Jump to content

2-Faktor-Authentifizierung - Alternativen zum Code-Generator?


Recommended Posts

Hallo!

 

In einer aktuellen Meldung auf bitcoin.de wird empfohlen, für seinen Account die 2-Faktor-Authentifizierung zu aktivieren. Damit muss bei jedem Login-Versuch zum gültigen Passwort zusätzlich ein One-Time-Code eines Code-Generators (zB App auf einem Smartphone) eingegeben werden.

 

Hier stellt sich mir nun aber die folgende Frage:

Was tun, wenn der Code-Generator kaputt geht oder kurzzeitig nicht zur Verfügung steht (Defekt, oder einfach: Am Smartphone ist im Moment der Akku leer).

 

Aktuell scheint das System ja so implementiert zu sein, dass ohne den Code der 2-Faktor-Authentifizierung ein Login überhaupt nicht möglich ist.

 

Wünschenswert wären hier aber Alternativ-Möglichkeiten. Am Beispiel von Google (wo dieser 2-Wege-Mechanismus für Logins in den Google-Account genutzt werden kann) stehen dort folgende Alterantiven zur Verfügung:

* SMS bzw. Anruf eines Sprachcomputers an hinterlegte Telefonnummern --> so wird ein 6-stelliger Code alternativ bekannt gegeben

* Zurverfügungstellung einer Liste mit Offline-Codes. Diese funktionieren jederzeit, jeweils einmalig, und so lange, bis eine erstellte Liste durch einen User deaktiviert wird bzw. alle Codes der Liste verbraucht wurden. So eine Liste kann zB ausgedruckt und in der Geldbörse mitgetragen werden.

 

 

Derzeit sehe ich bei der 2-Wege-Authentifizierung auf bitcoin.de mittels Code-Generator-App am Smartphone einen Single-Point-Of-Failure. Der Sicherheitsgewinn wird damit erzielt, gleichzeit steigt aber auch die Gefahr sich wegen eines Ausfalls des Code-Generators vollständig selbst aus dem System zu sperren.

 

Sind hier bereits Lösungen gegen diese Problemstellung angedacht, oder gibt es so etwas vielleicht bereits?

Link to comment
Share on other sites

@bituser:

Längerfristig mag das sicher sinnvoll sein, aber aufgrund der aktuellen Gefahren, (email-hacking&phishing etc) bin ich froh, dass es OTP gibt, und NUR das (je mehr Login-Alternativen geöffnet werden, umso mehr Angriffspunkte gibt es)...

 

Ich finde, zumindest kurzfristig sollte bitcoin.de (aus aktuellem Anlass) zuerst die Probleme lösen, die aktuell bei Usern auftreten, die OTP noch *nicht* verwenden, siehe:

https://forum.bitcoin.de/technik-entwicklung-sicherheit/694-vorschlag-fuer-mehr-sicherheit-gegenueber-hacker-phisher.html

 

 

Aber - falls dein Handy wirklich gerade nicht geht, habe ich eine provisorische Lösung hier gepostet (das shared-secret sollte ja sowieso UNBEDINGT sicher verwahrt aufbehalten, zB ausgedruckt):

https://forum.bitcoin.de/marktplatz-bitcoin-de/698-2-faktor-authentifizierung-ohne-smartphone.html

Link to comment
Share on other sites

Aktuell scheint das System ja so implementiert zu sein, dass ohne den Code der 2-Faktor-Authentifizierung ein Login überhaupt nicht möglich ist.

 

Das heisst also: Wer das nicht hat kann sich momentan von vornherein nicht einloggen? Das wäre schön zu wissen, denn auch ich kann mich nicht mehr einloggen. Aber wenn das jetzt von Bitcoin.de so eingestellt ist, dann bräuchte ich mir wenigstens mal keine Sorgen zu machen, dass mein Account irgendwie kompromittiert wurde. Immer wenn ich mich nämlich einloggen will, bekomme ich die Mitteilung, meine Logdaten würden nicht stimmen.

Link to comment
Share on other sites

Das heisst also: Wer das nicht hat kann sich momentan von vornherein nicht einloggen?

 

Das gilt natürlich nur, wenn man die 2-Faktor-Authentifizierung für seinen Account aktiviert hat. Dann - und nur dann - gibt es kein Zurück mehr und man muss den zusätzlichen Code zwingend eingeben.

 

Ein Pech wenn die Technik versagt und zB das Smartphone gerade kaputt ist welches die Codes generiert.

 

Großartige zusätzliche Einfallstore sehe ich in zusätzlichen Sicherheitsmechanismen wie eine druckbare Einmal-Code-Liste keine. Dieses Prinzip der einmalig verwendbaren Transaktionsnummern ist seit Ende der 90er-Jahre des vergangenen Jahrhunderts im Einsatz und vermag sich auch noch weiterhin zu halten. Und zwar in Bereichen abseits der Bitcoin-Spielweise, wo es um echtes Geld geht - ich schreibe hier von den TAN-Listen im Online-Banking der diversen Banken.

 

Die Frage der Sicherheit ist eine solche die aus allen Richtungen betrachtet werden sollte.

Dazu gehört nicht nur der Schutz des Zugangs vor fremden Personen, sondern genauso, dass ein Nutzer möglichst immer und möglichst störungsfrei Zugriff zu den vorgesehenen Diensten und Funktionen hat.

Edited by bituser
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.