WinFuture-Forum.de: 2-Faktor-Authentifikation - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

2-Faktor-Authentifikation eure Meinungen und Erfahrungen

#1 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.040
  • Beigetreten: 03. Januar 09
  • Reputation: 520

geschrieben 10. Juli 2016 - 17:49

Auf ghacks wurde vor einiger Zeit ein scheinbar gutes OpenSource Programm zur 2FA vorgestellt, welches WinAuth heißt.
Neben diesem wird auch oft die OpenSource App FreeOTP empfohlen.

Ich würde gerne von euch erfahren was ihr von 2FA haltet und auch eure eventuell vorhandenen Erfahrungen davon hören.
Das ganze beschränkt sich nicht auf die 2 genannten Tools, sondern geht um das allgemeine Konzept der "2 Wege Authentifizierung".
Auch wo und mit welchen Geräten ihr was einsetzt wäre nett zu hören, einfach um selbst festzustellen inwiefern das ganze überhaupt brauchbar ist.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

Anzeige

#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.992
  • Beigetreten: 20. Juli 07
  • Reputation: 885

geschrieben 10. Juli 2016 - 18:43

Wenn man's ordentlich anwendet?

Ist natürlich schonmal ein Plus an Sicherheit, wenn nicht jedes geknackte Paßwort gleich erfolgreich zum Ziel führt, sondern noch eine Schutzmauer dazwischen steht.

Andererseits bringt es halt auch nix, wenn man seine (oder eine der) Multifaktor-Authentifizierungsanwendung auf dem Gerät installiert hat, von wo aus auch der Zugriff auf die geschützte Ressource möglich ist.

Bei Smartphones ganz besonders beliebt: Erst 2FA anschalten und dann die Authenticator App auf demselben Telefon installieren --- und dann wundern, warum der Smartphonedieb sofort drin war.

Müßig zu erwähnen, daß 2FA auch sehr unbequem ist. Womöglich so unbequem, daß es am Ende wieder nutzlos wird, weil nicht verwendet. Dazu kommen dann noch so tolle Anbieter, die zwar 2FA ermöglichen, das aber automatisch einbinden - mir fällt da spontan die PhotoTAN der Deutschen Bank ein: wenn man das mit einem kamerafähigen Gerät verbindet, trägt einem die App die TAN automatisch ein. Sicherheit ist was anderes - da hätte man sich die ganze PhotoTAN-Geschichte sparen können!

Letztlich muß man sich also darauf beschränken, daß Multifaktorauthentifizierung trotz des weitergehenden Anspruchs (und der weitergehenden Möglichkeiten) am ehesten noch gegen "da hat mir einer das Paßwort geklaut und so aber trotzdem nicht sofort rein können" verwendet werden kann und daß im selben Atemzug stattdessen Sicherheitslücken entstehen, eben wenn einem zB das Smartphone mit der Authenticator App geklaut wird (und wenn dieses wie heutzutage üblich komplett unzulänglich gegen Fremdzugriff abgesichert ist).

- Ein Plus an Sicherheit ist aber trotzdem da, und zwar auf Kontoseite (unabhängig von allen zugreifenden Clients). Mit 2FA ist sogar noch dann sicherer als ohne, wenn man pauschal alle seine Geräte so auf die Whitelist setzt, daß für sie die 2FA nicht greift; dann greift sie nämlich immer noch für alle anderen Geräte (die einem nicht gehören) welche sich mehr oder weniger illegitim Zugriff verschaffen wollten.


---- Im Gegenzug fällt einem die 2FA aber dann auf die Füße, wenn man oft seinen verwendeten Client wechselt (immer mal ein anderer Rechner oder ständig irgendwo unterwegs und halt die vor Ort befindliche Hardware verwendet). Dann steht man ohne Authenticator doof da.

