Jump to content

2FA kann nicht aktiviert werden weil OTP falsch


Serpens66
 Share

Recommended Posts

Hey Leute,

 

wie es scheint habe ich als einziger das Problem, dass schon beim aktivieren des 2FA über smartphone mein Einmalpasswort falsch ist..

 

Ich benutze ein Tablet Acer A1-810 mit Android 4.2.2. mit dem Google Authenticator. Andere Börsen funktionieren einwandfrei, nachdem ich den Key eingegeben und ein "konto" eröffnet habe. Bei bitcoin.de klappt es merkwürdigerweise aber nicht. Habe es nun 2 mal versucht und beim zweiten mal ganz genau den Key kontrolliert, ob ich ihn richtig abgetippt habe... (Der Barcode Scan funktioniert trotz vergrößerung des Browserfensters nicht...).

Ich meine mich zu erinnern, dass es vor einigen Monaten auch nicht mit der html Variante gauth geklappt hatte, kann es jetzt aber grad nicht mehr kontrollieren, weil ich nur 2 mTans für die aktivierung pro Tag zur Verfügung habe. -.-

 

Habt ihr einen Rat?

Link to comment
Share on other sites

Zu deinem eigentlichen Problem kann ich keinen Rat geben.

Bei mir hatte es geklappt als ich es zu Anfang mal kurz ausprobiert hatte.

Aber.

Ich würde empfehlen, wenn du nicht den yubikey benutzen willst, sonder den Google 2 Wege Authentifikator,

Dich an keinem weiteren Rechner mit dem gleichen Googlekonto anzumelden.

Ein Googlekonto kann meiner Meinung nach einfach geknackt werden, und somit kann ein Angreifer leicht auf deine Ersatzbestaetigungscodes zugreifen.

Ich benutze für Bitcoin.de nur eine Linux-LiveCD und Yubikey.

Auch würde ich, wenn du den Google-Authentifikator benutzen willst, diesen von einem definitiv nicht kompromittierten Rechner aus zu benutzen.

Und einen garantiert nicht kompromittierter Rechner ist meiner Meinung nur eine Linux-LiveCD oder ein schreibgeschützter USB-Stick mit Bankix oder etwas aehnliches, oder ein Rechner den du NUR für diese Zwecke benutzt, bestenfalls mit Linux openBDS oder aehnlichem.

Auch ist meiner Meinung daran zu denken die Bitcoin.de Zugangsdaten nur von einem definitiv nicht kompromittierten system aus zu vergeben.

Hier in dem Forum hat jemand schon mal 20 BTC vom eigenen Rechner "verloren".

Link to comment
Share on other sites

Danke für dir Ratschläge ;)

 

Ich hab die Lösung übrigens doch noch selbst gefunden. Habe mal die OTP's meines Tablets mit den OTP's der html Version von gauth auf meinem PC verglichen. Und zwar besteh dort ein zeitlicher Unterschied von 15sekunden. Obwohl mein Tablet nach eigener Meldung über die google Server synchronisiert ist, stimmt es nicht mit bitcoin.de überein. Die html Version, die über den uni server osnabrück synchronisiert ist, stimmt aber überein.

Und soweit ich rausfinden konnte, hatte ich auf anderen Börsen mit dem Tablet keine Probleme, weil dort ein OTP offensichtlich länger als 30 sekunden gültig ist, wodurch die 15sek Zeitverschiebung nicht ins gewicht fielen.

 

Jetzt zu deinen Tipps:

Ich habe einige Zeit lang eben die html variante genutzt, also auf demselben Rechner, womit ich mich dann letzlich auch einlogge. Dass das nicht unbedingt sicher war, ist mir klar, wenn ich auch der Meinung bin, dass es natürlich zumindest sicherer war, als ganz ohne 2FA.

Nun habe ich ja ein Tablet. Mit diesem logge ich mich nicht auf den Börsen ein, sondern nutze es eben für die 2FA. Auf diese Weise sollte es doch eigentlich absolut sicher sein, oder nicht? Wenn mein PC kompromittiert wäre, könnten die Angreifer an meine Passwörter kommen, aber nicht an meine 2FA-Daten. Und beim Tablet hätten sie meine Passwörter nicht. Und dass beides kompromittiert wird und die Daten zusammengefügt werden ist sehr unwahrscheinlich und müsste schon ein sehr gezielter angriff sein, oder etwa nicht?

