2FA Frage

[nachtbild]

vor 1 Minute schrieb mofu:

ging ja fix, genauso fix kannst du es wieder deaktivieren und über Authy aktivieren ;-)

Och Mööönsch, ich bin 51 Jahre alt und stolz wie Oskar, dass ich das jetzt mal hinbekommen hab! Und mehr als lölftendrölfzig Konten kann ich mir einfach nicht mehr merken. Ich weiß, ist bescheuert, aber Google und Facebook haben eh schon mehr Wissen über mich gesammelt, als Freunde, Verwandte und Meineeine je zusammentragen können. 

[nachtbild]

vor 11 Minuten schrieb mofu:

ging ja fix, genauso fix kannst du es wieder deaktivieren und über Authy aktivieren ;-)

Übrigens war das für mich tatsächlich eine Option beim Neu-Aufsetzen, aber ich hatte bei Finex nur drei Optionen für F2A. Authy hatte ich dort nicht gesehen, darum auch nicht genommen. Von den drei verfügbaren Optionen kannte ich nur Google, darum wurden es (mal wieder) die.

Bearbeitet 19. Februar 2018 von nachtbild

[TL111]

Es funktioniert bei Bitfinex aber auch mit Authy, wenn man Google anwählt. Nur zur Info. 

Bearbeitet 19. Februar 2018 von TL111

[nachtbild]

Gerade eben schrieb TL111:

Es funktioniert bei Bitfinex aber auch mit Authy, wenn man Google anwählt. Nur zur Info. 

Häh? Ich hab das angeklickt, und schwupps, hatte ich wieder den altbekannten GA? Ähm, vielleicht wegen meiner Reihenfolge? Hab erst alles deaktiviert, dann auf dem Handy gelöscht, dann via Google neu angemeldet / installiert, dann auf Finex und bitcoin neu angemeldet. Der hat jedesmal den GA erkannt und genommen?

[Serpens66]

Ist authy nicht unnötg kompliziert und sogar kostenpflichtig?
Irgendein exchange hatte vor Jahren nur authy angeboten, kein Google Auth. Und daher war ich gezwungen das mal zu probieren.
Weiß nicht mehr genau welche Probleme es dabei gab, vermutlich wollten die dass ich mich iwo anmelde und ich mein es war auch kostenpflichtig...
Jedenfalls resultierte es darin, dass ich wutentbrannt den support angeschrieben habe und gefordert hab, dass Google Authenticator unterstützt wird, weil authy der größte Müll überhaupt ist

Aber jeder wie er es am liebsten mag, ich bleib beim GAuth und den Code offline gesichert.

[Kuang11]

Ne, Authy ist kostenlos, macht ein Backup, gibt ne App für iOS,Android und Windows Desktop. Man kann die App zusätzlich noch mit einer eigenen PIN schützen.

 

Dahinter steckt übrigens twilio - Weltmarktführer für Commercial 2FA.

 

[nachtbild]

Und wieso wurde mir das bei der Auswahl bei Bitfinex nicht angezeigt? Ganz rechts stand GA, den kannte ich. Die beiden anderen links daneben nicht. Wie heißt denn dieses Authy so ganz in echt? Vielleicht habe ich es ja deshalb nicht erkannt? Oder liegt es doch an der Reihenfolge der installation? Hach, ich hab keine Ahnung, aber nun klappt es MIT QR-Code, und ich bin happy. 

[skunk]

vor 2 Stunden schrieb Kuang11:

Less dich ins WP ein, ansonsten hat die Diskussion keinerlei Sinn mit Dir.Period.

 

Wie gesagt ich habe nicht vor derartige Nettigkeiten mit dir austauschen zu wollen. In sofern bin ich an einer Diskussion auf diesem Nivea nicht interessiert.

