2-Faktor Authentifizierung ohne Smartphone?

[Fumblkrusch]

Gerade eben wollte ich mir einige BTC auf meine private Wallet auszahlen lassen, was laut der aktuellen Meldung

"Wir werden nun jede Auszahlungsanforderung manuell prüfen. Wir empfehlen dringend jedem User, der die 2-Wege-Authentifizierung (OTP) noch nicht aktiviert hat, dies nun zeitnah zu tun"

nach einer Prüfung durch bitcoin.de möglich sein sollte.

 

Leider lässt mich das System nichts auszahlen, solange ich die 2-Faktor Authentifizierung nicht aktiviert habe.

Die wiederum braucht aber ein Smartphone und ich bin sicher nicht der einzige, der kein Smartphone besitzt. Nicht zuletzt auch, weil ein nicht-smartes Phone wesentlich schwerer zu hacken ist …

 

Gibt es eine Möglichkeit, die BTC ohne die 2FA auszuzahlen? Ist die Sperre für nicht-2-Faktor-autorisierte nur temporär bis die Hacks geklärt sind?

Ein Linux-Programm, das die Smartphone-App ersetzt wäre eine etwas unbequemere Lösung, aber besser als keine …

[Vknwxudwbikr]

Prinzipiell ist es aus Sicherheitsgründen ja bewußt so gedacht, dass der OTP-Generator auf einem anderen, von deinem normalen PC abgekapselten System (wie eben zB Handy) läuft. Zumindest ist es ganz wichtig, dass das Shared-Secred nicht auf dem normalen PC hack-bar ist, sonst hat OTP keinen Sinn...

 

Also, theoretisch könnte für OTP auch ein PC verwendet werden, der nicht am Internet hängt. Dort müsste das dann damit gehen:

 

1) Es gibt derzeit eine einfache Lösung für PC via Browser (oder Browser-Plugin), siehe:

http://www.ghacks.net/2012/10/01/gauth-authenticator-use-google-2-step-authentication-without-mobile-phone/

 

Hier der direkte Link:

http://gauth.gbraad.nl/

 

(ich hab es aber selbst nicht probiert, ich hoffe, es funktioniert auch offline als plugin...)

 

 

2) Außerdem gibt es eine Java Applikation für PC (die man aber selbst kompillieren müßte):

http://blog.jcuff.net/2011/02/cli-java-based-google-authenticator.html

 

Vielleicht findet noch jemand etwas anderes...

 

 

(PS: Falls jemand meine Tips gut/nützlich findet, wäre ich über eine kleine Spende sehr dankbar,

an 18fhPmEmMQ5rvkwAnuCNtckUSBLMopZbS5 - danke!)

Bearbeitet 17. April 2013 von Vknwxudwbikr

[LvM]

Völlig unverständlich was die da mal wieder wollen.

 

Was beim Home-Banking jede Bank mit PIN und mTAN macht,

indem man die mTan kinderleicht über jedes Handy empfangen kann, das geht hier mal wieder nicht.

 

Folgt man den Links landet man bei Google, der Hammer !!!!

 

http://support.google.com/accounts/bin/answer.py?hl=de&answer=1066447

 

Was hat denn Google mit der BTC-GmbH und meinem dortigen Konto zu tun???

 

Man soll sich irgendwelche "kompatiblen" (?????) Geräte von Google oder Apple beschaffen???

 

Das nennt sich wohl auch Schleichwerung. Fragt sich nur noch, wie hoch die Provision ist. :-(

[RoKu]

Die Provision ist gleich NULL falls es jemanden interessiert! Der Google Authenticator ist ein weiterverbreiteter Authenticator zur Generierung von Einmal-Codes. Er wird nicht nur bei bitcoin.de eingesetzt, sondern auch bei vielen anderen Portalen (wie z.B. MtGox,...)!

[LvM]

Sieht doch ganz so aus als müsse man sich da irgendwelche Geräte von Google und/oder der Apothekenfirma Apple beschaffen.

Ich will damit nichts zu tun haben. Und wer das sonst noch macht, ist mir egal.

 

Ich benutze für alle Banken ein für nicht einmal 20 Euro beschafftes SAMSUNG Handy.

Funktioniert seit langem absolut einwandfrei, schnell und problemlos.

Auch die Installation kinderleicht, weil nur die Handy-Nummer anzugeben ist.

 

Sich den Rechner dann auch noch mit lauter Software-Schrott von Google vollzuladen

und UMSTÄNDLICHSTE Installationsrituale mit "QR" etc abziehen, wieso denn das alles???

 

Warum bitte geht das nicht (wenigstens auch) über normales, SMS-fähiges Handy?

So macht es doch jede Bank, ist also ganz bestimmt "sicher" genug.

[RoKu]

von Google ist lediglich die App und man benötigt nicht "irgendwelche Geräte von Google und/oder der Apothekenfirma Apple".

Sicherlich würde das ganze auch mittels mTAN-Verfahren realisiert werden können, aber dies ist für die Betreiber um einiges umständlicher. Der Großteil besitzt eben heutzutage ein Smartphone und deswegen bietet sich solch eine App einfach an. Ob ein man den Code via SMS bekommt, einem Token oder mittels der App ist völlig egal.

