Jump to content

2-Faktor-Authorisierung mit Passworttabelle

Christoph Bergmann

By Christoph Bergmann
in Bitcoin.de

 Share

Recommended Posts

Christoph Bergmann

Christoph Bergmann

Posted
Posted

Der Marktplatz bitcoin.de führt in dieser Woche eine neue Methode der 2-Faktor-Authorisierung ein: die Passworttabelle. Mit dieser können Nutzer den Zugang zu ihrem Account sichern, ohne auf Smartphones, Yubikeys oder Emails angewiesen zu sein. Ab heute kann man diese Option in den Einstellungen aktivieren und seine Passworttabelle ausdrucken.

 

Mehr Infos: http://bitcoinblog.de/2014/10/29/2-faktor-authorisierung-mit-passworttabelle-auf-bitcoin-de/

  • Love it 1
Link to comment
Share on other sites
CryptKeeper

CryptKeeper

Posted
Posted

Also da muss ich widersprechen:

 

In der Passwort-Tabelle befinden sich 10 x 26 Zeichen, macht insgesamt 260 Codes. Bei jedem Login benutze ich 4 davon, d.h. Ich kann 65 Logins machen, bevor sich ein Code wiederholen muss! Wenn ich einen Keylogger auf meinem System habe (wovor diese Tabelle ja schützen soll) braucht der nur eine endliche Menge von Codes mitzuloggen, bis er genügend Codes für ein Login beisammen hat. Evtl. reichen da mit ein Bisschen Glück (für den bösen Hacker) auch nur die Hälfte an Codes.

 

Ich würde die PW-Tabelle ablaufen lassen, wenn alle Codes verbraucht sind, so wie alle Banken das mit der TAN-Liste auch machen.

  • Love it 1
Link to comment
Share on other sites
Christoph Bergmann

Christoph Bergmann

Posted
  • Author
Posted

Hmmm ...

 

Das klingt jetzt so, als würde eine Seite des Würfels verschwinden, wenn man sie geworfen hat.

 

Es gibt 260 Zeichen.

Bei jedem Login nutzt man 4 zufällig ausgewählte Zeichen. D.h. es gibt

260*260*260*260 mögliche Kombinationsmöglichkeiten: ~4,6 Milliarden.

 

Da man vier zufällig ausgewählte Zeichen eingeben muss, kann es durchaus vorkommen, dass z. B. beim ersten Login

C4 / D9 / X2 / A0 verlangt werden und beim zweiten Login

C5 / D1 / A0 / G6

 

Eine Koordinate läuft ja nicht ab, nachdem sie verwendet wurde.

Link to comment
Share on other sites
CryptKeeper

CryptKeeper

Posted
Posted

Da man vier zufällig ausgewählte Zeichen eingeben muss, kann es durchaus vorkommen, dass z. B. beim ersten Login

C4 / D9 / X2 / A0 verlangt werden und beim zweiten Login

C5 / D1 / A0 / G6

 

Eine Koordinate läuft ja nicht ab, nachdem sie verwendet wurde.

 

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Die Anzahl der Kombinationen sind in diesem Fall irrelevant. Ausschlaggebend ist doch, dass der Inhalt einer Koordinate nicht bekannt ist. Wenn alle 260 Koordinaten verwendet wurden, hat man ein Sicherheitsproblem. Deshalb verbraucht sich eine Banken-TAN-Liste halt nach Gebrauch, eure Liste ist halt nur etwas länger.

  • Love it 1
Link to comment
Share on other sites
Oma

Oma

Posted
Posted

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Ist doch so auch noch nicht ganz richtig. Der Keylogger erfährt ja nur die Eingaben des Nutzers, nicht aber die Bildschirmausgabe (-> der Keylogger weiß nicht, welche Koordinate gerade eingegeben wird).

 

Es wäre schon ein vollwertiger Trojaner nötig, der in regelmäßigen Abständen noch Bildschirmaufnahmen macht, um auch diese Art der Authentifizierung zu knacken. Ein solcher Trojaner könnte aber auch den Key (QR-Code) der Authentifizierung über Google OTP mitlesen.

 

Die Authentifizierung über Passworttabelle ist allerdings die einzige, die auch nach der Aktivierung noch angreifbar ist. Am sichersten ist und bleibt der Yubikey. 100%-ige Sicherheit gibt es nicht. Also bleibt schön sauber.

Link to comment
Share on other sites
CryptKeeper

CryptKeeper

Posted
Posted

Ist doch so auch noch nicht ganz richtig. Der Keylogger erfährt ja nur die Eingaben des Nutzers, nicht aber die Bildschirmausgabe (-> der Keylogger weiß nicht, welche Koordinate gerade eingegeben wird).

 

Es wäre schon ein vollwertiger Trojaner nötig, der in regelmäßigen Abständen noch Bildschirmaufnahmen macht, um auch diese Art der Authentifizierung zu knacken. Ein solcher Trojaner könnte aber auch den Key (QR-Code) der Authentifizierung über Google OTP mitlesen.

 

Die Authentifizierung über Passworttabelle ist allerdings die einzige, die auch nach der Aktivierung noch angreifbar ist. Am sichersten ist und bleibt der Yubikey. 100%-ige Sicherheit gibt es nicht. Also bleibt schön sauber.

 

Da hast Du recht. Der Keylogger müsste auch die Koordinatenbezeichnung mitloggen, aber sowas kann man ja programmieren. Er braucht dazu keine Bildschirmaufnahme, sondern da reicht die Analyse der HTML-Seite des Logins, sicherlich stehen da die Bezeichnungen im Klartext drin.

Link to comment
Share on other sites
Christoph Bergmann

Christoph Bergmann

Posted
  • Author
Posted

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Die Anzahl der Kombinationen sind in diesem Fall irrelevant. Ausschlaggebend ist doch, dass der Inhalt einer Koordinate nicht bekannt ist. Wenn alle 260 Koordinaten verwendet wurden, hat man ein Sicherheitsproblem. Deshalb verbraucht sich eine Banken-TAN-Liste halt nach Gebrauch, eure Liste ist halt nur etwas länger.

Vielen Dank, das gebe ich so weiter. Ich halte es zwar für unwahrscheinlich, dass ein Virus zugleich Keylogger als auch html-/pixel-logger ist, aber 2fa ist ja dafür da, dass auch die schlimmste Malware draußenbleibt ...

  • Love it 1
Link to comment
Share on other sites
  • 3 months later...
blubblibla

blubblibla

Posted
Posted

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

 

Hast Du vielleicht eine andere 2-FA-Methode aktiv?

Link to comment
Share on other sites
azu393

azu393

Posted
Posted

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

findest du eig. bei den andern 2 faktor dingern -> dann einfach via tabelle wählen, sms anfordern und los gehts... der download wird dann dort paar cm tiefer angezeigt...

 

wenn keine sms kommt -> ruf da an, die jungs helfen bei sowas extrem schnell....

  • Love it 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

  I accept