Für alle anderen etwas zum drüber nach denken:

Mehr als 60% der Passwörter sind unsicher und können von einem Hacker innerhalb von Minuten geknackt werden. Der Hacker nutzt dafür einfache Regeln. Man kombiniere ein Wörterbuch und einige Transformations Regeln und schon probiert der Hacker vermeidlich sichere Passwörter wie "Security4coinforum!" Auch alternative Schreibweisen mit Zahlen anstelle von Buchstaben probiert der Hacker aus. Der Witz ist, dass der Mensch dazu neigt Passwörter nach bestimmten Regeln zu generieren. Sonderzeichen stehen zum Beispiel häufig am Ende. Bei den Zahlen kommen gern 2 oder 4 zum Einsatz wegen der englischen Aussprache, alternativ auch das & Zeichen an der gleichen Stelle, Zahlen die Buchstaben ähnlich sehen wie zum Beispiel die 0 oder auch der beschränkte Zahlenbereich eines Geburtstages. Die Wörterbücher werden ebenfalls immer besser. Ein Hacker hat zum Beispiel Youtube Kommentare eingelesen. Damit hat er dann auch Wörter, die so nicht im Duden stehen.

Also besser keine 2FA Backups online speichern. Das würde die Sicherheit von 2FA untergraben und wieder die Fehlerquelle Mensch mit seinem unsicheren Passwort Generator auf den Plan rufen.

 

Bearbeitet 19. Februar 2018 von skunk

[Kuang11]

vor 19 Minuten schrieb nachtbild:

Und wieso wurde mir das bei der Auswahl bei Bitfinex nicht angezeigt? Ganz rechts stand GA, den kannte ich. Die beiden anderen links daneben nicht. Wie heißt denn dieses Authy so ganz in echt? Vielleicht habe ich es ja deshalb nicht erkannt? Oder liegt es doch an der Reihenfolge der installation? Hach, ich hab keine Ahnung, aber nun klappt es MIT QR-Code, und ich bin happy. 

Google, Authy, Windows Authenticator nutzen alle den OTAH Standard... das ist nichts google spezifisches. 

[nachtbild]

vor 2 Minuten schrieb Kuang11:

Google, Authy, Windows Authenticator nutzen alle den OTAH Standard... das ist nichts google spezifisches. 

Oooops. Dann war das wohl mein Fehler. *smirk*

Na gut, beim nächsten Mal (und ich bin fast sicher, so ein nächstes Mal wird irgendwie kommen) bin ich dann schlauer.... 

[Kuang11]

vor 3 Minuten schrieb skunk:

Wie gesagt ich habe nicht vor derartige Nettigkeiten mit dir austauschen zu wollen. In sofern bin ich an einer Diskussion auf diesem Nivea nicht interessiert.

Für alle anderen etwas zum drüber nach denken:

 

 

Solange du kein WP liest, brauche ich auch keinerlei Diskussion mit dir. Und "Nivea" überlasse ich lieber der Firma Beiersdorf  

[battlecore]

vor 2 Stunden schrieb nachtbild:

So weit war ich damals leider noch nicht. Ich hab nun alles deaktiviert und bin gerade dabei, es komplett neu draufzuziehen (auf Lappi und Handy), damit ich endlich mal den QR-Code habe. Drück mir die Daumen - und lieben Dank für deine Hilfe!

Den QR-Code kann man sich auch einfach nochmal anzeigen lassen, jedenfalls kenne ich das so. Ich nehm an das geht auch bei Finex.

Wenn man es aber ausschaltet, und dann wieder einschaltet, bekommt man immer einen ganz neuen QR-Code!! Das heisst dann das der ALTE QR-Code nicht mehr funktioniert!!

Unbedingt dran denken!! Wenn man es also einmal deaktiviert, muss man den neuen QR-Code wieder mit dem Handy einscannen, und dann auch am Computer einen Screenshot machen wo der QR drauf ist usw. Und natürlich ausdrucken, zwei drei Stück, einlaminieren, gut wegschliessen. Ein Feuerschutztresor ist da nicht verkehrt wenn man einen hat. Oder zumindest in so eine Feuerfeste Glasfasertasche machen.

 

vor 1 Stunde schrieb nachtbild:

Häh? Ich hab das angeklickt, und schwupps, hatte ich wieder den altbekannten GA? Ähm, vielleicht wegen meiner Reihenfolge? Hab erst alles deaktiviert, dann auf dem Handy gelöscht, dann via Google neu angemeldet / installiert, dann auf Finex und bitcoin neu angemeldet. Der hat jedesmal den GA erkannt und genommen?

