Zwei-Faktor-Authentifizierung sicherste Variante

[Kausu]

Hallo,
ich habe eine Verständnisfrage bzgl. der Zwei-Faktor-Authentifizierung und wollte mal eine kleine Diskussion starten.
Zurzeit bin ich bei Steam Mitglied der Beta Gruppe Steam Guard Mobile Authenticator Beta. Nun kann ich über die Steam App, ähnlich wie beim Google Authenticator, diese zusätzliche Barriere nutzen.
Überall wird dies ja jetzt angeboten. Bei MS, Google, Blizzard, PayPal, und Unmengen anderer Diensten. Ich habe mich jetzt aber gefragt, ob es wirklich sicherer ist, oder nur bequemer?
Aktuell nutze ich für Steam (und andere bestimmte Sachen) eine eigene getrennte E-Mailadresse, bei der ich auch Zwei-Faktor-Authenzifizierung aktiviert habe, aber übers Handy. Ich nutze hier kein Smartphone, sondern ein Uraltprepaidhandy mit Extranummer, was nicht einmal WAP im Menü anbietet. War sogar eine dieser "Werbesims", die manchmal verschenkt werden, also sogar kein Datenschutzproblem.
Ich weiß zwar, dass die Provider theoretisch auch angegriffen werden könnten, aber setzt man sich mit Smartphones nicht einer viel zu großen Gefahr (Internet, App Bugs und Angriffe etc.) aus?
Selbst wenn die App nicht komprimiert wird, könnte doch der Einmalcode abgriffen werden. Ich bin mir hier nicht sicher bzw. ich weiß es nicht, wie schnell ein Angriff erfolgen könnte.
Auch wenn jetzt jemand bei mir an mein Email-Passwort kommen würde, bräuchte er doch immer noch den Code, der an mein Handy verschickt wird - der somit auch gleich als Warnung vor ungewollten Zugriffen dient.
Sind die Apps also problemlos nutzbar, oder mit Vorsicht zu genießen, ähnlich Pushtan?

Danke euch

 

[HominiLupus]

Wenn man das Smartphone nur für die Authentifizierung nutzt sind sie nicht mehr gefährdet, im Gegenteil: eine App kann eine sichere TLS Implementierung verwenden. SMS im Uraltphone kann man sehr einfach entschlüsseln während sie vom Mobilfunkmast aufs Handy übertragen wird.

 

[Visceroid]

Gegen Man-in-the-Middle Angriffe hilft leider auch keine 2-Factor Authentifizierung.

Abgesehen davon ist es aber mit aktivierter 2-Faktor sicherer als ohne, daher gibt es nicht viel darüber zu diskutieren.
Ich nutze es, wo es möglich ist, überall. Es ist zwar mehr Aufwand da ein einloggen nur durch Eingabe des Pins möglich ist, sprich ohne Authentikator/Mobiltelefon kann man sich nicht einloggen, dafür kann das aber sonst eben auch niemand.

Die Apps selbst, sofern sie vom jeweiligen Hersteller kommen, sollten problemlos benutzbar sein.

 

[M@rsupil@mi]

nur bequemer?

Wie soll da was bequemer sein, wenn man mehr beim Login zur Verifikation machen / eingeben muss?

Sicherlich gibt es ansonsten überall viele Möglichkeiten sich irgendwelche Angriffsszenarien zu überlegen. Ein Handy / Smartphone ist ja keine unüberwindbare Barriere. Allerdings macht so ein zusätzliche Code die Sache doch für jeden Angreifer komplizierter und genau das hilft doch schon enorm, so dass 99,9% der Angriffe am Ende gegen die Leute gefahren wird, wo es halt einfach(er) ist an die Daten / Account zu kommen. (Und von solchen Leuten gibt es immer mehr als genug zur Auswahl.)

Daher, wenn es nicht gerade der belanlose Foren / Kommentaraccount ist, worüber man vielleicht auch nur 2-3 Beiträge im Monat schreibt, würde ich es immer nutzen, wo es nur angeboten wird. Leider ist das noch viel zu selten der Fall.

 

[Kausu]

Mit bequemer meinte ich halt, dass bestimmt 90% kein zweites Smartphone nehmen, sondern die App auf Ihrem normalen Smartphone installieren, was bequemer ist, als ein Zweithandy nur für diesen Zweck zu besitzen.

Ich habe ja geschrieben, dass die Provider bzw. die Handydaten angegriffen werden könnten. Nur mal ehrlich, wer macht dies, nur um an meinen Steamaccount zu kommen, oder auch um mein Onlinebanking zu erhalten (mobiltannutzer). Von der technischen Seite mal abgesehen, ist es doch viel zu aufwendig, da dies nicht von irgendwo weit weg geschehen kann. Da ist ein Massenangriff aufs Smartphone, oder Phishing oder sonst irgendwas viel einfacher zu bewerkstelligen.

Wenn man das Smartphone nur für die Authentifizierung nutzt sind sie nicht mehr gefährdet

Kommt ungefäh hin. Im Prinzip nutze ich mein Uralthandy auch für nichts anderes.
Ich will doch auch gar nicht Smartphones schlecht machen. Ich wollte nur mal nachfragen

 

[M@rsupil@mi]

OK, wenn du das meinst. Klar, das ist natürlich einfacher. Aber selbst das wäre zumindest mehr als nur Benutzername + PW für eine Anmeldung und da ist IMO jede Kleinigkeit, die es schwerer macht, nicht verkehrt.

 

[=DarkEagle=]

Bei kritischen Dingen das eigene Smartphone zu verwenden, ist auch so eine Geschichte...ich erinnere nur mal ans den Zeus-Trojaner. Der kann sich auch auf euer Smartphone pflanzen, wenn es angeschlossen wird und damit die schönen smsTANs abfangen.
http://www.heise.de/security/meldung/ZeuS-Trojaner-befaellt-Android-1278449.html

Und das war 2011...

Grundsätzlich ist 2-Faktor schon ne nette Sache. Es verhindert Schaden bei Angriffen, die einfach nur auf Masse gehen. Für Steam und Paypal echt super ;-)

Handydaten, etc. können alle wie bereits gemeint wurde abgegriffen werden. Aber ist nur interessant, sofern man für entsprechende Leute auch ein lohnendes Ziel ist, was hier keiner von uns sein dürfte