Das längste Thema

    Zitat von Paul

    Primär geht es darum, dass der 2. Faktor ein zeitlich begrenztes Passwort ist (30 Sekunden). Ein potentieller Angreifer hat also im Grunde nur 30 Sekunden Zeit dieses zu erraten. Danach ist es ungültig und ein neues Passwort muss erraten werden. Im Gegensatz dazu ist der 1. Faktor weitestgehend statisch. Das reguläre Passwort wechselt man nicht alle paar Sekunden. Vielleicht in Ausnahme mal alle paar Monate oder Jahre, aber im Gegensatz zu dem 30 Sekunden dauernden 2. Faktor ist das praktisch statisch. Daher ist TOTP Nicht einfach nur ein längeres 1. Passwort, sondern bringt noch eine Zeitkomponente mit rein.

    Das heißt aber nur, dass der Angreifer nie völlig sicher sein kann, dass er den zweiten Faktor irgendwann knackt. Wenn er den ersten Faktor geknackt hat und dieser statisch ist, müsste er nur noch den zweiten Faktor knacken, was aber nach meiner Einschätzung nur eine Frage der Zeit (im wahrsten Sinn des Wortes) und der Anzahl der Versuche ist. Je nachdem, wie der Algorithmus funktioniert, lässt man den zweiten Faktor immer gleich und diese Ziffern sind dann zu irgendeiner Zeit auch korrekt. Oder man probiert immer verschiedene Codes, hier hat man (immerhin!) eine statistische Wahrscheinlichkeit von 1:1.000.000 bei jedem Versuch


    Es kommt also m.E. für die Sicherheit entscheidend darauf an, dass bei geknacktem ersten Faktor und nachfolgend falschem (oder zumindest nach mehreren falschen) zweiten Faktor(en) der Angreifer zeitnah an weiteren Versuchen gehindert wird. Also entweder der Zugang sofort komplett gesperrt wird oder der rechtmäßige Benutzer sofort über den geknackten ersten Faktor informiert wird und dann nach mehr als Zeit x ohne Änderung des geknackten Faktors der Zugang komplett gespert wird. Lässt man den Angreifer einfach bis zum St. Nimmerleinstag gewähren, ist jegliche zusätzliche Sicherheit dahin.

    Zitat von Paul

    Primär geht es darum, dass der 2. Faktor ein zeitlich begrenztes Passwort ist (30 Sekunden). Ein potentieller Angreifer hat also im Grunde nur 30 Sekunden Zeit dieses zu erraten.

    das ist ein Trugschluss; sobald der Angreifer das System mit dem OTP-Generator infiltriert hat, meldet er sich "mit Dir gemeinsam" an, und Vorbei ist die Geschichte;

    darum sollte der OTP-Generator auch nicht am System, wo man sich anmeldet laufen;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Zitat von mainziman

    das ist ein Trugschluss; sobald der Angreifer das System mit dem OTP-Generator infiltriert hat, meldet er sich "mit Dir gemeinsam" an, und Vorbei ist die Geschichte;

    darum sollte der OTP-Generator auch nicht am System, wo man sich anmeldet laufen;

    Soviel zur Sinnhaftigkeit und Security by Obscurity, wenn der 2FA und das Login vom selben Gerät stammen. Aber erklär da u.a. einer Bank, die Dir ihre Super-Datensammelapp als Sicherheitsgewinn verkaufen möchte.

    Zitat von eripek

    Soviel zur Sinnhaftigkeit und Security by Obscurity, wenn der 2FA und das Login vom selben Gerät stammen. Aber erklär da u.a. einer Bank, die Dir ihre Super-Datensammelapp als Sicherheitsgewinn verkaufen möchte.

    wenn Du hier die pushTAN-Geschichte meinst, da kann ich dich beruhigen; im Gegensatz zu den OTP-Generatoren laufen diese Banking-Apps abgeschottet zum einem und auch nur mit Datenverbindung zum anderen;

    hier gibts halt 2 Varianten: manche haben eine eigene pushTAN-App und andere haben das in der Banking-App integriert; die Banking-App läuft in einer Sandbox, sodaß die Variante mit einer eigenen pushTAN-App keinen Sicherheitsgewinn hat;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Traurig 1
    Zitat von eripek

    Soviel zur Sinnhaftigkeit und Security by Obscurity, wenn der 2FA und das Login vom selben Gerät stammen. Aber erklär da u.a. einer Bank, die Dir ihre Super-Datensammelapp als Sicherheitsgewinn verkaufen möchte.

    Das ist schon ein Sicherheitsgewinn. Vielleicht nicht unbedingt für den Kunden, aber zumindest für die Bank, die damit den Vorschriften Genüge getan hat und im Schadensfall fein raus ist.