 

Google selbst macht mir allerdings auch ein wenig Sorge... ich hatte vorher noch kein Androidsystem bzw. allgemein kein tablet/smartphone usw. Und ich habe auch kein google+ oder sonstigen Müll von Google genutzt, sehe da also auch sehr skeptisch... Nun muss ich ja aber Google verwenden, zumindest ein Google Konto. Bist du sicher, dass man von dem Google Konto aus an meine OTP's bzw. Keys kommen kann? Das kann ich irgendwie nicht wirklich glauben, das wäre ja gröbster Blödsinn ^^

Link to comment
Share on other sites

War die Tage kurz davor die Google Variante nutzen zu wollen, und fing an mich darüber zu informieren. Nur, was ich mich fragte und auf die schnell keine Antwort darüber fand ist: Wenn ich mit meinen Smartphone unterwegs bin, und ich möchte mich bei bitcoin.de anmelden um z.B. eine Zahlung zu bestätigen, wie kann ich dann mit dem selbigen die Google 2 Wege Authentifikator nutzen. Das konnte ich für mich noch nicht ganz klären. Wollte aber weiter recherchieren.

Nun bekomme ich aber seit Gestern beim Login die unten stehende Nachricht vom Server, und ich denke das dies eine sehr gute alternative zu den vorhandenen Möglichkeiten ist und warte daruf hin erst einmal ab.

 

 

 

 

Meldung vom Server beim Login:

 

Anmelden - Schritt 2

 

Sie verwenden bisher keines der beiden angebotenen Verfahren zur 2-Faktor-Authentifizierung. Wir empfehlen Ihnen aus Sicherheitsgründen nachdrücklich einen Einmalpasswort-Generator (z.B. Google Authenticator) auf Ihrem Smartphone einzurichten oder einen Yubikey zu verwenden.

Weitere Informationen finden Sie unter.

 

mein Bitcoin.de » Einstellungen » Sicherheit

 

In wenigen Tagen werden wir für alle User, die keine 2-Faktor-Authentifizierung verwenden, eine Login-TAN einführen.

 

Diese TAN wird Ihnen nach der Eingabe von Benutzernamen und Password per Email zugesandt und muss dann in einem Schritt 2 der Anmeldung eingegeben werden.

Link to comment
Share on other sites

 

Ich hab die Lösung übrigens doch noch selbst gefunden.

 

 

Und dass beides kompromittiert wird und die Daten zusammengefügt werden ist sehr unwahrscheinlich und

 

 

 

Bist du sicher, dass man von dem Google Konto aus an meine OTP's bzw. Keys kommen kann? Das kann ich irgendwie nicht wirklich glauben, das wäre ja gröbster Blödsinn ^^

1. freut mich das du das Problem lösen könntest, die Uhrzeit wird ja als häufigster Fehler von Google angegeben.

2. Beides gleichzeitig, klingt erstmal unwahrscheinlicher.

3. Die Liste der Keys: Ich habe die selbst nicht bei meiner ersten Anmeldung ausgedruckt, wegen fehlendem Drucker an dem Standort. Und per Mail wollte ich die nicht an mich selbst versenden, zu unsicher.

Also habe ich einige Tage später in nem Forum nachgefragt, wo ich die master.Key Liste wiederfinden.

Hat mir jemand ein Link gesendet, wo ich die finde, ich mich eingeloggt und mir meine Liste ausgedruckt.

Also! Siehe da... Habe ich deinen Google Konto geknackt, komme ich an deine Keys.

Außerdem, wenn du dir die Keys ausdruckst sind sie auch auf deinem Rechner zwischengespeichert!

Selbst wenn du ein Bildschirmfoto machst und dieses ausdruckst.

 

 

Diese TAN wird Ihnen nach der Eingabe von Benutzernamen und Password per Email zugesandt und muss dann in einem Schritt 2 der Anmeldung eingegeben werden.

klingt erstmal besser als gar nichts.
Link to comment
Share on other sites

Hier gelangt "man" zur secret shared key liste

https://accounts.google.com/b/0/SmsAuthSettings

bist du sicher? wie der name schon sagt, gehts da ja um "SMS" authentifizierung. Allerdings wird auch anderswo im netz geschrieben dass man da bezüglich otp's was ändern kann, also wirds das da wohl irgendwo geben...

