2
Kommentare

Authenticator: Darfs ein wenig unsicherer sein?

Tags: ,

Geschrieben von Baraan

Post Image for
Baraans Posts sind auf eine neue Homepage umgezogen. Neue Posts und die aktuelle Version dieses Posts findet ihr unter http://www.baraans-corner.de//2010/03/authenticator-darfs-ein-wenig-unsicherer-sein/

Wie schon mal erwähnt benutze ich einen Authenticator für meinen WoW-Account, um diesen besser vor Hackern schützen zu lönnen. Neuerdings habe ich mir statt dem Hardware-Authenticator den Mobile Authenticator auf mein Handy gespielt, da ich das immer bei mir habe. Nur leider war die Anwendung auf der SD-Karte installiert, die gestern kurzerhand ohne Vorwarnung den Geist aufgegeben hat. :-( Und so steh ich nun da, eigentlich mit Leuten ingame verabredet (für den Abend saß ich im 25er auch noch darüber hinaus auf der Ersatzbank) und kann einfach nur kurzfristig absagen, da ich mich nicht einloggen kann. Peinlich.

Wenn die Blizz-Hotline morgen wieder besetzt ist werde ich anrufen und werde hoffentlich — da ich mir die Nummer des Authenticators extra aufgeschrieben habe — ohne große Probleme den Authenticator von meinem Account entfernen lassen können. Aber dennoch finde ich liegt da das Problem in der Akzeptanz und somit im Sicherheitssystem: Viele wollen wegen solchen möglichen Problemen keinen Authenticator vor ihren Account klemmen, da sie dann Angst haben, dass sie ein paar Tage nicht spielen können. Und gerade am Wochenende, wo die arbeitende Bevölkerung eher Zeit hat als unter der Woche, gibt es keine Möglichkeit sich bei Problemen helfen zu lassen.

Versteht mich nicht falsch, ich bin immer noch dafür, dass alle einen Authenticator nutzen sollten. Es schützt Dich selber und Deine Gilde, wenn Du Zugriff auf die Gildenbank hast. Lieber spiele ich mal einen Sonntag nicht, als dass ich Blizz hinterherbetteln darf, dass meine Charaktere in irgendeinem Zustand wiederhergestellt werden. Aber an dem System könnte man sicher noch etwas verbessern. Dass Blizz keine Lust hat, Leute am Wochenende zu bezahlen verstehe ich, auch wenn ich es anders schöner fände. Aber es gäbe auch andere Lösungen: Warum sollte man nicht zwei Authenticatoren erlauben? (Antwort heute im TS: Weil das Account-Sharing vereinfacht. Mhpf, ja, ok.) Vom Sicherheitsaspekt her macht das meiner Ansicht nach jedoch nicht viel aus: Der Mobile Authenticator erzeugt achtstellige Nummern, also grob eine Millionen Möglichkeiten. Da die Zeit zwischen den Geräten und Blizzard nicht 100% synchron ist, kann man davon ausgehen, dass Blizz nicht nur die Codes gelten lässt, die zum Zeitpunkt x0 erzeugt werden, sondern auch x-1 und x1 (oder vielleicht x-2 bis x2) erlauben wird. Das sind also dann 3 (bzw. 5) Codes von grob 100.000.000 die gelten, oder auch 0,000003% (bzw. 0,000005%) der möglichen Codes. Bei zwei verbundenen Authenticatoren geht die Anzahl der Möglichkeiten “hoch” auf 6 (bzw. 10), oder 0,000006% (bzw. 0,000010%), also immer noch ziemlich wenig. :) Ich finde für die Anwendung, die wir hier betrachten (WoW, keine Bank mit Millionenbeträgen oder eine Regierung mit Atomabschusscodes), kann man diesen “Verlust” an Sicherheit durchaus verschmerzen. Denn der Gewinn an Komfort für den Benutzer ist enorm: Er kann sich sicher sein, wenn einer seiner zwei Authenticatoren kapuut geht oder er ihn verliert etc., hat er einen zweiten, mit dem er dennoch an seinen Account ran kommt, ohne dabei merkbar Sicherheit zu verlieren. Die Sicherheit gegen Keylogger bleibt in gleichem maße gewährleistet wie vorher, nur dass die Nachteile eines Authenticators massiv verringert werden.

Habt ihr da eine Meinung zu? Hab ich etwas übersehen oder mich verrechnet? Ich bin nicht der große Security-Experte, auch wenn ich das Thema super interessant finde. (Sehr empfehlenswert als generelle Übersicht in dem Bereich, da interessant und gut zu lesen: Secrets and Lies: Digital Security in a Networked World oder auf Deutsch Secrets & Lies. IT-Sicherheit in einer vernetzten Welt, von Bruce Schneier.)