[Informatiker]

Der Google-Authenticator ist absolut unbrauchbar für Leute, die Google boykotieren (zB ich).

Also, theoretisch könnte für OTP auch ein PC verwendet werden, der nicht am Internet hängt.

Ich verstehe nicht, warum einige Menschen glauben, ein PC, der am Internet hängt, sei generell nicht sicher.

 

Ich benutze weder einen Virenscanner, noch einen Firewall, noch irgendwelche Anti-Phishing-Programme....

Und ich hatte noch nie Sicherheitsprobleme. (Ich benutze einen selbstkonfigurierten Unixoid.)

 

Soll heißen:

Die richtige Kombination aus verantwortungsvollem Benutzer und guter Software kann durchaus sicher vor Hackern sein.

Deshalb ist ein PC am Internet nicht generell unsicher.

 

Dass Leute, die ihren eigenen PC sicher halten können, in Mitleidenschaft gezogen werden, eine properitäre Lösung von einem zweifelhaften Anbieter (Google: die horten ja Daten wie die Verrückten) zu verwenden, nur weil man sonst kein dummy-festes Sicherungsverfahren findet, ist sehr schade.

Er wird nicht nur bei bitcoin.de eingesetzt, sondern auch bei vielen anderen Portalen (wie z.B. MtGox,...)!

Also auf den Portalen, die ich verwende, ist die Verwendung freiwillig.

 

Und nach diesem Post kann man sich ja denken, ob ichs benutze oder nicht.

[Toni]

Leider lässt mich das System nichts auszahlen, solange ich die 2-Faktor Authentifizierung nicht aktiviert habe.

 

 

Die 2-Faktor Authentifizierung ist eine gute Lösung für Leute, die alle Daten über ihren (möglicherweise virenverseuchten) PC laufen lassen. Durch Einsatz eines vom PC unabhängigen Gerätes (beispielsweise SMS auf's Handy) gewinnen diese Leute viel an Sicherheit.

 

Da eine Bitcoin-Verwaltung auf einem virenverseuchten PC aber generell unsicher ist., gibt es in der Bitcoin-Gemeinde jedoch eine Menge Leute, welche einen zusätzlichen, vom Internet getrennten Laptop benutzen, um ihre Bitcoins zu verwalten,

 

Viele dieser Leute lehnen eine 2-Faktor Authentifizierung ab.

 

Das Angebot einer 2-Faktor Authentifizierung sollte daher immer f r e i w i l l i g bleiben.

 

Falls Bitcoin.DE die 2-Faktor Authentifizierung - was ich nicht weiß - als Pflicht einführen will, sollte sich Bitcoin.DE die Sache also vielleicht noch mal überlegen und für fortgeschrittene Bitcoin-Nutzer zumindest eine Alternative anbieten.

 

In Zusammenhang mit einer Neu-Verifizierung aller Bankkonten anlässlich der jüngsten Sicherheitslücke könnten fortgeschrittene Bitcoin Nutzer beispielsweise eine Bitcoin-Adresse angeben, mit der sie ihre Aufträge in Zukunft signieren.

 

So lange diese Nutzer ihre Bitcoins sicher verwalten und niemand den zur angegebenen Bitcoin-Adresse gehörenden Privat-Schlüssel erfährt, wäre ein solches Signatur-Verfahren einer 2-Faktor Authentifizierung wohl weit überlegen, nämlich so sicher wie der Bitcoin selber.

[Informatiker]

Die 2-Faktor Authentifizierung ist eine gute Lösung für Leute, die alle Daten über ihren (möglicherweise virenverseuchten) PC laufen lassen. Durch Einsatz eines vom PC unabhängigen Gerätes (beispielsweise SMS auf's Handy) gewinnen diese Leute viel an Sicherheit.

 

Da eine Bitcoin-Verwaltung auf einem virenverseuchten PC aber generell unsicher ist., gibt es in der Bitcoin-Gemeinde jedoch eine Menge Leute, welche einen zusätzlichen, vom Internet getrennten Laptop benutzen, um ihre Bitcoins zu verwalten,

 

Viele dieser Leute lehnen eine 2-Faktor Authentifizierung ab.

 

Das Angebot einer 2-Faktor Authentifizierung sollte daher immer f r e i w i l l i g bleiben.

Das kann ich unterschreiben! Genau meine Meinung.

 

Wenn man einen zweiten Authentifizierungsweg zusätzlich zum Passwort fordert, dann impliziert man ja, dass das Passwort alleine nicht sicher genug sei.

 

Die Sicherheit des Passworts wird durch drei Faktoren bestimmt:

 

1.: Die Sicherheit des bitcoin.de-Servers. (Wenn jemand in den Server einbricht, kann er zumindest die Hash-Codes der Passwörter auslesen, bei veralteter Sicherheitstechnik sogar die Passwörter selbst.)

 

2.: Die Verbindung der Clients zum Server. Diese ist dank SSL-Verschlüsselung ja gegeben.

 

3.: Die Sicherheit des User-PCs.

 

Ich denke, wir sind uns darüber einig, dass Punkt 1 und 2 sicher sind, bzw. dass wir uns sowieso darauf verlassen müssen.

