News Zwei-Faktor-Authentifizierung: Amazon-Konto über das Smartphone absichern
- Ersteller nlr
- Erstellt am
- Zur News: Zwei-Faktor-Authentifizierung: Amazon-Konto über das Smartphone absichern
DocAimless
Lieutenant
- Registriert
- Aug. 2007
- Beiträge
- 968
Nein, da diese immer nur 30 Sekunden gültig sind.machiavelli1986 schrieb:
UNDERESTIMATED
Banned
- Registriert
- März 2012
- Beiträge
- 8.110
Paypal bietet aber leider kein TOTP an sondern setzt auf SMS als zweiten Faktor.
Ich habe fast überall, wo es angeboten wird, 2FA aktiviert. Man sollte sich aber unbedingt ein Backup der Secrets machen oder darauf achten Backup-Codes o.ä. zu haben. Man kann sich sonst ganz leicht aus seinem Account aussperren, wenn der 2. Faktor abhanden kommt. Habe da schon von Grusel-Storys gehört, dass durch ein Update der Authenticator-App die Secrets verloren gegangen sind.
Ich habe fast überall, wo es angeboten wird, 2FA aktiviert. Man sollte sich aber unbedingt ein Backup der Secrets machen oder darauf achten Backup-Codes o.ä. zu haben. Man kann sich sonst ganz leicht aus seinem Account aussperren, wenn der 2. Faktor abhanden kommt. Habe da schon von Grusel-Storys gehört, dass durch ein Update der Authenticator-App die Secrets verloren gegangen sind.
Der Vollständigkeit halber, mit FreeOTP als 2FA-App funktioniert das Ganze auch. Ist eine von Redhat entwickelte/gepflegte Opensource App die dieselben Standards wie z.B. das Pendant von Google implementiert.
Den Vorrednern kann ich nur zustimmen, Paypal sperrt sich schon seit längerem gegen die Implementierung von RFC 6238. Blöd für diejenigen die keine X verschiedenen Apps im Einsatz haben wollen.
Den Vorrednern kann ich nur zustimmen, Paypal sperrt sich schon seit längerem gegen die Implementierung von RFC 6238. Blöd für diejenigen die keine X verschiedenen Apps im Einsatz haben wollen.
Ich finde diese 2FA aus einem anderen Standpunkt interessant, mit immer mehr Plattformen lässt sich ein immer feineres Netz des User tracking erstellen.
Für den Anbieter der das mit einer App am tracken ist ein durchaus lohnendes Geschäft und auch für die Werbebranche wird das ein neuer Boom werden.
Für den Anbieter der das mit einer App am tracken ist ein durchaus lohnendes Geschäft und auch für die Werbebranche wird das ein neuer Boom werden.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.923
NieVida schrieb:
Was zur Hölle???
Auf der Seite https://jsfiddle.net/russau/ch8PK/ kann man sich mal live anschauen, wie der Algorithmus funktioniert. Das ist kein Hexenwerk mit Tracking oder ähnlichem, sondern ein einfacher Algorithmus. Amazon und Konsorten geben ein Secret raus (auch schön verpackt als QR-Code zum einfachen Einscannen), den jeder für sich übernimmt. Aus dem wird in Abhängigkeit von der Zeit ein 6-stelliger Code berechnet. Das war es dann auch. Beim Einloggen muss dann der berechnete Code mit dem übereinstimmen, was amazon und co berechnen. Das sollte auch der Fall sein, da die Grundlage gleich ist. Störender Faktor könnte die Zeit sein. Ein 30-Sekunden-Intervall kann eng sein, wenn eine oder beide Parteien keine synchronisierte Zeit haben. Deshalb lassen viele Anbieter auch die Codes davor oder danach zu.
T
tek9
Gast
NieVida schrieb:
2FA ist nichts anders als ein Keygenerator der seine Keys nach einem vereinbarten Muster (Secret) erstellt. Das ganze funktioniert offline und zb der authenticator von Google hat lediglich Berechtigung für die Kamera.
Aber wie so oft haben Aluhüte nur sehr wenig Ahnung. Wahrscheinlich verbreitet ihr deswegen auch gerne ungehemmt völlig unhaltbare Gerüchte
UNDERESTIMATED
Banned
- Registriert
- März 2012
- Beiträge
- 8.110
Hirtec schrieb:
Klick auf abbrechen wenn du deine Handynummer eingeben sollst, dann kommts.
/E: Sehe gerade selbst, ist wohl durch irgendwas anderes ersetzt worden - dann naja...
SMS oder eben nicht.
machiavelli1986
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.648
tranc3r schrieb:
Das ist eben so nicht wirklich korrekt. In der Google Auth App kannst Du die Anzeigedauer der Codes selber definieren. Dies ist ja nur zur Sicherheit. Aber notier dir mal einen Code, lass ihn in der App ablaufen und gib ihn dann paar Sekunden später ein. Der funktioniert trotzdem. Die Codegenerierung ist ja auf Basis irgendeines Algorithmus. Das Handy muss ja auch keine Onlineverbindung haben um die Codes zu generieren. Aber kann auch sein, dass dies natürlich im Rahmen einer zeitlichen Toleranzzone ist. Irgendwie muss das ganze ja in Abhängigkeit mit der Zeit funktionieren, da es ja nur ein sechsstelliger Zahlencode ist. Sowohl auf dem Handy als auch beim Anmelden auf der Webseite muss die Zeit beider (Handy und Server wo man sich anmeldet) wohl übereinstimmen.
Edit: Quatsch was ich hier geschrieben habe, die Zeit kann man nicht definieren, nur Syncen mit dem Server von Google. Daher ja, bringt wohl nichts wenn man sich Backup Codes so erstellt, da sie nur unter bestimmten umständen gültig wären. Dann frag ich mich jedoch wie das mit Backup Codes funktioniert. Das müssten ja Codes sein bei denen diese Zeitverifizierung ausser Kraft tritt. Klar die Chance das man so einen erwischt als einer der probiert einen Account zu knacken ist relativ klein aber möglicherweise ja trotzdem da.
Zuletzt bearbeitet:
DocAimless
Lieutenant
- Registriert
- Aug. 2007
- Beiträge
- 968
@machiavelli1986: Die Backup Codes sind unabhängig von dem 6 Stelligen 2FA-Code. Bei Google selber sind es z.B. 8 Stellige Zahlen während andere wieder 6 Stellige Buchstaben oder sogar Kombinationen aus beidem wählen Zahlen & Buchstaben. Die Codes kann man sich ja im Account wieder Generieren lassen. Diese sind einfach im Account beim Login hinterlegt und deshalb sollte man diese ja auch nicht mit sich umher tragen oder offen zugänglich aufbewahren.
sizeofanocean
Lieutenant
- Registriert
- Aug. 2008
- Beiträge
- 817
Wurden gerade bei dem letzten Update gestern angepasst und sind nun realistischer. Kannst du ja außerdem auch einzeln abdrehen, wenn du eine Berechtigung aus irgend einem Grund nicht erteilen willst.crashbandicot schrieb:
Ähnliche Themen
- Artikel
- Artikel
