Jump to content
Melde dich an, um diesem Inhalt zu folgen  
Christoph Bergmann

2-Faktor-Authorisierung mit Passworttabelle

Empfohlene Beiträge

Der Marktplatz bitcoin.de führt in dieser Woche eine neue Methode der 2-Faktor-Authorisierung ein: die Passworttabelle. Mit dieser können Nutzer den Zugang zu ihrem Account sichern, ohne auf Smartphones, Yubikeys oder Emails angewiesen zu sein. Ab heute kann man diese Option in den Einstellungen aktivieren und seine Passworttabelle ausdrucken.

 

Mehr Infos: http://bitcoinblog.de/2014/10/29/2-faktor-authorisierung-mit-passworttabelle-auf-bitcoin-de/

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und schon habe ich eine Antwort:

 

"Nein, die PW-Tabelle läuft nicht ab und verbraucht sich auch nicht.
Grob überschlagen gibt es (10*30)^4 = über 8 Milliarden Möglichkeiten - da
muss nichts "entwertet" werden."

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also da muss ich widersprechen:

 

In der Passwort-Tabelle befinden sich 10 x 26 Zeichen, macht insgesamt 260 Codes. Bei jedem Login benutze ich 4 davon, d.h. Ich kann 65 Logins machen, bevor sich ein Code wiederholen muss! Wenn ich einen Keylogger auf meinem System habe (wovor diese Tabelle ja schützen soll) braucht der nur eine endliche Menge von Codes mitzuloggen, bis er genügend Codes für ein Login beisammen hat. Evtl. reichen da mit ein Bisschen Glück (für den bösen Hacker) auch nur die Hälfte an Codes.

 

Ich würde die PW-Tabelle ablaufen lassen, wenn alle Codes verbraucht sind, so wie alle Banken das mit der TAN-Liste auch machen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hmmm ...

 

Das klingt jetzt so, als würde eine Seite des Würfels verschwinden, wenn man sie geworfen hat.

 

Es gibt 260 Zeichen.

Bei jedem Login nutzt man 4 zufällig ausgewählte Zeichen. D.h. es gibt

260*260*260*260 mögliche Kombinationsmöglichkeiten: ~4,6 Milliarden.

 

Da man vier zufällig ausgewählte Zeichen eingeben muss, kann es durchaus vorkommen, dass z. B. beim ersten Login

C4 / D9 / X2 / A0 verlangt werden und beim zweiten Login

C5 / D1 / A0 / G6

 

Eine Koordinate läuft ja nicht ab, nachdem sie verwendet wurde.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da man vier zufällig ausgewählte Zeichen eingeben muss, kann es durchaus vorkommen, dass z. B. beim ersten Login

C4 / D9 / X2 / A0 verlangt werden und beim zweiten Login

C5 / D1 / A0 / G6

 

Eine Koordinate läuft ja nicht ab, nachdem sie verwendet wurde.

 

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Die Anzahl der Kombinationen sind in diesem Fall irrelevant. Ausschlaggebend ist doch, dass der Inhalt einer Koordinate nicht bekannt ist. Wenn alle 260 Koordinaten verwendet wurden, hat man ein Sicherheitsproblem. Deshalb verbraucht sich eine Banken-TAN-Liste halt nach Gebrauch, eure Liste ist halt nur etwas länger.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Ist doch so auch noch nicht ganz richtig. Der Keylogger erfährt ja nur die Eingaben des Nutzers, nicht aber die Bildschirmausgabe (-> der Keylogger weiß nicht, welche Koordinate gerade eingegeben wird).

 

Es wäre schon ein vollwertiger Trojaner nötig, der in regelmäßigen Abständen noch Bildschirmaufnahmen macht, um auch diese Art der Authentifizierung zu knacken. Ein solcher Trojaner könnte aber auch den Key (QR-Code) der Authentifizierung über Google OTP mitlesen.

 

Die Authentifizierung über Passworttabelle ist allerdings die einzige, die auch nach der Aktivierung noch angreifbar ist. Am sichersten ist und bleibt der Yubikey. 100%-ige Sicherheit gibt es nicht. Also bleibt schön sauber.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ist doch so auch noch nicht ganz richtig. Der Keylogger erfährt ja nur die Eingaben des Nutzers, nicht aber die Bildschirmausgabe (-> der Keylogger weiß nicht, welche Koordinate gerade eingegeben wird).

 

Es wäre schon ein vollwertiger Trojaner nötig, der in regelmäßigen Abständen noch Bildschirmaufnahmen macht, um auch diese Art der Authentifizierung zu knacken. Ein solcher Trojaner könnte aber auch den Key (QR-Code) der Authentifizierung über Google OTP mitlesen.

 

Die Authentifizierung über Passworttabelle ist allerdings die einzige, die auch nach der Aktivierung noch angreifbar ist. Am sichersten ist und bleibt der Yubikey. 100%-ige Sicherheit gibt es nicht. Also bleibt schön sauber.

 

Da hast Du recht. Der Keylogger müsste auch die Koordinatenbezeichnung mitloggen, aber sowas kann man ja programmieren. Er braucht dazu keine Bildschirmaufnahme, sondern da reicht die Analyse der HTML-Seite des Logins, sicherlich stehen da die Bezeichnungen im Klartext drin.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Doch, leider schon. Nach den zwei Logins weiß der böse Keylogger schon mal 8 "Koordinaten" und davon gibt es leider nur 260 in der Passwort-Tabelle!

Die Anzahl der Kombinationen sind in diesem Fall irrelevant. Ausschlaggebend ist doch, dass der Inhalt einer Koordinate nicht bekannt ist. Wenn alle 260 Koordinaten verwendet wurden, hat man ein Sicherheitsproblem. Deshalb verbraucht sich eine Banken-TAN-Liste halt nach Gebrauch, eure Liste ist halt nur etwas länger.

Vielen Dank, das gebe ich so weiter. Ich halte es zwar für unwahrscheinlich, dass ein Virus zugleich Keylogger als auch html-/pixel-logger ist, aber 2fa ist ja dafür da, dass auch die schlimmste Malware draußenbleibt ...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ich denke das ist sicher genug.

 

Vor allem wenn man sowieso nur die Bitcoins bei bitcoin.de hat, die man sowieso gerade verkaufen will...

 

Das Risiko ist sehr übersichtlich...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

 

Hast Du vielleicht eine andere 2-FA-Methode aktiv?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich wollte mir mal die Passworttabelle herunterladen, kann diese aber nirgendwo in den Einstellungen finden.

 

Wo muss ich suchen? Ich dachte eigentlich bei "Sicherheit / 2-Faktor-Authentifizierung" wäre ich richtig.

findest du eig. bei den andern 2 faktor dingern -> dann einfach via tabelle wählen, sms anfordern und los gehts... der download wird dann dort paar cm tiefer angezeigt...

 

wenn keine sms kommt -> ruf da an, die jungs helfen bei sowas extrem schnell....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hast Du vielleicht eine andere 2-FA-Methode aktiv?

Stimmt! Wahrscheinlich muss ich die zuerst deaktivieren, damit ich wieder alle Optionen sehe.

 

Danke für den Tipp.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

×
×
  • Neu erstellen...

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.