    Zitat von tab

    Das ist schon ein Sicherheitsgewinn. Vielleicht nicht unbedingt für den Kunden, aber zumindest für die Bank, die damit den Vorschriften Genüge getan hat und im Schadensfall fein raus ist.

    nicht wirklich; anders sieht es bei Zeichnungsverfahren wie z.B. einer digitalen Signatur; hier gilt die Beweislastumkehr;

    im Schadensfall gilt hier: nicht die Bank muss Dir beweisen, dass Du es warst, sondern Du, dass Du es nicht warst;

    bei pushTAN od. cardTAN hat sich gegenüber den anderen Verfahren wie mTAN, iTAN als Teilmenge von smsTAN od. papierTAN,

    was die Beweisführung angeht nichts geändert

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Dwarf man hier ein kurzes Hallo sagen?


    Kenne jemanden, da hat sich der Betrug-Beschuldigte via Insolvenzverfahren aus der Affäre ziehen wollen...irgendwann hat man keine Nerven mehr, oder?


    PS. noch jemand, der grad nicht in das SCP kommt? bereits mit 2 Browsern probiert...

    Sollte ich heute Nacht noch den Support kontaktieren? 2

    1. Ja (0) 0%
    2. Nein (1) 50%
    3. GTFO (1) 50%

    hmm, mein Benutzer wird sowohl weder mit FF mit DNS-over-HTTPS, noch mit chromium gefunden :(. CC(c)P geht ://

    Zitat von bothers-z

    hmm, mein Benutzer wird sowohl weder mit FF mit DNS-over-HTTPS, noch mit chromium gefunden :(. CC(c)P geht ://

    Also meldest du dich manuell an? Hast du mal den Auto-Login via CCP verwendet?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Hat jemand Erfahrung mit Matomo in einem Webhosting? Oder stehen die Chancen mit einem VPS mikro besser? Hehe, bei der zu erwartenden Zahl von Aufrufen vielleicht beide, das Webhosting als Datenbankserver und der mikro mit Matomo. Oder umgekehrt? :/^^

    Zitat von tab

    Hat jemand Erfahrung mit Matomo in einem Webhosting? Oder stehen die Chancen mit einem VPS mikro besser? Hehe, bei der zu erwartenden Zahl von Aufrufen vielleicht beide, das Webhosting als Datenbankserver und der mikro mit Matomo. Oder umgekehrt? :/^^

    Ich hab einmal vor Jahren eines auf einem Webhosting 2000 SE nclabs installiert. Ist ewig her und es holt sich brav seine Updates und schnurrt. Zugegeben - es ist auch nur auf einer Website am selben Hostingpaket eingebunden.

    Bei mir wären es 2-3 Websites, aber mit derzeit sehr überschaubaren Zugriffszahlen. Aber eine davon soll jetzt kräftig wachsen. Mein alter programmierbarer Taschenrechner aus den 80ern hätte bestimmt kein größeres Problem damit . Naja, leicht übertrieben ;) . Wie kommt es eigentlich, dass man nach jedem Rückbau seiner Serverlandschaft mehr Server hat als vorher? Muss wohl an den kleinen Serverchen liegen, hoffe ich jedenfalls.

    Zitat von tab

    Hat jemand Erfahrung mit Matomo in einem Webhosting? Oder stehen die Chancen mit einem VPS mikro besser? Hehe, bei der zu erwartenden Zahl von Aufrufen vielleicht beide, das Webhosting als Datenbankserver und der mikro mit Matomo. Oder umgekehrt? :/^^

    Warum denn gleich ein mikro? Ich habe Matomo auf einem nano laufen – ohne Probleme.


    Lief bei mir auch mal auf einem Webhosting, aber mich hat es getriggert das ich max_allowed_packet nicht ändern konnte, und das immer wieder bei der Systemüberprüfung aufgetaucht ist. So richtig relevant ist das aber erst ab einer höheren Anzahl an Besuchern.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Na gut, einen Nano hätte ich auch noch im Angebot, die 100.000 Views, die da bei Matomo erwähnt werden, die werden wir wohl nicht so schnell reißen. Das wäre sonst schon recht sensationell, aber das ist dann wieder eine ganz andere Geschichte :D:D;( . Ich habe nur leider kein Gefühl dafür, was das Ding für Matomo wirklich leisten muss. Also von der Leistung der Cores her z.B. Da leistet der RS Cyber Ducky (oder wie er heißt) wahrscheinlich mehr als der VPS mikro, hat aber wohl zu wenig RAM. Und eventuell sind die langsameren Cores für die Anwendung trotzdem geeigneter, einfach weil es 2 oder 4 sind statt nur einem. Andererseits, wer noch nicht mal 100.000 Views reißt pro Monat, muss sich über mehrere gleichzeitige Views noch keine allzu großen Gedanken machen :D .