neue Authenticator-Tools für Smartphones

Moderatoren: Mitglieder, Gildenleitung

neue Authenticator-Tools für Smartphones

Beitragvon Slarti am Sa 28 Mär, 2009 00:56

Blizzard hat vor kurzem angekündigt, dass sie jetzt nach der Zusammenlegung der Battle.net- und WoW-Logins neben den Hardware-Token auch Software für Smartphones anbieten wollen, die im Grunde genau dasselbe macht: auf Abruf einen Code errechnen, den man dann beim Login eingeben muss, um das Mitloggen des Passworts durch Trojaner o.ä. für Account-Diebe nutzlos zu machen.

Die erste solche Anwendung ist jetzt veröffentlicht, wenig überraschend ist es eine fürs iPhone. Für Symbian soll aber wohl was vergleichbares folgen. Man muss das Ding einmal über eine Internetverbindung initialisieren, wobei ein geheimer Schlüssel auf das Handy übertragen wird, aus dem die Software dann in Zukunft offline die Codes berechnet.

Die zwei Vorteile gegenüber dem Authenticator-Token sind relativ offensichtlich: die Software ist kostenlos, und man hat kein zusätzliches Ding mit sich rumzutragen, sondern nur das Handy, was man meistens eh schon bei sich hat. Die Nachteile sind weniger offensichtlich: das Token rückt sofort nach dem Drücken der Taste einen Code raus, das Handy muss man erst mal aus dem Schlaf wecken und die Software starten, was in jedem Fall länger dauert und mehr "Klicks" erfordert. Außerdem sind die Tokens laut Datenblatt für eine Lebenszeit von 7 Jahren ausgelegt und möglichst robust konstruiert; ein Handy geht bedeutend häufiger kaputt oder wird ausgetauscht. Wenn man die Handy-Software davor noch vom Account lösen kann wär das kein Problem, aber bei einem kaputten Handy könnte das nicht mehr möglich sein, man hat also in dem Fall ein bisschen Kommunikation mit dem Support vor sich.

Von der Sicherheit her ist das Token rein theoretisch auch die bessere Wahl; auf dem Handy kann der geheime Schlüssel immerhin erheblich leichter ausgelesen werden als auf dem Chip im Token, der extra so konstruiert wurde, dass man den Schlüssel dort nur unter enormem manuellen Aufwand und bei Besitz der Hardware auslesen kann. Aber der Zugewinn an Sicherheit ist trotzdem so groß, dass eine echte Hürde für Angreifer entsteht - dieser müsste jetzt nicht nur den PC mit einem Trojaner infizieren, sondern auch an das Handy entweder physisch oder mit einer Trojaner-Software rankommen - und das ist erheblich schwieriger; erst recht beides gleichzeitig.

Ich bleib auf jeden Fall bei dem Token, aber vielleicht ist ja die Handy-Variante für jemanden, der seinen Account schon gern absichern würde, aber nicht noch was zusätzlich mit sich rumschleifen will (oder die einmaligen Zusatzkosten für die Hardware scheut) eine Alternative :)
Benutzeravatar
Slarti
Die Nacht-Eule
 
Beiträge: 1333
Registriert: So 27 Nov, 2005 23:17
Wohnort: Düsseldorf

Re: neue Authenticator-Tools für Smartphones

Beitragvon Satycron am Sa 28 Mär, 2009 01:06

Hm jetzt wollt ich mir das grad aufs iPhone draufmachen, da sagt der mir das es das noch nicht für den deutschen App Store gibt :evil:
Bild
Benutzeravatar
Satycron
Nano Spammer
 
Beiträge: 471
Registriert: Fr 13 Feb, 2009 23:38

Re: neue Authenticator-Tools für Smartphones

Beitragvon Helkalamot am Sa 28 Mär, 2009 13:13

dazu gleich mal ne Frage: man vertippt sich beim PW und gibt danach die nummer ein. dann erst kommt die meldung, dass was nicht stimmt. gibt dann das richtige PW ein und bekommt die gleiche nummer. wie geht das?

slarti, erklär mal.
I'm so Bad, Baby I don't Care
Benutzeravatar
Helkalamot
Highway to Hel(l)
 
Beiträge: 5192
Registriert: Do 01 Dez, 2005 20:28
Wohnort: Braunschweig

Re: neue Authenticator-Tools für Smartphones

Beitragvon Serinity am Sa 28 Mär, 2009 14:44

wenn man ganz schnell hintereinander drueck kommt halt die gleiche nummer nochmal, es koennte ja auch sein dass man zu langsam beim abtippen war
Benutzeravatar
Serinity
Möhrenknurpser
 
Beiträge: 1381
Registriert: So 08 Jan, 2006 16:39
Wohnort: Leipzig

Re: neue Authenticator-Tools für Smartphones

Beitragvon Slarti am Sa 28 Mär, 2009 15:28

Helkalamot hat geschrieben:dazu gleich mal ne Frage: man vertippt sich beim PW und gibt danach die nummer ein. dann erst kommt die meldung, dass was nicht stimmt. gibt dann das richtige PW ein und bekommt die gleiche nummer. wie geht das?


Das sind zwei Eigenschaften:

- Das Passwort wird zusammen mit der Nummer geprüft und man erfährt nicht, ob die Nummer oder das Passwort oder beides falsch war. Das ist extrem wichtig, dass das so gemacht wird, denn nur so ist es nicht möglich, erst mal nur das Passwort zu bruteforcen bis man zu der Eingabe der Nummer kommt und danach mit bekanntem Passwort die Nummer zu bruteforcen, bis man sie einmal richtig hat und durchgelassen wird. eBay macht das bei seiner Token-Lösung z.B. grottenfalsch, da kommt die Aufforderung zur Eingabe des Codes erst nach richtiger Passworteingabe, wodurch man erst am Passwort rumprobieren kann bis man das richtig hat und danach nur noch mit dem Token kämpfen muss - aber so weit ich weiß haben die irgendwelche Begrenzungen der Login-Versuche pro Account eingebaut, was das Problem einigermaßen abmildert.

- Die Nummer ändert sich unabhängig davon wie man drückt alle 30 Sekunden, wenn man also innerhalb einer Zeitspanne nochmal drückt gibts dieselbe Nummer eben nochmal
Benutzeravatar
Slarti
Die Nacht-Eule
 
Beiträge: 1333
Registriert: So 27 Nov, 2005 23:17
Wohnort: Düsseldorf


Zurück zu World of Warcraft

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste

cron