Jump to content

"Yubikey" oder "Google Authenticator"

Yubikey

By Yubikey,
in Technik, Entwicklung & Sicherheit

 Share

Recommended Posts

Yubikey

Yubikey

Posted
Posted

Hallo!

Seit Neuestem wird beim Einloggen auf bitcoin.de so etwas wie ein

"Yubikey" oder ein "Google Authenticator" empfohlen.

 

Ohne weitere Links und nähere Erläuterungen.

 

Auf den Seiten der Anbieter dieser Sachen sowie in folgendem Link habe ich bereits vergeblich versucht, mich schlau zu machen.

http://www.phpgangsta.de/wp-content/uploads/PM_3.11_Kliewe-Yubikey.pdf

 

Auch im Forum nichts gefunden.

Kennt sich da vielleicht jemand aus? Hat das überhaupt schon mal jemand installiert?

Sehe auch die Gefahr, daß die Wallet bei bitcoin.de weg ist, wenn man was falsch macht.

 

Danke für Tips!

Link to comment
Share on other sites
Guest terrorfreak

Guest terrorfreak

Posted
Posted (edited)

Den schnuckligen Yubikey habe ich zwar gekauft, seitdem aber nur mit schlechtem Gewissen beäugt(und noch nicht eingesetzt).

Ich bin nicht sicher, ob man das Login mit Yubikey wieder abschalten kann, zurück auf die Standardlösung.

Edited by terrorfreak
Link to comment
Share on other sites
xCNapo

xCNapo

Posted
Posted

mhm, kennt sich denn jemand genauer aus mit Yubikey - wie das Gerät genau funktioniert? Habe näml. kein Android/Ios Gerät und dann bleibt einem ja anscheinend nichts anderes übrig bei der aktuellen Kursentwicklung...

Link to comment
Share on other sites
fjvbit

fjvbit

Posted
Posted
mhm, kennt sich denn jemand genauer aus mit Yubikey - wie das Gerät genau funktioniert? Habe näml. kein Android/Ios Gerät und dann bleibt einem ja anscheinend nichts anderes übrig bei der aktuellen Kursentwicklung...

 

Soweit ich weiß, gibt es eine Java Version, die auch auf dem PC läuft.

 

Eine Alternative oder zusätzlich ist ein Paperwallet. Wurde schon mehrfach diskutiert. Ist das sicherste für bitcoins.

Link to comment
Share on other sites
maxmuster

maxmuster

Posted
Posted

Ich habe erst den Google auth...dingsbums benutzt,

War OK, aber jeder Trojaner könnte doch mein google-konto knacken.

Und das beste bei dem Zahlencode im authentifikator steht auch noch wofür ich es benutze (Bitcoin.de)

 

Denn habe ich mir diesen yubikey bestellt 27,..€ mit Transport.

Wie die Technik funktioniert hab ich nicht verstanden.

Ich gehe zu Bitcoin.de grundsätzlich nur mit Linux live-cd.

Denn stecke ich den yubikey ein und drücke seine taste.

Dabei füllt sich das Feld für yubikey auch nur mit ca.20 Buchstaben die immer die gleichen zu sein scheinen.

Link to comment
Share on other sites
UnDerDoG

UnDerDoG

Posted
Posted (edited)

Hier packe ich mal meine nächste Frage rein. Ich nutze den google authentificator per Handy. Was ist nun wenn ich mal mein Handy verliere oder es geklaut wird oder irgendwie das Handy kaputt geht? Dann komme ich nie wieder in meinen Account rein? Oder wie kann man das zurücksetzen?

Edited by UnDerDoG
Link to comment
Share on other sites
Serpens66

Serpens66

Posted
Posted
Hier packe ich mal meine nächste Frage rein. Ich nutze den google authentificator per Handy. Was ist nun wenn ich mal mein Handy verliere oder es geklaut wird oder irgendwie das Handy kaputt geht? Dann komme ich nie wieder in meinen Account rein? Oder wie kann man das zurücksetzen?

 

deswegen schreibt man sich den Key auch nochmal auf. Mit ordentlichen Nachweisen deiner Identität kommst du bestimmt nach einigem hin und her trzd. wieder rein, aber schreib dir den Key einfach auf.