Wenn bitcoin.de jetzt eine zusätzliche Authentifizierung zum Passwort fordert, dann heißt das doch, dass bitcoin.de den Punkt 3 als nicht sicher betrachtet.

 

Bitcoin.de wirft mir (und allen anderen Usern) also vor, wir könnten unsere PCs nicht richtig sichern.

Das ist eine unverschämte Unterstellung und obendrein eine Bevormundung, die ich nicht nötig habe.

 

Mag sein, dass dieser Zusatzschutz für andere Nutzer gut und richtig ist, aber eben nicht für alle. Deshalb muss es freiwillig sein.

 

Wie schon gesagt, ich benutze grundsätzlich nur Handelsplattformen, bei denen das freiwillig ist, würde bitcoin.de aber gerne weiterhin benutzen. Ich bin (bzw. war, als es die Sperre noch nicht gab,) ein bitcoin.de-Fan!

Bearbeitet 18. April 2013 von Informatiker

[alcapone77]

Hatte zuerst ein eigenes thema eröffnet, daher hier noch einmal:

 

Moin,

 

ich finde es ist eine Frechheit, dass meine Bitcoins faktisch eingefroren sind und bei bitcoin.de festhängen.

 

Ich will keine 2 Faktor Authentifizierung benutzen müssen, ich will auch nicht auf manuelle Prüfung warten oder sonst irgendein Versäumnis anderer ausbaden.

 

Meine Bitcoins sollen so schnell wie möglich an eine andere Wallet übertragen werden. Heute. Jetzt. Das geht zur Zeit mit meinen Mitteln (kein Smartphone o.ä.) nicht,

da bitcoin.de mir den Zugriff auf meine bTC verwehrt.

 

Und nun? Nun habe ich zwar Zugriff auf meinen Bitcoin Account, aber nicht auf meine Bitcoins...und frage mich: Stört das sonst keinen?

 

Gruß

 

 

Kann mich den Vorrednern nur anschliessen, mein PC ist sicher, ich habe ein sicheres Passwort und ich will meine BTC verwenden dürfen. Sofort.

[verzon]

.... in diversen Online und so weiter ..

 

"Bitcoin.de friert kurzfristig bitcoin-Guthaben von Usern ein"

[Fumblkrusch]

Grade gelesen: "Aktuell ist nur eine Auszahlung per 2-Wege-Authentifizierung (OTP) möglich. Im Laufe des Tages wird allerdings auch eine Auszahlung per SMS-TAN möglich sein."

 

Ich bin gespannt …

[Stonie]

Zeit, einmal mit ein paar Missverständnissen aufzuräumen.

 

Sieht doch ganz so aus als müsse man sich da irgendwelche Geräte von Google und/oder der Apothekenfirma Apple beschaffen.

Ich stimme zu, dass dies per SMS-TAN/mTAN möglich sein sollte. Nicht jeder hat/will ein Smartphone (obwohl Einrichtungen mit QR-Code noch einfacher sind, als die Handynummer einzutippen, aber das nur am Rande). Für die bsiherige Kostenstruktur beim Bitcoin-Handel ließ sich aber ein SMS-Versand kaum rechtfertigen. Entgegen der landläufigen Meinung bekommt man einen verlässlichen Versand über innerdeutsche Netze (und nicht irgendwelche Reseller-Kapazitäten aus Uganda) nicht unter 8 Cent pro Nachricht (eigene Infrastruktur nicht mitgerechnet). Das ist erst jetzt mit endgültiger Professionalisierung machbar und wird ja auch getan.

 

Der Google-Authenticator ist absolut unbrauchbar für Leute, die Google boykotieren (zB ich).

Der Google Authenticator ist ein freies und nicht proprietäres Protokoll, dass lediglich mit Googles Unterstützung entstand und seine Verbreitung durch die Nutzung bei Gmail und Co. erreichte. Es gibt zahlreiche Implementierungen für alle Devices, ich selbst nutzte das z.B. mit einem BlackBerry und nutze es jetzt mit Windows Phone, habe dort die Qual der Wahl unter mindestens vier verschiedenen Anwendungen von Microsoft selbst oder auch privaten Entwicklern.

 

Ich verstehe nicht, warum einige Menschen glauben, ein PC, der am Internet hängt, sei generell nicht sicher.

Die glauben das, weil es den Tatsachen entspricht. Es gibt nur wenige Menschen, denen es gelingt, ein System einigermaßen abzusichern. Man muss generell unterstellen, dass die PCs von Privatnutzern unsicher sind, das zeigen jährlich hunderttausende (!) Infektionen in Deutschland. Wer sich wirklich mit Sicherheit auskennt, wird niemals so naiv sein, seinen PC für sicher zu halten und nutzt freiwillig zwei Faktoren. Ich tue dies wo immer möglich.

 

Und ich hatte noch nie Sicherheitsprobleme. (Ich benutze einen selbstkonfigurierten Unixoid.)

Nunja, zumindest keine Probleme, die bemerkt wurden ;-) Der "Schutz" mit einem selbst kompilierten Programm ist lediglich relativer Natur, weil ein Angriff nicht lohnt. Absolut betrachtet ist ein Unix genauso unsicher oder sicher wie ein aktuelles Windows. Wirkliche Experten zeichnen sich dadurch aus, dass sie ihrem eigenen PC gerade nicht vollständig vertrauen würden.