 

vor einer Stunde schrieb nachtbild:

Und wieso wurde mir das bei der Auswahl bei Bitfinex nicht angezeigt? Ganz rechts stand GA, den kannte ich. Die beiden anderen links daneben nicht. Wie heißt denn dieses Authy so ganz in echt? Vielleicht habe ich es ja deshalb nicht erkannt? Oder liegt es doch an der Reihenfolge der installation? Hach, ich hab keine Ahnung, aber nun klappt es MIT QR-Code, und ich bin happy. 

Ob Authy oder Google Authenticator angezeigt wird ist egal. Wenn da Google Authenticator steht, dann ist einfach nur die Methode mit den  QR-Codes nach einem bestimmten Standard gemeint. Und das kann auch Authy.

Andersherum, die Backups von Authy sind an sich überflüssig solange man den QR-Code ausgedruckt hat, als Sreenshot auf dem PC und noch auf ein zwei USB-Sticks. Falls das Handy mal den Bach runtergeht, läd man sich aufs neue Handy einfach wieder Google Authenticator oder auch Authy, scannt den ausgedruckten QR-Code wieder ein, und weiter gehts.

So ein Ausdruck sollte aber ich allerhöchster Qualität sein. Am besten sofort ausprobieren ob er richtig erkannt wird. Ich mach immer erst den Ausdruck und scanne den ein. Den am Monitor angezeigten brauch ich dafür gar nicht scannen, der funktioniert dann.

[TheyLive]

Am 17.2.2018 um 23:12 schrieb battlecore:

@larifari

2FA ist die Zwei Faktor Authorisierung. Das bedeutet das man sich auf das Smartphone die APP Google Authenticator runterläd. Bei der Börse wo man ist schaltet man dann das 2FA ein, daraufhin wird einem ein QR-Code und auch die dazugehörige lange Ziffernfolge angezeigt. Mit der APP scannt man nun mit dem Handy diesen QR-Code. Fertig. Wenn man sich nun einloggt, wird jedesmal ein Sechsstelliger Code abgefragt, die APP generiert alle 30 Sekunden einen neuen Code, den muss man dann eingeben. 30 Sekunden reichen ja zum eintippen und Enter drücken.

Muss man beim 2FA Authenticator noch seine Login Daten von den jeweiligen Konten eingeben?
Da hat der jenige Hersteller wie Google, Authy usw.. ja meine Persönliche Daten.

Und soweit ich weiß brauch man eine Online Verbindung um diese 2FA Authenticatoren zu nutzen?
Besser wäre natürlich wenn der 2FA Authenticator offline läuft!

[jscr]

vor 32 Minuten schrieb TheyLive:

Muss man beim 2FA Authenticator noch seine Login Daten von den jeweiligen Konten eingeben?
Da hat der jenige Hersteller wie Google, Authy usw.. ja meine Persönliche Daten.

Nein, es werden keine Daten angegeben. Es gibt lediglich den QR-Code/Key, mit dem du den Authenticator einrichtest.

vor 34 Minuten schrieb TheyLive:

Und soweit ich weiß brauch man eine Online Verbindung um diese 2FA Authenticatoren zu nutzen?
Besser wäre natürlich wenn der 2FA Authenticator offline läuft!

Der Authenticator läuft offline: nachdem der QR-Code einmal übernommen wurde, können beide Seiten (der Authenticator und der Dienst, bei dem du dich anmelden möchtest) damit die gleichen Einmalpasswörter generieren. Dazu ist keine Internetverbindung nötig.

