Zum Inhalt springen

2-Faktor-Authorisierung mit Passworttabelle

Christoph Bergmann

Von Christoph Bergmann
in Bitcoin.de

 Teilen

Empfohlene Beiträge

Christoph Bergmann

Christoph Bergmann

Geschrieben
Geschrieben

Der Marktplatz bitcoin.de führt in dieser Woche eine neue Methode der 2-Faktor-Authorisierung ein: die Passworttabelle. Mit dieser können Nutzer den Zugang zu ihrem Account sichern, ohne auf Smartphones, Yubikeys oder Emails angewiesen zu sein. Ab heute kann man diese Option in den Einstellungen aktivieren und seine Passworttabelle ausdrucken.

 

Mehr Infos: http://bitcoinblog.de/2014/10/29/2-faktor-authorisierung-mit-passworttabelle-auf-bitcoin-de/

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
CryptKeeper

CryptKeeper

Geschrieben
Geschrieben

Also da muss ich widersprechen:

 

In der Passwort-Tabelle befinden sich 10 x 26 Zeichen, macht insgesamt 260 Codes. Bei jedem Login benutze ich 4 davon, d.h. Ich kann 65 Logins machen, bevor sich ein Code wiederholen muss! Wenn ich einen Keylogger auf meinem System habe (wovor diese Tabelle ja schützen soll) braucht der nur eine endliche Menge von Codes mitzuloggen, bis er genügend Codes für ein Login beisammen hat. Evtl. reichen da mit ein Bisschen Glück (für den bösen Hacker) auch nur die Hälfte an Codes.

 

Ich würde die PW-Tabelle ablaufen lassen, wenn alle Codes verbraucht sind, so wie alle Banken das mit der TAN-Liste auch machen.

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Christoph Bergmann

Christoph Bergmann

Geschrieben
  • Autor
Geschrieben

Hmmm ...

 

Das klingt jetzt so, als würde eine Seite des Würfels verschwinden, wenn man sie geworfen hat.

 

Es gibt 260 Zeichen.

Bei jedem Login nutzt man 4 zufällig ausgewählte Zeichen. D.h. es gibt

260*260*260*260 mögliche Kombinationsmöglichkeiten: ~4,6 Milliarden.

 

Da man vier zufällig ausgewählte Zeichen eingeben muss, kann es durchaus vorkommen, dass z. B. beim ersten Login

C4 / D9 / X2 / A0 verlangt werden und beim zweiten Login

C5 / D1 / A0 / G6

 

Eine Koordinate läuft ja nicht ab, nachdem sie verwendet wurde.

Link zu diesem Kommentar
Auf anderen Seiten teilen
CryptKeeper

CryptKeeper

Geschrieben
Geschrieben

Da man vier zufällig ausgewählte Zeichen eingeben muss, kann es durchaus vorkommen, dass z. B. beim ersten Login

C4 / D9 / X2 / A0 verlangt werden und beim zweiten Login

C5 / D1 / A0 / G6

 

Eine Koordinate läuft ja nicht ab, nachdem sie verwendet wurde.

 

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Die Anzahl der Kombinationen sind in diesem Fall irrelevant. Ausschlaggebend ist doch, dass der Inhalt einer Koordinate nicht bekannt ist. Wenn alle 260 Koordinaten verwendet wurden, hat man ein Sicherheitsproblem. Deshalb verbraucht sich eine Banken-TAN-Liste halt nach Gebrauch, eure Liste ist halt nur etwas länger.

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Oma

Oma

Geschrieben
Geschrieben

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Ist doch so auch noch nicht ganz richtig. Der Keylogger erfährt ja nur die Eingaben des Nutzers, nicht aber die Bildschirmausgabe (-> der Keylogger weiß nicht, welche Koordinate gerade eingegeben wird).

 

Es wäre schon ein vollwertiger Trojaner nötig, der in regelmäßigen Abständen noch Bildschirmaufnahmen macht, um auch diese Art der Authentifizierung zu knacken. Ein solcher Trojaner könnte aber auch den Key (QR-Code) der Authentifizierung über Google OTP mitlesen.

 

Die Authentifizierung über Passworttabelle ist allerdings die einzige, die auch nach der Aktivierung noch angreifbar ist. Am sichersten ist und bleibt der Yubikey. 100%-ige Sicherheit gibt es nicht. Also bleibt schön sauber.

Link zu diesem Kommentar
Auf anderen Seiten teilen
CryptKeeper

CryptKeeper

Geschrieben
Geschrieben

Ist doch so auch noch nicht ganz richtig. Der Keylogger erfährt ja nur die Eingaben des Nutzers, nicht aber die Bildschirmausgabe (-> der Keylogger weiß nicht, welche Koordinate gerade eingegeben wird).

 

Es wäre schon ein vollwertiger Trojaner nötig, der in regelmäßigen Abständen noch Bildschirmaufnahmen macht, um auch diese Art der Authentifizierung zu knacken. Ein solcher Trojaner könnte aber auch den Key (QR-Code) der Authentifizierung über Google OTP mitlesen.

 

Die Authentifizierung über Passworttabelle ist allerdings die einzige, die auch nach der Aktivierung noch angreifbar ist. Am sichersten ist und bleibt der Yubikey. 100%-ige Sicherheit gibt es nicht. Also bleibt schön sauber.

 

Da hast Du recht. Der Keylogger müsste auch die Koordinatenbezeichnung mitloggen, aber sowas kann man ja programmieren. Er braucht dazu keine Bildschirmaufnahme, sondern da reicht die Analyse der HTML-Seite des Logins, sicherlich stehen da die Bezeichnungen im Klartext drin.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Christoph Bergmann

Christoph Bergmann

Geschrieben
  • Autor
Geschrieben

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Die Anzahl der Kombinationen sind in diesem Fall irrelevant. Ausschlaggebend ist doch, dass der Inhalt einer Koordinate nicht bekannt ist. Wenn alle 260 Koordinaten verwendet wurden, hat man ein Sicherheitsproblem. Deshalb verbraucht sich eine Banken-TAN-Liste halt nach Gebrauch, eure Liste ist halt nur etwas länger.

Vielen Dank, das gebe ich so weiter. Ich halte es zwar für unwahrscheinlich, dass ein Virus zugleich Keylogger als auch html-/pixel-logger ist, aber 2fa ist ja dafür da, dass auch die schlimmste Malware draußenbleibt ...

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 3 Monate später...
blubblibla

blubblibla

Geschrieben
Geschrieben

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

 

Hast Du vielleicht eine andere 2-FA-Methode aktiv?

Link zu diesem Kommentar
Auf anderen Seiten teilen
azu393

azu393

Geschrieben
Geschrieben

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

findest du eig. bei den andern 2 faktor dingern -> dann einfach via tabelle wählen, sms anfordern und los gehts... der download wird dann dort paar cm tiefer angezeigt...

 

wenn keine sms kommt -> ruf da an, die jungs helfen bei sowas extrem schnell....

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.