 

Dass Leute, die ihren eigenen PC sicher halten können, in Mitleidenschaft gezogen werden, eine properitäre Lösung von einem zweifelhaften Anbieter (Google: die horten ja Daten wie die Verrückten) zu verwenden, nur weil man sonst kein dummy-festes Sicherungsverfahren findet, ist sehr schade.

Nochmal: der Authenticator ist nicht proprietär und Daten bekommt Google dadurch auch keine.

 

Also auf den Portalen, die ich verwende, ist die Verwendung freiwillig.

Nunja, bei deutschen Banken ist die Verwendung des zweiten Faktors nicht freiwillig. Kann sie auch nicht sein. Auch dort bestünde ja bei der Theorie eines sicheren Rechners keine Gefahr, wenn man Online Banking lediglich mit Kontonummer und Passwort betrieben würde. Jede Bank, die das anbietet, würde jedoch endgültig auf den Schäden aus Phishing und Co. sitzen bleiben. Und da kann der Nutzer (der nur Bequemlichkeit anstrebt) vorher so viel verlangt haben wie er will. Wenn dann erst einmal 500 BTC weg sind, wird er sich nicht scheuen, vor Gericht die unzureichenden Sicherheitsmechanismen durch die Bitcoin GmbH anzukreiden.

 

Sodele, ich will aber die Google Auth Nutzung auch nicht über den grünen Klee loben. Die Lösung und vor allem die aktuelle Anwendung ist alles andere als perfekt. JETZT Nutzer, deren Passwort ggf. korumpiert wurde, zur Einrichtung aufzufordern, das ist Blödsinn, denn dass kann dann auch der Angreifer einrichten und nutzen. Google Auth ist auch nicht gut zur Transaktionssicherung geeignet. Wenn ich einen Rechner kontrolliere, so kann ich nach dem Login beliebige Dinge anstellen oder vom tatsächlichen Nutzer gewollte Auszahlungen umleiten, ohne, dass der Nutzer das merkt. Eine SMS-Sicherung mit Transaktionsdetails in der Nachricht ist da ungleich besser.

 

Gruß

Stonie

[Vknwxudwbikr]

@Stonie: Ich kann nur sagen, du sprichst mir aus der Seele, in allen Absätzen...

(offenbar wird es bitcoin.de in nächster Zeit schwer haben, jedem alles recht zu machen)

 

Jedenfalls verstehe ich manche hier in dem Forum auch nicht wirklich!

 

Auf der einen Seite kritisieren natürlich einige, dass Sicherheitsprobleme aufgetreten sind, und machen tlw. konstruktive Vorschläge, was man es ev. in Zukunft besser machen könnte. Siehe zB auch meinen Beitrag hier:

https://forum.bitcoin.de/technik-entwicklung-sicherheit/694-vorschlag-fuer-mehr-sicherheit-gegenueber-hacker-phisher.html

 

Auf der anderen Seite nörgeln einige schon jetzt herum, dass bitcoin.de ein zusätzliches Sicherheitsfeature verwendet, und möchten nicht einmal das verwenden.

Dann wieder wollen manche aber dann zB SMS fordern, ohne zu bedenken, dass das EU-weit natürlich nicht gratis wäre - oder wollen die Leute dann für den extra Service gerne extra Gebühren mit BTCs zahlen... (Daher war wohl derzeit die Google-Auth-Methode bzgl Sicherheit-zu-Aufwand/Kosten derzeit der beste Tradeoff...)

 

Jedenfalls hatte ich in einem anderen Thread eh schon erwähnt, dass Google-Auth-Kompatible Programme fast auf allem läuft und man daher eigentlich GAR KEIN Smartphone braucht (es gibt also eh Versionen, die auf PC und sogar nur in einem Web-Browser als plugin laufen...) - man muss halt nur ca 2min im Web recherchieren ;-) Aber es macht vom Sicherheitsapsekt natürlich mehr Sinn, den Code-Generator auf einem getrennten Gerät ablaufen zu lassen (müsste man aber theroetisch nicht).

 

Also - an alle Verschwörungs-Theoretiker: Man wird NICHT gezwungen, ein Google-Gerät zu kaufen, weil es, wie ich in meiner 1. Antwort in diesem Thread schon erwähnt habe, schon einige kompatible alternative Programme für versch. Geräte (incl. PC!) dafür gibt!

 

 

Und hier noch eine generelle Anmerkung zu jeglicher zusätzlichen Auth-Methode:

Wenn bitcoin.de jetzt eine zusätzliche Authentifizierung zum Passwort fordert, dann heißt das doch, dass bitcoin.de den Punkt 3 als nicht sicher betrachtet.

Bitcoin.de wirft mir (und allen anderen Usern) also vor, wir könnten unsere PCs nicht richtig sichern.

 

Hallo? Schon einmal Online-Banking verwendet? Exakt dasselbe gilt dort auch!

