Yubikey Posted November 18, 2013 Share Posted November 18, 2013 Hallo! Seit Neuestem wird beim Einloggen auf bitcoin.de so etwas wie ein "Yubikey" oder ein "Google Authenticator" empfohlen. Ohne weitere Links und nähere Erläuterungen. Auf den Seiten der Anbieter dieser Sachen sowie in folgendem Link habe ich bereits vergeblich versucht, mich schlau zu machen. http://www.phpgangsta.de/wp-content/uploads/PM_3.11_Kliewe-Yubikey.pdf Auch im Forum nichts gefunden. Kennt sich da vielleicht jemand aus? Hat das überhaupt schon mal jemand installiert? Sehe auch die Gefahr, daß die Wallet bei bitcoin.de weg ist, wenn man was falsch macht. Danke für Tips! Link to comment Share on other sites More sharing options...
fjvbit Posted November 18, 2013 Share Posted November 18, 2013 "Google Authenticator" ist umsonst und funktioniert prima. Nur Die Seite mit dem Code ausdrucken, falls man sie noch mal braucht Link to comment Share on other sites More sharing options...
PyroT21 Posted November 19, 2013 Share Posted November 19, 2013 Das ist ganz einfach, ich nutze auch den Google Authenticator. Einfach mal ausprobieren, erklärt sich von selbst. Du kannst du App dann auch mit mehreren Seiten wie btc-e.com etc. verknüpfen. Smartphone nicht verlieren Link to comment Share on other sites More sharing options...
Interessant Posted November 19, 2013 Share Posted November 19, 2013 Also ich habe mir gestern auch Google authenticator eingerichtet. Fand es anfangs recht kompliziert und auch schlecht erklärt. Die Nutzung jetzt ist aber echt top und meiner Meinung nach auch sehr sicher. Link to comment Share on other sites More sharing options...
Guest terrorfreak Posted November 19, 2013 Share Posted November 19, 2013 (edited) Den schnuckligen Yubikey habe ich zwar gekauft, seitdem aber nur mit schlechtem Gewissen beäugt(und noch nicht eingesetzt). Ich bin nicht sicher, ob man das Login mit Yubikey wieder abschalten kann, zurück auf die Standardlösung. Edited November 19, 2013 by terrorfreak Link to comment Share on other sites More sharing options...
xCNapo Posted November 19, 2013 Share Posted November 19, 2013 mhm, kennt sich denn jemand genauer aus mit Yubikey - wie das Gerät genau funktioniert? Habe näml. kein Android/Ios Gerät und dann bleibt einem ja anscheinend nichts anderes übrig bei der aktuellen Kursentwicklung... Link to comment Share on other sites More sharing options...
fjvbit Posted November 19, 2013 Share Posted November 19, 2013 mhm, kennt sich denn jemand genauer aus mit Yubikey - wie das Gerät genau funktioniert? Habe näml. kein Android/Ios Gerät und dann bleibt einem ja anscheinend nichts anderes übrig bei der aktuellen Kursentwicklung... Soweit ich weiß, gibt es eine Java Version, die auch auf dem PC läuft. Eine Alternative oder zusätzlich ist ein Paperwallet. Wurde schon mehrfach diskutiert. Ist das sicherste für bitcoins. Link to comment Share on other sites More sharing options...
xCNapo Posted November 19, 2013 Share Posted November 19, 2013 bestimmt, aber ich meinte jetzt auch im Zusammenhang mit Bitcoin.de, wo für eine vollständige Authentifizierung Yubikey oder Authenticator benötigt wird. Link to comment Share on other sites More sharing options...
fjvbit Posted November 19, 2013 Share Posted November 19, 2013 Authenticator sollte auf dem PC laufen Link to comment Share on other sites More sharing options...
kraken Posted November 19, 2013 Share Posted November 19, 2013 Du benötigst kein Smartphone um Google Authenticator zu nutzen. Eine Anleitung (englisch, leicht verständlich) findest du hier: https://bitcointalk.org/index.php?topic=111943.0 Link to comment Share on other sites More sharing options...