Mehr Info: Wo ihr einen Authenticator bekommen könnt und warum ihr einen haben solltet, habe ich in einem früheren Beitrag zusammengefasst. Und wie die Technik hinter dem Authenticator funktioniert, ist in diesem englischen Post im Blizzard-Forum beschrieben.

3
Kommentare

Authenticator auch auf Androids

Tags: , , , ,

Geschrieben von Baraan

Post Image for
Baraans Posts sind auf eine neue Homepage umgezogen. Neue Posts und die aktuelle Version dieses Posts findet ihr unter http://www.baraans-corner.de//2010/02/authenticator-auch-auf-androids/

Fast ein Jahr, nachdem Blizz den Mobile Authenticator fürs iPhone rausgebracht hat, gibt es nun auch für die Mobilgeräte der immer wachsenden Android-Familie einen Authenticator. Nun kann ich also meinen Hardware-Authenticator in die Ecke legen, denn mein G1 habe ich immer dabei. Die Anwendung kann im Android Market unter dem Namen Battle.net Authenticator gefunden werden und funktioniert wie das iPhone Pendant: Nach dem Verbinden des Authenticators mit eurem battle.net Account, müsst ihr nach der Eingabe eures Passworts beim Login immer noch einen Code, den euch die Anwendung generiert, eingeben.

Warum sollte ich einen Authenticator benutzen? Der Code, der nach dem Eingeben des Passworts benötigt wird, ist nur einmal verwendbar. Auch wenn ihr euch einen Keylogger oder Trojaner eingefangen habt, der Hacker kommt nicht in euren Account rein, da er die Nummer, die ihr eingegeben habt, nicht wiederverwenden kann. (Für mehr technische Hintergrundinformationen kann man sich über OTPs bei Wikipedia schlau machen.) Ich empfehle wirklich jedem einen Authenticator zu nutzen, sei es nun für ~7€ (versandkostenfrei!) ein kleines Gerät, oder auch fürs iPhone, Android oder andere Mobilgeräte. Wir hatten im letzten Jahr in der Gilde zwei gehackte Accounts und es ist im Spiel nichts ärgerlicher, als all Deine WoW-Ansammlungen zu verlieren. Einiges kann Blizz wiederherstellen, aber alles gibt es soweit ich weiß nicht zurück und die zu investierende Arbeit ist sehr lästig. Das Risiko, dass wenn der Authenticator kaputt geht, man nicht spielen kann, ist natürlich ein großes Problem. Blizzard zieht in Betracht, dass man mit Cataclysm evtl. zwei Authenticatoren mit einem Account verbinden kann. Dann kann man z.B. Handy- & Hardware-Authenticator zusammen verwenden und den einen sicher in einer Schublade zu verstauen. Der wichtigste Tipp, um bei verlorenem Authenticator wieder an seinen Account zu kommen, ist sich die Authenticator-Seriennummer aufzuschreiben und sicher aufzubewahren, da Blizz danach fragt und den Account dann schneller wieder freischalten wird. Die Seriennummer findet man auf der Rückseite des Hardware-Geräts oder z.B. in der Android-Version unter Einstellungen.

Und außerdem gibt es dann ja noch das Corehound-Pet für jeden Char eines verbundenen Accounts. Auch nach dem Verbinden erstellte Chars bekommen das Pet zugeschickt, aberes verschwindet wieder, wenn der Authenticator entfernt wird. Damit versucht Blizz die Leute zu Authenticatoren zu überreden, eine super Idee wie ich finde.

Wie sieht das bei euch aus? Nutzt ihr einen Authenticator? Wenn nein, warum nicht? :)

P.S. Ja, diese Alliteration im Titel war nötig. :)

11
Kommentare

Need Authenticator fürs G1!

Tags: , , ,

Geschrieben von Baraan

Post Image for
Baraans Posts sind auf eine neue Homepage umgezogen. Neue Posts und die aktuelle Version dieses Posts findet ihr unter http://www.baraans-corner.de//2009/03/need-authenticator-furs-g1/

Mir wurde ja heute gesagt, dass meine Forenposts und Blog-Einträge zu lang sind und dass man deswegen nur den ersten und letzten Satz liest. Deshalb mach ich es kurz und nur der erste und letzte Satz enthält wirklich Inhalt: Need Blizzard Authenticator fürs G1, iPhone gibts schon.

Seite 1 von 11