Allerdings komme ich bei dem Link auf die Seite zum Einrichten der "Bestätigung in 2 schritten". Und wenn ich dann eben auf Einrichten klicke, nimmt der meine handynummer und will eben eine sms authentifizierung einrichten. Demnach glaube ich grade eig nicht, dass ich darüber an Keys komme, die ich auf meinem Tablet nutze. Oder was übersehe ich?

Link to comment
Share on other sites

glaube ich grade eig nicht, dass ich darüber an Keys komme, die ich auf meinem Tablet nutze.

Habe meine liste aber damals, genau über diesen Weg bekommen.

Wenn ich den Link anklicke, steht dort folgendes:

 

"

Geben Sie Ihr Passwort bitte erneut ein

hier steht mein gogle+ bild

hier steht mein name

hier steht meine emailadresse@gmail.com

Brauchen Sie Hilfe?

Mit einem anderen Konto anmelden

"

 

Bin mit Chrombrowser als angebeldeter User unterwegs, beim normalen surfen. (NICHT beim BANKING oder auf Bitcoin.de!)

Link to comment
Share on other sites

ich hab jetzt mal auf "einrichten" geklickt und somit die 2FA SMS auth eingerichtet, kann ja nicht schaden.

Wenn ich jetzt auf den Link klicke sieht es folgendermaßen aus:

http://www7.pic-upload.de/17.01.14/y4gkvhofvncj.jpg

 

Demnach würde ich sagen hat man von meinem Google Konto keinerlei Zugriff auf Codes/Keys die ich in den Google auth auf meinem Tablet eingegeben habe. Wäre ja auch wirklich Blödsinn und der Google Authenticator läuft ja auch komplett ohne Internet.

Ich hab noch überlegt, ob ich auf der Seite jetzt vllt noch google auth aktivieren sollte, anstelle der sms FA2. Aber irgendwie funktionieren solche Barcode scans überhaupt nicht.. vllt brauch ich nen andern barcode scanner... und ein Key wird da von Google nicht angezeigt.

 

Naja, wie auch immer: Selbst wenn es möglich wäre, vom Google Konto die Keys zu bekommen, habe ich mein Konto ja jetzt durch Sms gesichert.

Link to comment
Share on other sites

ganz unten auf dem Bild: "Ersatzcodes" (zum ausdrucken)

Die sind doch unsicher, wenn dein Computer infiziert ist.

Ich weiß jetzt nicht ob die auch für die 2FA auf bitcoin.de zum einloggen geeignet sind.

Aber könnte ich mich nicht auf einem Tablet damit einloggen, die Google 2FAuthenticator-App laden und auf Bitcoin.de gehen?

Link to comment
Share on other sites

die Ersatzcodes sind nur für mein Google Konto. Das heißt wenn ich mich auf meinem G. Konto einloggen will, aber mein Handy verloren habe (weil ja grad sms aktiviert ist), dann kann ich die Ersatzcodes verwenden, um mich bei Google einzuloggen.

Das hat aber nichts mit anderen Anwendungen zu tun, für die ich einen Google Authenticator verwende. Das heißt diese Ersatzcodes wirken nicht bei bitcoin.de usw.

 

Ich bezweifle ja eben, dass es diese Möglichkeit gibt, im Google Konto die 2FAuthenticator App zu laden. Wenn das ginge, wäre es schon ein Risiko. Aber ich habe ja immernoch keine Möglichkeit dazu gefunden.

 

Edit:

Ich hab mal nach "extract google authenticator" gesucht und unter anderem das hier gefunden:

http://cadince.com/3-ways-to-move-google-authenticator/

Dort gehts soweit ich das verstanden habe darum, die bisherigen Daten im Google authenticator auf ein neues Gerät zu übertragen. Dazu werden 3 Möglickeiten genannt, wobei 1 und 2 einfach nur das neue erstellen eines Keys sind. Nummer 3 hab ich nicht ganz verstanden, denke aber schon, dass es ein extrahieren der Keys ist, die dann alle aufeinmal in ein neues Gerät eingefügt werden können.