xCNapo Posted November 19, 2013 Share Posted November 19, 2013 oh prima, vielen Dank für den Link! Link to comment Share on other sites More sharing options...
maxmuster Posted November 27, 2013 Share Posted November 27, 2013 Ich habe erst den Google auth...dingsbums benutzt, War OK, aber jeder Trojaner könnte doch mein google-konto knacken. Und das beste bei dem Zahlencode im authentifikator steht auch noch wofür ich es benutze (Bitcoin.de) Denn habe ich mir diesen yubikey bestellt 27,..€ mit Transport. Wie die Technik funktioniert hab ich nicht verstanden. Ich gehe zu Bitcoin.de grundsätzlich nur mit Linux live-cd. Denn stecke ich den yubikey ein und drücke seine taste. Dabei füllt sich das Feld für yubikey auch nur mit ca.20 Buchstaben die immer die gleichen zu sein scheinen. Link to comment Share on other sites More sharing options...
Stonie Posted November 28, 2013 Share Posted November 28, 2013 Wobei Du das dann auch wieder lassen kannst. Sinn macht es eigentlich nur mit zweitem Gerät. Gruß Stonie Link to comment Share on other sites More sharing options...
UnDerDoG Posted November 28, 2013 Share Posted November 28, 2013 (edited) Hier packe ich mal meine nächste Frage rein. Ich nutze den google authentificator per Handy. Was ist nun wenn ich mal mein Handy verliere oder es geklaut wird oder irgendwie das Handy kaputt geht? Dann komme ich nie wieder in meinen Account rein? Oder wie kann man das zurücksetzen? Edited November 28, 2013 by UnDerDoG Link to comment Share on other sites More sharing options...
Serpens66 Posted November 28, 2013 Share Posted November 28, 2013 Hier packe ich mal meine nächste Frage rein. Ich nutze den google authentificator per Handy. Was ist nun wenn ich mal mein Handy verliere oder es geklaut wird oder irgendwie das Handy kaputt geht? Dann komme ich nie wieder in meinen Account rein? Oder wie kann man das zurücksetzen? deswegen schreibt man sich den Key auch nochmal auf. Mit ordentlichen Nachweisen deiner Identität kommst du bestimmt nach einigem hin und her trzd. wieder rein, aber schreib dir den Key einfach auf. Link to comment Share on other sites More sharing options...
UnDerDoG Posted November 28, 2013 Share Posted November 28, 2013 Ok danke daran hatte ich gar nicht mehr gedacht das man ja einen Key bzw. QR Code erhält. Das erleichtert schonmal einiges. Link to comment Share on other sites More sharing options...
maxmuster Posted November 28, 2013 Share Posted November 28, 2013 (edited) Hier packe ich mal meine nächste Frage rein. Ich nutze den google authentificator per Handy. Was ist nun wenn ich mal mein Handy verliere oder es geklaut wird oder irgendwie das Handy kaputt geht? Dann komme ich nie wieder in meinen Account rein? Oder wie kann man das zurücksetzen? Du kannst dich doch mit jedem deiner Computer, tablet, handy bei Google anmelden und dort den authentificator benutzen. Zur Sicherheit hast du dort doch ein Passwort. Was du dir zum vorher festgelegtem Handy und Festnetzanschluss neu senden lassen kannst. Leider kann ein Angreifer, welcher dein googleaccount geknackt hat auch dein authentifikator auslesen/benutzen. Steht ja auch gleich da welchen Schlüssel für welche Seite. Du kannst bei Google auch eine Ersatz Passwort Liste ausdrucken. Bzw. Jeder Trojaner man sich die auch schicken lassen. Edited November 28, 2013 by maxmuster Link to comment Share on other sites More sharing options...
