Die erste solche Anwendung ist jetzt veröffentlicht, wenig überraschend ist es eine fürs iPhone. Für Symbian soll aber wohl was vergleichbares folgen. Man muss das Ding einmal über eine Internetverbindung initialisieren, wobei ein geheimer Schlüssel auf das Handy übertragen wird, aus dem die Software dann in Zukunft offline die Codes berechnet.
Die zwei Vorteile gegenüber dem Authenticator-Token sind relativ offensichtlich: die Software ist kostenlos, und man hat kein zusätzliches Ding mit sich rumzutragen, sondern nur das Handy, was man meistens eh schon bei sich hat. Die Nachteile sind weniger offensichtlich: das Token rückt sofort nach dem Drücken der Taste einen Code raus, das Handy muss man erst mal aus dem Schlaf wecken und die Software starten, was in jedem Fall länger dauert und mehr "Klicks" erfordert. Außerdem sind die Tokens laut Datenblatt für eine Lebenszeit von 7 Jahren ausgelegt und möglichst robust konstruiert; ein Handy geht bedeutend häufiger kaputt oder wird ausgetauscht. Wenn man die Handy-Software davor noch vom Account lösen kann wär das kein Problem, aber bei einem kaputten Handy könnte das nicht mehr möglich sein, man hat also in dem Fall ein bisschen Kommunikation mit dem Support vor sich.
Von der Sicherheit her ist das Token rein theoretisch auch die bessere Wahl; auf dem Handy kann der geheime Schlüssel immerhin erheblich leichter ausgelesen werden als auf dem Chip im Token, der extra so konstruiert wurde, dass man den Schlüssel dort nur unter enormem manuellen Aufwand und bei Besitz der Hardware auslesen kann. Aber der Zugewinn an Sicherheit ist trotzdem so groß, dass eine echte Hürde für Angreifer entsteht - dieser müsste jetzt nicht nur den PC mit einem Trojaner infizieren, sondern auch an das Handy entweder physisch oder mit einer Trojaner-Software rankommen - und das ist erheblich schwieriger; erst recht beides gleichzeitig.
Ich bleib auf jeden Fall bei dem Token, aber vielleicht ist ja die Handy-Variante für jemanden, der seinen Account schon gern absichern würde, aber nicht noch was zusätzlich mit sich rumschleifen will (oder die einmaligen Zusatzkosten für die Hardware scheut) eine Alternative