- Ansonsten ist 2FA gegen Man-in-the-Middle anfällig. Ja, die Schlüssel verfallen; aber es gibt trotzdem ein vergleichsweise großes Zeitfenster, welches im allgemeinen auch länger ist, als die Anwendungen suggerieren (wie viel länger ist aber unterschiedlich). Oder anders gesagt, einmal erfolgreich an der Leitung gelauscht und der Film hat sich. 2FA-via-Email macht die Sache nochmal anfälliger - DAS ist dann nämlich überhaupt nicht mehr sicher. Kann jeder, der sich erfolgreich Zugriff zu einem Mailserver verschaffen konnte, im Klartext lesen (und wenn die Verbindung nicht SSL/TLS-verschlüsselt war kann man sogar mit dem Ohr am Kabel lauschen). Zuordnung ist ebenfalls nicht weiter schwierig: im allgemeinen mögen die Zustellwege verschieden sein, aber in den meisten Fällen geht es immer noch zur selben Ziel-IP-Adresse und hey presto hat man das wieder zugeordnet. Hiergegen würde wieder zB PC-via-Hausnetz einerseits und Mobilgerät-via-Mobilnetz anderseits helfen, aber das macht aus Kosten- bzw (Daten-)Kontnigentgründen kaum wer.

Richtig gefährlich wird es aber dann, wenn Anbieter (oder Anwender) der Meinung sind, hey dann reicht ja die Authentifizierung per App oder sonst Einmalpaßwort.

Natürlich nicht! Und schon gar nicht, wenn der Zugriff nur biometrisch abgesichert ist.

- TLDR; 2FA erschwert den Fremdzugriff um einiges, aber in Sicherheit darf man sich deswegen noch lange nicht wiegen und wenn wir an dem Punkt angekommen sind, wo sich die zeitabhängigen Einmalpasswörter generieren lassen, dann fällt uns zumindest die bisherige Implementierung von 2FA auf die Füße.

-- Am besten gefällt mir da derzeit übrigens die Microsoftlösung, auch wenn ich bestimmt gleich wieder Fanboy genannt werde: die ist nämlich event- statt zeitgesteuert und generiert eine Challenge erst auf Anfrage. Da können dann auch konkrete loginbezogene Informationen verwendet werden. Das geht bei zeitabhängigen Challenges nicht.

Dieser Beitrag wurde von RalphS bearbeitet: 10. Juli 2016 - 18:50

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#3 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.904
  • Beigetreten: 14. Juli 07
  • Reputation: 269

geschrieben 11. Juli 2016 - 12:36

Mit das bekannteste Beispiel für eine 2FA dürfte die Bankkarte als Hardwareelement, die zugehörige Pin als Softwareelement sein.
Die Sicherheit wird dort zwar so langsam ad adsurdum geführt, das dürfte aber vor allem daran liegen dass man dort, gut geplanten Hack vorausgesetzt, große Geldsummen ziemlich sicher abräumen kann.

Mit die schlechteste Umsetzung einer 2FA ist vermutlich, kurioserweise ebenso aus dem Bankenbereich, die Kreditkarte mit aufgedruckter Prüfziffer.

Perönlich nutze ich, ausser an oben genannten Beispielen, das Prinzip noch an der Firmentür mit Pineingabe und integriertem Fingerabdrucksensor.
Vom Prinzip her in jedem Fall sicherer wie die blosse Pineingabe oder der Fingerabdruck, leider ist es hier aber ziemlich mies umgesetzt. Es gibt lediglich eine Pin für alle, dadurch erkennt man schon am Bedienfeld am Grad der Abnutzung aus welchen Zahlen die Pin besteht. Lediglich der Abdruck lässt sich hinzufügen/ändern/löschen. Leider ist eine Änderung aber hardwareseitig auch nicht möglich, so dass da demnächst ein Austausch ansteht.

Dieser Beitrag wurde von Samstag bearbeitet: 11. Juli 2016 - 12:38

0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.992
  • Beigetreten: 20. Juli 07
  • Reputation: 885

geschrieben 11. Juli 2016 - 13:46

Und damit ist da bei Kreditkarten kein Multifaktor beteiligt, weil da ist ja nix "multi". Steht einfach daneben. Ob ich da jetzt Benutzernamen und Paßwort angebe oder Benutzername und zwei Paßwörter ist mehr oder weniger wumpe - ja, es sichert die Authentifizierung ein bißchen besser, aber 'multifaktor' ist da nix.

Was Kreditkarten anbelangt, nun ja. Die stammen aus einer Gegend, wo man auf die Microwellen schreiben muß, daß Hamster nicht darin getrocknet werden dürfen. Wenn also die Bedienung von Kreditkarten zu komplex gewesen wäre, hätte sie keiner verstanden und entsprechend auch keiner genutzt.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0