Wenn man also deiner Logik folgt, nimmt eben nicht nur bitcoin.de an, dass heutzutage Username+PW nicht mehr genügen für sicherheitsrelevante Seiten, sondern so gut wie jede Bank-Website in der EU (und auch viele andere Seiten, wo es direkt um tlw viel Geld/Transfers geht)! Das wird also einen Grund haben! Alle Banken haben auch irgendeine 2. Verifizierungsmethode, sei es i/mTans, Authenticator, Bürgerkarte oder etwas ähnliches...

NB: Bin schon gespannt, ob genau dieselben Leute, die diesen zusätzlichen Sicherheitsmechanismus verweigern, dann herumheulen, und im Zweifelsfall dann gleich bitcoin.de verklagen würden, falls wegen einem Hackerangriff plötzlich genau ihre BTC weg wären (und nicht von jenen Leuten, die die zusätzliche Sicherheit(+paar Sekunden mehr Eingabezeit) freiwillig in Anspruch genommen haben)...

 

Und da es bei BTC schon auch um echtes Geld geht, bin ich froh, wenn es derzeit zumindest eine zusätzliche Sicherung gibt - die paar Sekunden zum Eintippen des extra Codes spendiere ich lieber, als wenn mir dann zig BTCs gestohlen werden (aber jedem das Seine - wer als einer der Weinigen die zusätzliche Sicherheit eigenverantwortlich verweigert, sollte dann nicht meckern, falls es ihm dann passiert...)

 

PS: @"Informatiker": Auch ich verwende seit 2000 nur mehr Linux am Desktop, und bin trotzdem froh, dass es bei bitcoin.de (wie auch beim Online-Banking) zumindest irgendeine Möglichkeit der 2. Verifizierungs-Methode gibt, und ich würde niemals nur darauf vertrauen, dass Username+PC immer genügen, weil mein System eh perfekt abgesichert ist (weil zB auf dem Weg zwischen meinem Rechner bis incl. dem jew. Server auch noch viele Punkte kompromitiert werden könnten)...

Bearbeitet 18. April 2013 von Vknwxudwbikr

[LvM]

Die Bitcoin GmbH und ihre Progammierer muß man ja förmlich zum Jagen tragen.

 

Immerhin hat man sich jetzt doch dazu bequemt, wenigstens das von fast allen Banken verwendete mTAN-Verfahren zu implementieren (Empfang der TAN über normales Handy).

 

Funktioniert, zwar holperig und (wie auch sonst üblich) wenig benutzerfreundlich und für Anfänger schlecht erklärt, aber immerhin.

 

Man braucht im Prinzip nur seine Handynummer mit Landesvorwahl (0049 für D.) anzugeben,

erhält dann über dieses Handy postwendend einen Bestätigungscode, den man ebenfalls noch eintippen und zurückschicken muß.

Fertig.

 

Nach wie vor lachhaft und ärgerlich die grob RECHTWIDRIGE Beschränkung von Überweisungen auf 15 BTC pro Tag.

[schopenhauer]

Die Bitcoin GmbH und ihre Progammierer muß man ja förmlich zum Jagen tragen.

 

Immerhin hat man sich jetzt doch dazu bequemt, wenigstens das von fast allen Banken verwendete mTAN-Verfahren zu implementieren (Empfang der TAN über normales Handy).

 

Funktioniert, zwar holperig und (wie auch sonst üblich) wenig benutzerfreundlich und für Anfänger schlecht erklärt, aber immerhin.

 

Man braucht im Prinzip nur seine Handynummer mit Landesvorwahl (0049 für D.) anzugeben,

erhält dann über dieses Handy postwendend einen Bestätigungscode, den man ebenfalls noch eintippen und zurückschicken muß.

Fertig.

 

Nach wie vor lachhaft und ärgerlich die grob RECHTWIDRIGE Beschränkung von Überweisungen auf 15 BTC pro Tag.

 

War da ein verstecktes Lob enthalten?

[LvM]

Überweisungslimits sollten die User, wenn sie sich quasi vor sich selbst schützen wollen, selbst eingeben können.

[Stonie]

Nach wie vor lachhaft und ärgerlich die grob RECHTWIDRIGE Beschränkung von Überweisungen auf 15 BTC pro Tag.

Wo beschränkt denn bitte Bitcoin.de die Auszahlung? Eine 15 BTC-Beschränkung gibt es - sinnvollerweise - im Bronze-Level. Was ist an dieser jederzeit (auch vor Vertragsschluss oder Anmeldung bei Bitcoin.de) einsehbaren Festlegung rechtswidrig?

 

Gruß

Stonie

[Informatiker]

Der Google Authenticator ist ein freies und nicht proprietäres Protokoll, dass lediglich mit Googles Unterstützung entstand und seine Verbreitung durch die Nutzung bei Gmail und Co. erreichte. Es gibt zahlreiche Implementierungen für alle Devices, ich selbst nutzte das z.B. mit einem BlackBerry und nutze es jetzt mit Windows Phone, habe dort die Qual der Wahl unter mindestens vier verschiedenen Anwendungen von Microsoft selbst oder auch privaten Entwicklern.

[...]

Nochmal: der Authenticator ist nicht proprietär und Daten bekommt Google dadurch auch keine.