---> Wenn dort eine so komplizierte Methode dazu vorgestellt wird, dann bin ich mir fast sicher, dass es unmöglich ist, vom Google Konto auf die Keys zu kommen.

 

Du hast ja geschrieben, dass du deine Keys dort bekommen hast. Bist du sicher? Waren es tatsächlich Keys für anderene Dinge wie eben bitcoin.de?

Edited by Serpens66
Link to comment
Share on other sites

Du hast ja geschrieben, dass du deine Keys dort bekommen hast. Bist du sicher? Waren es tatsächlich Keys für anderene Dinge wie eben bitcoin.de?

Weis nicht wofür die sind, seit dem habe ich mir lieber Yubikey geholt.

 

Na ich denke, wenn ich alles verloren habe, PC abgebrannt, Handy und Tablet ins Meer gefallen,

Gehe ich an meine Schublade zu Hause hole die Ersatz-Key-Liste und komme damit wieder in mein Konto inklusive Google 2 Wege Authentifikator-App.

Meinst du nicht, das funktioniert?

Wenn ich denn die Google 2 Wege Authentifikator-App installiert habe, steht da noch schön 2 Codes die jede Minute durch die Uhrzeit neu berechnet werden, eine für mein Google-Konto und vor der anderen steht schön deutlich Bitcoin.de

 

Was meinst du? Hab ich einen Denkfehler?

Link to comment
Share on other sites

Weis nicht wofür die sind, seit dem habe ich mir lieber Yubikey geholt.

 

Na ich denke, wenn ich alles verloren habe, PC abgebrannt, Handy und Tablet ins Meer gefallen,

Gehe ich an meine Schublade zu Hause hole die Ersatz-Key-Liste und komme damit wieder in mein Konto inklusive Google 2 Wege Authentifikator-App.

Meinst du nicht, das funktioniert?

Wenn ich denn die Google 2 Wege Authentifikator-App installiert habe, steht da noch schön 2 Codes die jede Minute durch die Uhrzeit neu berechnet werden, eine für mein Google-Konto und vor der anderen steht schön deutlich Bitcoin.de

 

Was meinst du? Hab ich einen Denkfehler?

 

ich bin mir grad nicht sicher, ob wir aneinander vorbeireden ^^

Ich hab ja jetzt schon 2 mal geschrieben, dass ich der Meinung bin, dass man im Google Konto keinerlei Keys bekommen kann.

Für dein Beispiel bedeutet das, dass du mit deinen Ersatz Key natürlich wieder in dein Google Konto kommst. Aber dein zugang zu bitcoin.de wäre futsch, sofern du dir da nicht auch den Key extra gespeichert hast. Denn diesen Key findest du nicht im Google Konto. Und wenn du die 2FA App installiert hast, ist sie leer. Du musst da erst wieder alles neu eintragen. (ansonsten gäbe es das Problem der Übertragung auf neue Geräte ja garnicht ;) )

Edited by Serpens66
Link to comment
Share on other sites

...

Für dein Beispiel bedeutet das, dass du mit deinen Ersatz Key natürlich wieder in dein Google Konto kommst. Aber dein zugang zu bitcoin.de wäre futsch, sofern du dir da nicht auch den Key extra gespeichert hast. Denn diesen Key findest du nicht im Google Konto. Und wenn du die 2FA App installiert hast, ist sie leer. Du musst da erst wieder alles neu eintragen. (ansonsten gäbe es das Problem der Übertragung auf neue Geräte ja garnicht ;) )

Ich glaub nicht das wir aneinander vorbei geredet haben.

Du hattest geschrieben, dass man nicht bei Bitcoin.de rein kommt, aber ich dachte wenn ich mein Konto neu aufsätze, komme ich wieder bei Bitcoin.de rein.

Es scheint mir,dass du recht hast.

Wenn ich einen neuen Yubikey verwenden wollte, weil der alte wie oben beschrieben, abgebrannt und ins Meer gefallen ist,

musste ich den neuen Yubikey sicherlich auch neu "initialisieren" (wenn das das richtige Wort war).

Sicher bin ich zwar nicht aber du hast das richtige Stichwort genannt:

(ansonsten gäbe es das Problem der Übertragung auf neue Geräte ja garnicht ;) )

Muss ich mal nachlesen... aber erstmal gehts jetzt zur Arbeit...

 

DANKE

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.