Abzocke OTP Freischaltung

[Tribute]

Zuerst dachte ich wirklich, die Empfehlung für den 2 Faktor Login wäre ein gut gemeinter Rat.

Dann vor ein paar Tagen Tablet gestohlen bekommen. Und zum entsperren dieses OTP-Verfahrens soll eine weitere Testüberweisung durchgeführt werden.

Gut, wie am Anfang dachte ich... Haha ^^ 2 EUR für einen automatisierten Freischaltprozess!

Find ich ne Schweinerei, wird wohl von Anfang an mit gerechnet dass einige Leute ihre Geräte verlieren etc.

So was geht überhaupt nicht... Sobald ich eine gute Alternative finde, wechsel ich den Handelsplatz.

Es geht hier nicht um 2 EUR sondern ums Prinzip. Sowas macht man nicht mit seinen Kunden.

[azu393]

du musst das bankkonto neu verifizieren wegen verlust von otp ?

[maxmuster]

Ich muss ehrlich sagen, so schlimm finde ich das jetzt nicht.

Verstehe, dass du dich ärgerst.

 

Ich benutze yubikey, Google ist mir zu gefährlich.

[azu393]

Ich muss ehrlich sagen, so schlimm finde ich das jetzt nicht.

Verstehe, dass du dich ärgerst.

 

Ich benutze yubikey, Google ist mir zu gefährlich.

 

atm nutze ich google -> spricht da arg was gegen ?

 

muss ich bei yubi extra nen stick kaufen ?

[Bitcoin]

Bei Vircurex nutze Ich den Yubikey ist doch sicherer ;D

 

Die 2 Euro ist doch nicht schlimm was so täglich an Bitcoins verdient wird.. es geht doch auch um die Sicherheit des Kontos.

[Serpens66]

Zuerst dachte ich wirklich, die Empfehlung für den 2 Faktor Login wäre ein gut gemeinter Rat.

Dann vor ein paar Tagen Tablet gestohlen bekommen. Und zum entsperren dieses OTP-Verfahrens soll eine weitere Testüberweisung durchgeführt werden.

Gut, wie am Anfang dachte ich... Haha ^^ 2 EUR für einen automatisierten Freischaltprozess!

Find ich ne Schweinerei, wird wohl von Anfang an mit gerechnet dass einige Leute ihre Geräte verlieren etc.

So was geht überhaupt nicht... Sobald ich eine gute Alternative finde, wechsel ich den Handelsplatz.

Es geht hier nicht um 2 EUR sondern ums Prinzip. Sowas macht man nicht mit seinen Kunden.

 

stattdessen hättest du einfach den html google authenticator nehmen sollen um dir das einmalpasswort zu generrieren(hast ja den Key sicherheitshalber noch woanders als auf dem tablet gespeichert, wie man das eben so macht ). Dann 2FA abschalten, bzw. neu einschalten um einen neuen Key zu bekommen, damit derjenige mit dem Tablet nichts damit anfangen kann.

[Flozi]

Ich benutze auch den Google Authenticator.

 

Hab mir beim Freischalten gleich nen Screenshot von dem QR-Code gemacht und ausgedruckt. Falls ich mein Handy verliere brauch ich nur den Code mit nem anderem Gerät wieder scannen um wieder Keys zu generieren und mich wieder einloggen zu können (Und dann wieder einen neuen QR-Code mit public Key zu generieren). Solltet Ihr auch machen, hätte dem Threadersteller jedenfalls die Arbeit erspart

[maxmuster]

atm nutze ich google -> spricht da arg was gegen ?

 

muss ich bei yubi extra nen stick kaufen ?

 

ja, den yubikey-stick musst du extra kaufen.

der erzeugt jedesmal wenn du draufdrückst einen neuen schlüssel.

 

google ist mir zu gefährlich, weil ich glaube:

dass ein google-konto ganz einfach gehackt werden kann,

zb. ein trojahner.

wer zugang zum google-konto hat, hat auch zugang zu den schlüsseln.

[Flozi]

ja, den yubikey-stick musst du extra kaufen.

der erzeugt jedesmal wenn du draufdrückst einen neuen schlüssel.

 

google ist mir zu gefährlich, weil ich glaube:

dass ein google-konto ganz einfach gehackt werden kann,

zb. ein trojahner.

wer zugang zum google-konto hat, hat auch zugang zu den schlüsseln.

 

Die Daten aus dem Authenticator werden doch (dachte ich zumindest) garnicht synchronisiert. Außerdem, falls es doch so ist, kann man auch das Google Konto selber mit 2 Faktor Auth schützen.

[fyahfox]

Es ist zwar auch für mich nicht verständlich, warum statt EINEM Cent (genau 0,01 €) irgendwelche höheren Beträge überwiesen werden sollen, aber eins ist sicher: Es ist für Bitcoin.de oder sonstwen KEINE auch nur ansatzweise interessante Einnahmequelle von allen Leuten, die ihr 2-Faktor Gerät verloren haben, 2 € zu kassieren.

[maxmuster]

Die Daten aus dem Authenticator werden doch (dachte ich zumindest) garnicht synchronisiert. Außerdem, falls es doch so ist, kann man auch das Google Konto selber mit 2 Faktor Auth schützen.

Google Konto mit 2faktor auch... Weis nicht ob das geht...

Aber mein google Konto benutze ich an jedem meiner Rechner,also gehe ich auch von einer dauerhaften Infektion aus,

egal ob google 2 Faktor Auth hätte oder nicht.

Ich sehe das google konnte als kompromittiert.

 

Onlinebanking und Bitcoin.de mache ich nur mit einer linux live-CD und yubikey.

[Serpens66]

für den google authenticator braucht man meines wissens kein google konto. zudem funzt das ja auch offline (nachdem man es online runtergeladen hat)

[Stefan F.]

Ich würde mich gerne einmal an dieser stelle einklinken, da ich mich grade mit dem YubiKey beschäftige...

 

Und zwar nutze ich auch grade den von Bitcoin.de und habe nach erhalt die 2FA Aktiviert. Aktiviert also nicht das mit dem QR Code Dinges gemacht! Funktioniert auch soweit super mit dem Login. Nun aber meine Fragen dazu, weil ich wo anders im Netz keine wirkliche Antwort gefunden habe und ich raffe es einfach nicht aber würde es gerne kapieren

 

1. Ist der Code vom YubiKey immer gleich, der beim kurzen Drücken erzeugt wird und ist dieser einmallig auf der Welt? Und ist das auch OTP, nein oder? Dieser ist auch Automatisch im Slot eins oder? Ein längeres Drücken lässt ein Statisches Passwort anzeigen, das hab ich schon rausgefunden und eingestellt auf Slot zwei. Deutsch scheint leider in der YubiKey Szene noch nicht so verbreitet zu sein^^
2. Ist die Login Methode mit dem QR Code Sicherer als die Normale Methode mit dem einfachen Aktivieren bei Bitcoin.de? Und wie bekomme ich den QR Code quasi im Stick eingeimpft mit der Software, also wie müsste man vorgehen damit das OTP verfahren geht und der stick ein neues Passwort alle par Minuten erzeugt?
3. Kann man einen Stick auch komplett Duplizieren? Hätte gerne zwei Identische.

 

Mit besten Dank und Grüßen

Stefan F. 

[maxmuster]

Ich hatte mein yubikey 2013 bei

https://www.mtrix.de/shop/produktuebersicht.html gekauft.

Die sprechen deutsch und sind auch sehr freundlich am Telefon. ;-)

Bearbeitet 6. Mai 2014 von maxmuster