Ich gebe zu, dass ich mich da in der Aufregung nicht ausreichend informiert habe. Nach den zahlreichen mehr oder weniger als Skandal wahrgenommenen Vorgehensweisen von Google in Sachen Android (z.B. dass die sich das Recht vorbehalten ohne Wissen der Anwender nachträglich Software auf dem Gerät zu installieren), bekomme ich eben, wenn's um Google geht schon gewisse Abwehrreaktionen.

Das ist wohl eher eine ideologische Frage: Als Dezentralisierungsbefürworter finde ich, dass man nie früh genug anfangen kann, den Marktführer zu boykotieren, um Monopole zu vermeiden (Ich trade zB auch nicht bei MtGox). Es lebe die Vielfalt und der Wettbewerb!

 

Faktisch natürlich völlig richtig: GoogleAuth ist nicht properitär, das habe ich wie gesagt bei meinem kleinen Ausraster übersehen....

 

[...] Wer sich wirklich mit Sicherheit auskennt, wird niemals so naiv sein, seinen PC für sicher zu halten und nutzt freiwillig zwei Faktoren. Ich tue dies wo immer möglich.

[...]

Nunja, zumindest keine Probleme, die bemerkt wurden ;-) Der "Schutz" mit einem selbst kompilierten Programm ist lediglich relativer Natur, weil ein Angriff nicht lohnt. Absolut betrachtet ist ein Unix genauso unsicher oder sicher wie ein aktuelles Windows. Wirkliche Experten zeichnen sich dadurch aus, dass sie ihrem eigenen PC gerade nicht vollständig vertrauen würden.

PS: @"Informatiker": Auch ich verwende seit 2000 nur mehr Linux am Desktop, und bin trotzdem froh, dass es bei bitcoin.de (wie auch beim Online-Banking) zumindest irgendeine Möglichkeit der 2. Verifizierungs-Methode gibt, und ich würde niemals nur darauf vertrauen, dass Username+PC immer genügen, weil mein System eh perfekt abgesichert ist (weil zB auf dem Weg zwischen meinem Rechner bis incl. dem jew. Server auch noch viele Punkte kompromitiert werden könnten)...

Insbesondere, wenn es um diese endlose Unix/Windows-Frage geht, möchte ich hier ausdrücklich Warnen:

Diese Diskussion können wir nicht zu Ende führen!! Damit könnte man ganze Bücher füllen!

 

Dieses Thema wollte ich eigentlich auch gar nicht anreißen

 

Nunja, bei deutschen Banken ist die Verwendung des zweiten Faktors nicht freiwillig. Kann sie auch nicht sein. Auch dort bestünde ja bei der Theorie eines sicheren Rechners keine Gefahr, wenn man Online Banking lediglich mit Kontonummer und Passwort betrieben würde. Jede Bank, die das anbietet, würde jedoch endgültig auf den Schäden aus Phishing und Co. sitzen bleiben. Und da kann der Nutzer (der nur Bequemlichkeit anstrebt) vorher so viel verlangt haben wie er will. Wenn dann erst einmal 500 BTC weg sind, wird er sich nicht scheuen, vor Gericht die unzureichenden Sicherheitsmechanismen durch die Bitcoin GmbH anzukreiden.

Meineswissens sind die Banken gesetzlich dazu verplichtet, derartige Sicherungsverfahren ihren Kunden vorzuschreiben. Ob man das Gesetz gut findet, oder nicht, diese Diskussion würde auch den Umfang hier sprengen.

 

Fakt ist: Andere Bitcoin-Börsen machen es vor, dass es reicht, die 2FA freiweillig anzubieten, statt sie den Kunden vorzuschreiben.

 

Fakt ist auch: Manche Kunden (zB ich) empfinden ihr eigenes System als sicher, insbesondere solche, die auch in der Bitcoin-Community unterwegs sind (darauf beruht ja die Idee des Bitcoins: Nicht der Bank die Sicherheit anvertrauen, sondern selber für Sicherheit sorgen)!!

 

Diese Kunden sind geschäftsfähig, und in der Lage, eigenverantwortlich zu handlen. Wenn die 2FA verpflichtend ist, fühlen die sich eben bevormundet.

 

Ich bin doch nicht grundsätzlich gegen 2FA, im Gegenteil: Es ist sogar gut, wenn 2FA angeboten wird, für die Leute, die es brauchen. Aber eben freiwillig!!

 

Hallo? Schon einmal Online-Banking verwendet? Exakt dasselbe gilt dort auch!

Wenn man also deiner Logik folgt, nimmt eben nicht nur bitcoin.de an, dass heutzutage Username+PW nicht mehr genügen für sicherheitsrelevante Seiten, sondern so gut wie jede Bank-Website in der EU (und auch viele andere Seiten, wo es direkt um tlw viel Geld/Transfers geht)!

Ja, genau!!! Du bist meiner Logik zu 100% richtig gefolgt! Und ich möchte anmerken, dass es doch gerade in der Bitcoin-Community viele Leute gibt, die das genauso sehen.

Ja, worum geht es denn beim Bitcoin überhaupt??

Doch wohl darum, dass man die Sichertheitsverwantwortung eben nicht mehr an die Banken auslagert, sondern selber trägt!!

Bitcoin-Fans leben eigenverantwortlich.

