Zum Inhalt springen

2-Faktor-Authentifizierung - Alternativen zum Code-Generator?


Empfohlene Beiträge

Hallo!

 

In einer aktuellen Meldung auf bitcoin.de wird empfohlen, für seinen Account die 2-Faktor-Authentifizierung zu aktivieren. Damit muss bei jedem Login-Versuch zum gültigen Passwort zusätzlich ein One-Time-Code eines Code-Generators (zB App auf einem Smartphone) eingegeben werden.

 

Hier stellt sich mir nun aber die folgende Frage:

Was tun, wenn der Code-Generator kaputt geht oder kurzzeitig nicht zur Verfügung steht (Defekt, oder einfach: Am Smartphone ist im Moment der Akku leer).

 

Aktuell scheint das System ja so implementiert zu sein, dass ohne den Code der 2-Faktor-Authentifizierung ein Login überhaupt nicht möglich ist.

 

Wünschenswert wären hier aber Alternativ-Möglichkeiten. Am Beispiel von Google (wo dieser 2-Wege-Mechanismus für Logins in den Google-Account genutzt werden kann) stehen dort folgende Alterantiven zur Verfügung:

* SMS bzw. Anruf eines Sprachcomputers an hinterlegte Telefonnummern --> so wird ein 6-stelliger Code alternativ bekannt gegeben

* Zurverfügungstellung einer Liste mit Offline-Codes. Diese funktionieren jederzeit, jeweils einmalig, und so lange, bis eine erstellte Liste durch einen User deaktiviert wird bzw. alle Codes der Liste verbraucht wurden. So eine Liste kann zB ausgedruckt und in der Geldbörse mitgetragen werden.

 

 

Derzeit sehe ich bei der 2-Wege-Authentifizierung auf bitcoin.de mittels Code-Generator-App am Smartphone einen Single-Point-Of-Failure. Der Sicherheitsgewinn wird damit erzielt, gleichzeit steigt aber auch die Gefahr sich wegen eines Ausfalls des Code-Generators vollständig selbst aus dem System zu sperren.

 

Sind hier bereits Lösungen gegen diese Problemstellung angedacht, oder gibt es so etwas vielleicht bereits?

Link zu diesem Kommentar
Auf anderen Seiten teilen

@bituser:

Längerfristig mag das sicher sinnvoll sein, aber aufgrund der aktuellen Gefahren, (email-hacking&phishing etc) bin ich froh, dass es OTP gibt, und NUR das (je mehr Login-Alternativen geöffnet werden, umso mehr Angriffspunkte gibt es)...

 

Ich finde, zumindest kurzfristig sollte bitcoin.de (aus aktuellem Anlass) zuerst die Probleme lösen, die aktuell bei Usern auftreten, die OTP noch *nicht* verwenden, siehe:

https://forum.bitcoin.de/technik-entwicklung-sicherheit/694-vorschlag-fuer-mehr-sicherheit-gegenueber-hacker-phisher.html

 

 

Aber - falls dein Handy wirklich gerade nicht geht, habe ich eine provisorische Lösung hier gepostet (das shared-secret sollte ja sowieso UNBEDINGT sicher verwahrt aufbehalten, zB ausgedruckt):

https://forum.bitcoin.de/marktplatz-bitcoin-de/698-2-faktor-authentifizierung-ohne-smartphone.html

Link zu diesem Kommentar
Auf anderen Seiten teilen

Aktuell scheint das System ja so implementiert zu sein, dass ohne den Code der 2-Faktor-Authentifizierung ein Login überhaupt nicht möglich ist.

 

Das heisst also: Wer das nicht hat kann sich momentan von vornherein nicht einloggen? Das wäre schön zu wissen, denn auch ich kann mich nicht mehr einloggen. Aber wenn das jetzt von Bitcoin.de so eingestellt ist, dann bräuchte ich mir wenigstens mal keine Sorgen zu machen, dass mein Account irgendwie kompromittiert wurde. Immer wenn ich mich nämlich einloggen will, bekomme ich die Mitteilung, meine Logdaten würden nicht stimmen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das heisst also: Wer das nicht hat kann sich momentan von vornherein nicht einloggen?

 

Das gilt natürlich nur, wenn man die 2-Faktor-Authentifizierung für seinen Account aktiviert hat. Dann - und nur dann - gibt es kein Zurück mehr und man muss den zusätzlichen Code zwingend eingeben.

 

Ein Pech wenn die Technik versagt und zB das Smartphone gerade kaputt ist welches die Codes generiert.

 

Großartige zusätzliche Einfallstore sehe ich in zusätzlichen Sicherheitsmechanismen wie eine druckbare Einmal-Code-Liste keine. Dieses Prinzip der einmalig verwendbaren Transaktionsnummern ist seit Ende der 90er-Jahre des vergangenen Jahrhunderts im Einsatz und vermag sich auch noch weiterhin zu halten. Und zwar in Bereichen abseits der Bitcoin-Spielweise, wo es um echtes Geld geht - ich schreibe hier von den TAN-Listen im Online-Banking der diversen Banken.

 

Die Frage der Sicherheit ist eine solche die aus allen Richtungen betrachtet werden sollte.

Dazu gehört nicht nur der Schutz des Zugangs vor fremden Personen, sondern genauso, dass ein Nutzer möglichst immer und möglichst störungsfrei Zugriff zu den vorgesehenen Diensten und Funktionen hat.

Bearbeitet von bituser
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.