und nach der Eingabe wird dieser Code nicht ein zweites mal akzeptiert.

    Ich bin der Meinung, dass die Sicherheit immer noch gegeben ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. DEVK Versicherungen, Köln
  3. GKV-Spitzenverband, Berlin
  4. Universitätsklinikum Augsburg, Augsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 9,99€
  2. (-15%) 46,74€
  3. (-76%) 14,50€
  4. 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kryptographie: Die europäische Geheimdienst-Allianz Maximator
Kryptographie
Die europäische Geheimdienst-Allianz Maximator

Mit der Maximator-Allianz haben fünf europäische Länder einen Gegenpart zu den angelsächsischen Five Eyes geschaffen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Security Bundestagshacker kopierten Mails aus Merkels Büro
  2. Trumps Smoking Gun Vodafone und Telefónica haben keine Huawei-Hintertür
  3. Sicherheitsforscher Daten durch Änderung der Bildschirmhelligkeit ausleiten

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac


    PC-Hardware: Das kann DDR5-Arbeitsspeicher
    PC-Hardware
    Das kann DDR5-Arbeitsspeicher

    Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
    Ein Bericht von Marc Sauter


      1. Amazon: Prime Video erhält Profile
        Amazon
        Prime Video erhält Profile

        Amazon liefert eine immer wieder gewünschte Funktion in Prime Video nach und erlaubt künftig Profile für bis zu sechs Zuschauer.

      2. Chilisoße: Tencent offenbar von Game-Key-Betrügern reingelegt
        Chilisoße
        Tencent offenbar von Game-Key-Betrügern reingelegt

        Einen hohen Schaden sollen Betrüger bei Tencent verursacht haben - mit einem vorgetäuschten E-Sport-Deal rund um Chilisoße.

      3. Motorola: Moto G 5G Plus kostet ab 350 Euro
        Motorola
        Moto G 5G Plus kostet ab 350 Euro

        Mit dem Moto G 5G Plus bringt Motorola den schnellen Netzstandard ins Mittelklassesegment. Dazu kommen eine Vierfachkamera und ein großer Akku.


      1. 17:00

      2. 16:58

      3. 16:03

      4. 15:50

      5. 15:34

      6. 15:15

      7. 15:00

      8. 14:51