Stonie Posted November 28, 2013 Share Posted November 28, 2013 Google Authenticator ist nur eine Software bzw. ein Protokoll, dass ich mit einer freien Implementierung auf einem Windows Phone benutze. Google weiß davon gar nichts und das würde ja auch jeder Sicherheit zuwider laufen. Eben drum habe ich alle Initialisierungscodes/QR-Codes gesondert gesichert. Gruß Stonie Link to comment Share on other sites More sharing options...
heilandvonmailand Posted November 29, 2013 Share Posted November 29, 2013 Wobei Du das dann auch wieder lassen kannst. Sinn macht es eigentlich nur mit zweitem Gerät. Heißt das, Google Authenticator ist unsinnig wenn man sich mit dem selben Smartphone einloggt auf dem auch der Authenticator läuft? Link to comment Share on other sites More sharing options...
Stonie Posted November 29, 2013 Share Posted November 29, 2013 Heißt das, Google Authenticator ist unsinnig wenn man sich mit dem selben Smartphone einloggt auf dem auch der Authenticator läuft? Darauf kann man so oder so antworten. Rein technisch ist die Idee des Google Authenticators die, dass man eine sogenannte 2-Faktor-Authentisierung nutzt. Weder alleiniges Wissen (Passwort), noch alleiniger Besitz (Handy) reicht aus, man braucht beides. Bei modernen Smartphones, die ja nichts anderes als Computer sind, ist die Gefahr groß, dass eine Malware das Gerät übernimmt und ein Belauschen oder eine Fernsteuerung ermöglicht. Wenn nun beide Faktoren in einem Gerät vereint werden, löst sich der Schutz auf. Deshalb untersagen Banken z.B., mTANs auf ein Gerät zu empfangen, mit dem man Online Banking macht und unterbinden solche Funktionen in Apps. Also die formal korrekt Antwort lautet: Ja, es ist unsinnig. Bei abwägender Betrachtung kann man dies aus zwei Gründen allerdings nicht stehenlassen. 1.) Obwohl es - insbesondere bei Android - ein Problem mit mobiler Malware gibt, kümmert sich diese vor allem um Keylogging und SMS-Weiterleitung, eine Malware, die gezielt Authenticator-Seeds ausspioniert oder das Gerät in Echtzeit fernsteuerbar macht, ist mir zumindest nicht bekannt. hättest Du nur das Passwort und keinen Authenticator, wäre das in jedem Fall schlechter. 2.) Die generierten OTPs sind nur zeitabhängig, aber von Details der Transaktion unabhängig. Im Gegensatz zu dem, was wir bei Deutschen Banken per mTAN, chipTAN, photoTAN oder Signaturverfahren kennen, belegt das Authenticator-Pad nur, dass gerade genau dieser Code angezeigt wurde. Wenn man die gängigen Börsen mit Malware angreifen will, muss die Schadsoftware nur im Hintergrund schlafen und bei Eingabe eines Authenticator-Codes Coins überweisen, entweder durch unbemerkte Änderung der vom Benutzer eingegeben Adresse oder ganz stumpf durch Abfrage ("Eingabe läuft ab, bitte Key zur Bestätigung eingeben" oder so). Sich über die Feinheiten der Kanaltrennung beim Smartphone Gedanken zu machen, ist deshalb an der falschen Stelle angesetzt, im Ergebnis bist Du da vielleicht sicherer als am deutlich gefährdeteren PC. Gruß Stonie Link to comment Share on other sites More sharing options...
heilandvonmailand Posted November 30, 2013 Share Posted November 30, 2013 Ok danke Stonie. Es ist ja auch möglich beides (einloggen und Authenticator) am selben PC zu benutzen. Das wäre dann also nicht empfehlenswert. Link to comment Share on other sites More sharing options...
Stonie Posted November 30, 2013 Share Posted November 30, 2013 Es ist empfehlenswerter als der Verzicht auf den Authenticator und weniger empfehlenswert als der Einsatz das Authenticators über ein zweites Gerät (Smartphone). Endgültig retten kann er Dich nie, bitte nicht mit chipTAN und Co. von Banken verwechseln, wo die Codes transaktionsabhängig sind. Gruß Stonie Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now