Link to comment
Share on other sites
maxmuster

maxmuster

Posted
Posted (edited)
Hier packe ich mal meine nächste Frage rein. Ich nutze den google authentificator per Handy. Was ist nun wenn ich mal mein Handy verliere oder es geklaut wird oder irgendwie das Handy kaputt geht? Dann komme ich nie wieder in meinen Account rein? Oder wie kann man das zurücksetzen?

Du kannst dich doch mit jedem deiner Computer, tablet, handy bei Google anmelden und dort den authentificator benutzen.

Zur Sicherheit hast du dort doch ein Passwort. Was du dir zum vorher festgelegtem Handy und Festnetzanschluss neu senden lassen kannst.

Leider kann ein Angreifer, welcher dein googleaccount geknackt hat auch dein authentifikator auslesen/benutzen.

Steht ja auch gleich da welchen Schlüssel für welche Seite.

Du kannst bei Google auch eine Ersatz Passwort Liste ausdrucken. Bzw. Jeder Trojaner man sich die auch schicken lassen.

Edited by maxmuster
Link to comment
Share on other sites
Stonie

Stonie

Posted
Posted

Google Authenticator ist nur eine Software bzw. ein Protokoll, dass ich mit einer freien Implementierung auf einem Windows Phone benutze. Google weiß davon gar nichts und das würde ja auch jeder Sicherheit zuwider laufen. Eben drum habe ich alle Initialisierungscodes/QR-Codes gesondert gesichert.

 

Gruß

Stonie

Link to comment
Share on other sites
Stonie

Stonie

Posted
Posted
Heißt das, Google Authenticator ist unsinnig wenn man sich mit dem selben Smartphone einloggt auf dem auch der Authenticator läuft?

Darauf kann man so oder so antworten. Rein technisch ist die Idee des Google Authenticators die, dass man eine sogenannte 2-Faktor-Authentisierung nutzt. Weder alleiniges Wissen (Passwort), noch alleiniger Besitz (Handy) reicht aus, man braucht beides. Bei modernen Smartphones, die ja nichts anderes als Computer sind, ist die Gefahr groß, dass eine Malware das Gerät übernimmt und ein Belauschen oder eine Fernsteuerung ermöglicht. Wenn nun beide Faktoren in einem Gerät vereint werden, löst sich der Schutz auf. Deshalb untersagen Banken z.B., mTANs auf ein Gerät zu empfangen, mit dem man Online Banking macht und unterbinden solche Funktionen in Apps. Also die formal korrekt Antwort lautet: Ja, es ist unsinnig.

 

Bei abwägender Betrachtung kann man dies aus zwei Gründen allerdings nicht stehenlassen.

 

1.) Obwohl es - insbesondere bei Android - ein Problem mit mobiler Malware gibt, kümmert sich diese vor allem um Keylogging und SMS-Weiterleitung, eine Malware, die gezielt Authenticator-Seeds ausspioniert oder das Gerät in Echtzeit fernsteuerbar macht, ist mir zumindest nicht bekannt. hättest Du nur das Passwort und keinen Authenticator, wäre das in jedem Fall schlechter.

 

2.) Die generierten OTPs sind nur zeitabhängig, aber von Details der Transaktion unabhängig. Im Gegensatz zu dem, was wir bei Deutschen Banken per mTAN, chipTAN, photoTAN oder Signaturverfahren kennen, belegt das Authenticator-Pad nur, dass gerade genau dieser Code angezeigt wurde. Wenn man die gängigen Börsen mit Malware angreifen will, muss die Schadsoftware nur im Hintergrund schlafen und bei Eingabe eines Authenticator-Codes Coins überweisen, entweder durch unbemerkte Änderung der vom Benutzer eingegeben Adresse oder ganz stumpf durch Abfrage ("Eingabe läuft ab, bitte Key zur Bestätigung eingeben" oder so). Sich über die Feinheiten der Kanaltrennung beim Smartphone Gedanken zu machen, ist deshalb an der falschen Stelle angesetzt, im Ergebnis bist Du da vielleicht sicherer als am deutlich gefährdeteren PC.

 

Gruß

Stonie

Link to comment
Share on other sites
Stonie

Stonie

Posted
Posted

Es ist empfehlenswerter als der Verzicht auf den Authenticator und weniger empfehlenswert als der Einsatz das Authenticators über ein zweites Gerät (Smartphone). Endgültig retten kann er Dich nie, bitte nicht mit chipTAN und Co. von Banken verwechseln, wo die Codes transaktionsabhängig sind.

 

Gruß

Stonie

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

  I accept