[TheyLive]

Danke für die Info.
Hab vorhin den Google Authenticator auf meinem Smartphone installiert.
Auf Binance konnte ich den QR Code mit meiner Kamera nicht scannen (Ging einfach nicht)
Alternativ musste ich dann den angezeigten 2FA Code manuell eingeben und danach funktionierte es.
Kurz WLAN abgeschaltet und siehe da, die Codes werden weiterhin offline generiert

[battlecore]

vor 18 Stunden schrieb TheyLive:

Danke für die Info.
Hab vorhin den Google Authenticator auf meinem Smartphone installiert.
Auf Binance konnte ich den QR Code mit meiner Kamera nicht scannen (Ging einfach nicht)
Alternativ musste ich dann den angezeigten 2FA Code manuell eingeben und danach funktionierte es.
Kurz WLAN abgeschaltet und siehe da, die Codes werden weiterhin offline generiert

Und? Screenshot gemacht? Oder die Grafik des QR-Code gespeichert? Ausgedruckt undso?

[koiram]

Moin.

Mal theoretisch folgende Situation: Ein Unbefugter käme an den Ausdruck mit den von mir gesicherten 2FA-QR-Codes dran, und scannt die mit seinem Handy mit seiner App "Google Authentificator" ab. Mit dieser App kann ich jeden Code ja nur auf einem Gerät gleichzeitig verwenden - ist der dann auf meinem Handy in der App automatisch deaktiviert, und ich hätte keinen Zugang mehr zur 2FA-geschützten Seite...? Oder kommt noch eine Bestätigungsmail oder sowas auf mein eMail-Account, wenn der gleiche QR-Code von einer zusätzlichen auf einem anderen Handy installierten "Google Authentificator"-App abgescannt wird...?

Bearbeitet 4. März 2018 von koiram

[Serpens66]

vor 2 Stunden schrieb koiram:

Moin.

Mal theoretisch folgende Situation: Ein Unbefugter käme an den Ausdruck mit den von mir gesicherten 2FA-QR-Codes dran, und scannt die mit seinem Handy mit seiner App "Google Authentificator" ab. Mit dieser App kann ich jeden Code ja nur auf einem Gerät gleichzeitig verwenden - ist der dann auf meinem Handy in der App automatisch deaktiviert, und ich hätte keinen Zugang mehr zur 2FA-geschützten Seite...? Oder kommt noch eine Bestätigungsmail oder sowas auf mein eMail-Account, wenn der gleiche QR-Code von einer zusätzlichen auf einem anderen Handy installierten "Google Authentificator"-App abgescannt wird...?

Wie schon oben erwähnt, läuft der Google Authenticator auch offline. Authy hingegen ist ein bisschen anders, kann aber nichts genauers zu authy sagen (denke aber dass authy eben online ist und verknüpft ist und daher unsicher und problematisch ist)
Der Google Authenticator funktioniert ungefähr so (hab keine technischen Kenntnisse, aber sinngemäß):
Du bekommst eine Zeichenfolge die du dort eintippst (oder eben den QRCode scannst, welcher dieselbe Zeichenfolge dann automaitsch im GAuth hinterlegt.)
Mithilfe dieser Zeichenfolge und dem aktuellen timestamp (also der aktuellen uhrzeit+datum) generiert der GAuth dann das 30 sekündige einmalpasswort.
Das einzige was der GAuth also braucht ist eine aktuelle Uhrzeit (möglichst genau) und diese Zeichenfolge. Es gibt keine Internetverbindung, keine Verknüpfung zwischen Email oder sonsitgem, garnichts. Jedes Gerät sowie auch die Börse können nun völlig unabhängig voneinander und ohne Verbindungung zueinader oder zum Internet, denselben Code produzieren und dadurch kontrollieren (die einzige voraussetzung ist nur, dass die Uhrzeit nicht zu stark voneinander abweicht, zeitzonen sind automatisch rausgerechnet)
 

Bearbeitet 5. März 2018 von Serpens66

[koiram]

Ich hatte irgendwo gelesen, dass man den Google Authentificator im Gegensatz zu Authy nicht auf 2 Geräten (z.B. Smartphone + Tablet) gleichzeitig nutzen kann...!?

Stimmt das jetzt oder nicht?

P.S.: Ich habe die Antwort selber gefunden: Man kann den Google Authenticator auf 2 Geräten gleichzeitig benutzen:

https://support.google.com/accounts/answer/1066447?co=GENIE.Platform%3DAndroid&hl=de

Zitat

Sie können Google Authenticator so einrichten, dass Sie mit mehreren Geräten Bestätigungscodes generieren können.