Um's auf deutsch zu sagen: Die Sicherheitsvorkehrungen im Online-Banking k̶o̶t̶z̶e̶n̶ ̶m̶i̶c̵h̶ ̶a̶n̶ gehen mir auf die Nerven.

 

Ja, was glaubst du denn, warum ich in Bitcoins investiere? Weil ich geil auf den Profit bin? Nein, zu der Sorte von Bitcoinern gehöre ich nicht.

 

Mich fasziniert die Technik und die Ideologie dahinter, die Bewegung, die dahinter steckt.

 

NB: Bin schon gespannt, ob genau dieselben Leute, die diesen zusätzlichen Sicherheitsmechanismus verweigern, dann herumheulen, und im Zweifelsfall dann gleich bitcoin.de verklagen würden, [...]

Ja, solche Herumheuler gibt es leider, aber ich kann dir versichern: Ich gehöre nicht dazu! Wenn die Coins mal weg sind, dann beiß ich mir halt in den A....., aber dann ist's auch wieder gut.

 

[...] (aber jedem das Seine - wer als einer der Weinigen die zusätzliche Sicherheit eigenverantwortlich verweigert, sollte dann nicht meckern, falls es ihm dann passiert...)

Bei diesem aber jedem das Seine, da kann ich zu 100% zustimmen. Folglich sollte die 2FA ja auch freiwillig sein: Dann können die einen das Risiko tragen, die anderen an bitcoin.de abgeben: Jedem seine Sache!

 

 

 

 

EDIT - Nachtrag:

Ich möchte wie gesagt hier nicht über ideologische Ansichten diskutieren; das dauert nur lang und dabei kommt nicht viel bei rum:

 

Aber: Ein Kompromissvorschlag zur Güte

Herr Flaskämper könnte es doch so einrichten, dass die 2FA per default aktiviert ist, sich aber deaktivieren lässt, nachdem man zwei bis drei riesige, fette Disclaimer mit roten Buchstaben weggeklickt hat, wo drin steht, dass die Bitcoin GmbH für nichts haftet.

 

Also ich würd's machen ;-)

Bearbeitet 18. April 2013 von Informatiker

[Stonie]

Insbesondere, wenn es um diese endlose Unix/Windows-Frage geht, möchte ich hier ausdrücklich Warnen:

Diese Diskussion können wir nicht zu Ende führen!! Damit könnte man ganze Bücher füllen!

Müssen wir auch nicht, halte das für ziemlich ausdiskutiert. Relative Sicherheit bei Linux keine Frage, absolut jedoch nicht. Gerade Microsoft hat in den letzten Jahren in Sachen sicherer Entwicklung echt was gerissen. Das sage ich als jemand, der seit 2001 Linuxer ist und früher anti-M$ Aufkleber auf dem Notebook hatte.

 

Meineswissens sind die Banken gesetzlich dazu verplichtet, derartige Sicherungsverfahren ihren Kunden vorzuschreiben.

Es gibt kein derartiges Gesetz. Allerdings ist die Rechtsprechung sehr eindeutig, dass keine Bank den Schaden aus Phishing (den hat nämlich erst einmal die Bank, das wissen die meisten nicht) nicht durch einen Schadenersatz ihres Kunden ersetzt bekommen kann, wenn sie keine ausreichenden Sicherheitsverfahren anbietet.

 

Diese Kunden sind geschäftsfähig, und in der Lage, eigenverantwortlich zu handlen. Wenn die 2FA verpflichtend ist, fühlen die sich eben bevormundet.

Nunja, allerdings schützt der Stat direkt durch Gesetz oder indirekt durch verbraucherfreundliche Rechtsprechung seien Bürger, auch Volljährige. Du kannst auch kein Grundstück per Handschlag und Bitcoin-Überweisung kaufen, sondern musst zum Notar. Ist das auch Bevormundung? Ähnlich ist es beim Banking. Selbst wenn Dein Rechner sicher ist, Millionen von Rechnern sind es nicht und deren Nutzer können das überhaupt nicht beurteilen. Drum rollt man Schutzmaßnahmen für alle aus.

 

Ja, solche Herumheuler gibt es leider, aber ich kann dir versichern: Ich gehöre nicht dazu! Wenn die Coins mal weg sind, dann beiß ich mir halt in den A....., aber dann ist's auch wieder gut.

Selbst wenn es bei Dir so ist, wie soll Bitcoin.de die vertrauenswürdigen bewussten und nicht nur bequemen Nicht-Nutzer zuverlässig ermitteln?

 

Gruß

Stonie

[Informatiker]

Müssen wir auch nicht, halte das für ziemlich ausdiskutiert. Relative Sicherheit bei Linux keine Frage, absolut jedoch nicht. [...]

Naja, ausdiskutiert war es ja, weil ich kein Kontra gegeben habe, werd ich auch nicht tun.

Ich möchte nur anmerken, dass ich auch bei der Frage "Absolute (PC-)Sicherheit" eine etwas andere Ansicht habe.

Damit könnte man dann aber mehr als nur ein ganzes Buch füllen....

 

Es gibt kein derartiges Gesetz. Allerdings ist die Rechtsprechung sehr eindeutig, [...]