...aber anscheinend nur, wenn die beim aktivieren der 2FA-Funktion bereits gleichzeitig mit dem QR-Code aktiviert werden, wenn ich das richtig verstanden habe...? Ich will damit auch nur ungern mit Try-and-Error-Prinzip rumexperimentieren - nicht dass ich hinterher keinen Zugriff auf meine Konten mehr habe.

Bearbeitet 5. März 2018 von koiram

[battlecore]

vor 7 Stunden schrieb koiram:

Moin.

Mal theoretisch folgende Situation: Ein Unbefugter käme an den Ausdruck mit den von mir gesicherten 2FA-QR-Codes dran, und scannt die mit seinem Handy mit seiner App "Google Authentificator" ab. Mit dieser App kann ich jeden Code ja nur auf einem Gerät gleichzeitig verwenden - ist der dann auf meinem Handy in der App automatisch deaktiviert, und ich hätte keinen Zugang mehr zur 2FA-geschützten Seite...? Oder kommt noch eine Bestätigungsmail oder sowas auf mein eMail-Account, wenn der gleiche QR-Code von einer zusätzlichen auf einem anderen Handy installierten "Google Authentificator"-App abgescannt wird...?

Wie jetz nu ooch?? Echt jetze??

Man lässt solche Ausdrucke doch nicht einfach so rumliegen?? Die macht man MINDESTENS in einen Feuerfesten Umschlag und legt ich weg. Ebenso die USB-Sticks auf denen man einen Screenshot und Textdateien mit Zugangsdaten speichert. Natürlich verschlüsselt, genau wie auf dem PC.

Und man erzählt das nicht drölftausend Leuten das man die Sachen zuhause rumliegen hat.

[koiram]

vor 25 Minuten schrieb battlecore:

Man lässt solche Ausdrucke doch nicht einfach so rumliegen?? Die macht man MINDESTENS in einen Feuerfesten Umschlag und legt ich weg. Ebenso die USB-Sticks auf denen man einen Screenshot und Textdateien mit Zugangsdaten speichert. Natürlich verschlüsselt, genau wie auf dem PC.

Und man erzählt das nicht drölftausend Leuten das man die Sachen zuhause rumliegen hat.

ich schrieb:

vor 8 Stunden schrieb koiram:

Mal theoretisch folgende Situation: ...

Meine Passwörter, Private Keys und 2FA-Backup-Codes sind natürlich mit Passwort gesichert verschlüsselt in einer feuerfesten und wasserdichten Box 2 Meter tief mitten in einem großen mit Brombeerdornen und Brennesseln zugewucherten zeckenverseuchten privaten umzäunten und mit Wachhunden und einem privaten Wachdienst gesicherten Wald vergraben, und die Koordinaten davon habe ich auswendig gelernt, und zur Sicherheit liegen die Koordinaten falls mir was passiert für die Erben noch mal im Bankschließfach, damit kein Unbefugter an meine Kryptowährungen von umgerechnet ca. 32,50 € dran kommt, das wäre ja beim Verlust sonst auch ein finanzieller Ruin für mich, Hartz 4, Brücke, ...

Bearbeitet 5. März 2018 von koiram

[Serpens66]

@koiramwas ist denn an meiner Antwort unverständlich, außer dass sie ein wenig lang geworden ist?
Darin ist aaaalles erklärt was du dich jemals zum Google Authenticator fragen kannst. Denn dort steht wie er funktioniert. Und wenn du weißt wie er funktioniert, weißt du auch was geht und was nicht.

Also nochmal direkt für dich:
Es gibt keine Verknüpfung zu irgendwas. Ergo ist es auch nicht möglich dass irgendein Gerät weiß ob ein Code schonmal gescannt wurde oder nicht. Daher kann es überall sooft verwendet werden wie man will.

[TheyLive]

Am 4.3.2018 um 18:27 schrieb battlecore:

Und? Screenshot gemacht? Oder die Grafik des QR-Code gespeichert? Ausgedruckt undso?

Ja habe einen Screenshot erstellt und auf 3 USB-Sticks jeweils eine Sicherheitskopie angelegt.