Ich glaube, ich hatte schon gesagt, dass ich ein juristischer Laie bin. Wenn ich also irgendwas von Recht und Gesetz erzähle, betrachte es als einen gut gemeinten Schuss ins Blaue

 

Nunja, allerdings schützt der Staat direkt durch Gesetz oder indirekt durch verbraucherfreundliche Rechtsprechung seien Bürger, auch Volljährige. Du kannst auch kein Grundstück per Handschlag und Bitcoin-Überweisung kaufen, sondern musst zum Notar. Ist das auch Bevormundung? [...]

Die Bitcoin-Community ist sehr vielschichtig. Da gibt es auch Leute, die würden diese wohl eher rhetorisch gemeinte Frage direkt mit Ja beantworten. Wildwest-Style eben. Anarchie.

 

Ich bin da doch noch ein vergleichsweise Gemäßigter.

 

Selbst wenn es bei Dir so ist, wie soll Bitcoin.de die vertrauenswürdigen bewussten und nicht nur bequemen Nicht-Nutzer zuverlässig ermitteln?

Du hast noch gar nichts zu meinem Kompromissvorschlag gesagt:

EDIT - Nachtrag:

Ich möchte wie gesagt hier nicht über ideologische Ansichten diskutieren; das dauert nur lang und dabei kommt nicht viel bei rum:

 

Aber: Ein Kompromissvorschlag zur Güte

Herr Flaskämper könnte es doch so einrichten, dass die 2FA per default aktiviert ist, sich aber deaktivieren lässt, nachdem man zwei bis drei riesige, fette Disclaimer mit roten Buchstaben weggeklickt hat, wo drin steht, dass die Bitcoin GmbH für nichts haftet.

 

Also ich würd's machen ;-)

Wäre das rechtlich machbar? Oder käme da jemand und sagt, es wäre ein sittenwidriger Disclaimer?

 

Die Idee ist doch, dass der "nur bequeme Nicht-Nutzer" so ziemlich alles bei den Defaulteinstellungen lässt; aus Bequemlichkeit eben.

Aber spätestens bei dem Disclaimer sollte ja jeder überlegen, was er da eigentlich tut.

Bearbeitet 18. April 2013 von Informatiker

[Stonie]

Naja, ausdiskutiert war es ja, weil ich kein Kontra gegeben habe, werd ich auch nicht tun.

OK, würde wie gesagt zu weit führen. Ich halte das Thema aber allgemein (nicht hier) für durchgekaut, habe mich damit im Studium intensivst beschäftigt. Es gibt ein einzelnes objektives Alleinstellungsmerkmal, das für die Sicherheit freier Software spricht, nämlich die Anpassbarkeit und Prüfmöglichkeit. Darüber hinaus lassen sich empirisch zwar eine geringere Fehlerzahl und eine schnelle Behebung der Fehler in Freier Software nachweisen, diese Untersuchungen beziehen sich aber immer nur auf bestimmte große Projekte und sind nicht allgemein übertragbar. Zugegeben, diese großen Projekte umfassen natürlich mit Betriebssystemen und Browsern die üblichen Einsprungpunkte für Angriffe, insoweit will ich nicht so tun, dass Deine Meinung objektiv nicht haltbar wäre. Du hast absolut recht, dass man das so beurteilen kann. Selbstverständlich ist für mich, dass man durch Freie Software keinesfalls unsicherer wird. Andererseits zeigen die tatsächlichen Updates mit der Behebung von Sicherheitslücken oder Knaller wie der Debian-Schlüssel-Bug auf, dass auch ein Linux im Prinzip zu jedem Zeitpunkt verwundbar ist. Nochmal: Ich respektiere Deine Meinung, die absolut vertretbar ist.

 

Du hast noch gar nichts zu meinem Kompromissvorschlag gesagt:

Weil ich den nicht wahrgenommen hatte. Der war reineditiert, oder? Kurz und knapp: Das wäre noch gangbar. Es bleibt dabei, dass diejenigen, die 2FA ablehnen, das Problem nicht verstehen. Aber wenn denn jemand unbedingt will, wäre das noch die am ehesten vertretbare Lösung. Kommt allerdings auf die Umsetzung an. Ich müsste ja erst einmal 2FA einrichten, um es abzuschalten. Irgendwie blöd (wenn ich entweder einrichten muss ODER drei Disclaimer anklicke, ist das wiederum nicht so prickelnd). Eine einmalige SMS würde auch analog zur Verifikationmspflicht bei Prepaid-Kreditkarten aufsichtsrechtliche Probleme vermindern.

 

Könnte man machen, meine persönliche Meinung ist dennoch eher ablehnend. Wenn das Sicherheitsniveau insgesamt erhöht wird, stärkt das auch das Vertrauen in den Bitcoin-Handel insgesamt.

 

Gruß

Stonie

[QFZQ71]

Also wie hier anfangs schon angemerkt wurde gibt es auch für den PC grundsätzlich Auth-Lösungen.

 

Für Windows 8 und RT-Geräte gibt es bspw. die Store App "Google Authenticator". Ist natürlich wie alle Windows Store Apps für Tablets ausgelegt, kann aber zur Not auch auf dem Desktop-PC verwendet werden.