Guild Wars 2

Da man in diversen Threads ziemlich viel totalen Blödsinn zu dem Thema liest will ich mal ein paar Punkte aufgreifen und erklären (wenn ANet das schon nicht tut)

Erstmal vorweg eine Erklärung was da genau passiert:

Wenn ihr euch entschliesst, den Authenticator zu benutzen bekommt ihr bei der Einrichtung ein sogenanntes “Secret” angezeigt. Das passiert einmal als QR-Code (das ist sowas wie die Barcodes die ihr von allen möglichen Produktverpackungen kennt und die an der Kasse gescannt werden) den ihr mit dem Handy einscannen könnt (wenn euer Handy das kann) und einmal als Code der ungefähr so aussieht:

4O2AB49MNK523945

Hinweis: Diesen Code solltet ihr euch übrigens am Besten irgendwo aufschreiben (nicht auf dem PC ablegen!). Tut ihr das nicht und schrottet Euer Handy könnt ihr euch nicht mehr anmelden.

Dieses “Secret” gebt ihr im Authenticator ein (oder scannt den QR-Code) und das ist auch schon die ganze Magie die bei dem Verfahren abläuft. Auf Basis dieser paar Zeichen und der aktuellen Uhrzeit berechnet der Google Authenticator ein sogenanntes Token (nach dem TOTP-Algorithmus: http://tools.ietf.org/id/draft-mraihi-totp-timebased-06.html) -> das ist eine 6-stellige Zahl die sich alle 30 Sekunden ändert.

Das Token müsst ihr dann bei jedem Login eingeben. Das läuft dann so ab, dass ihr, wenn ihr ins Spiel oder Forum wollt, zuerst wie gewohnt euren Usernamen und euer Passwort eingebt. Danach müsst ihr dann noch das aktuelle Token eingeben welches Euch im Authenticator angezeigt wird!

Das mal ganz grob zum Verfahren was da eigentlich passiert. Nun zu den Mythen:

Mythos #1: Man braucht ein Google-Konto zur Nutzung des Authenticators

Kurze Antwort: Nein, braucht man nicht.

Lange Antwort: Je nach verwendeter Authenticator-App braucht man eines für die Installation der App (ist bei Android die Regel). Zum Betrieb des Authenticators ist weder ein Google-Konto noch eine Internet-Verbindung nötig. Der Grund dafür ist eigentlich klar aus dem ersichtlich was ich oben geschrieben habe -> das Token welches ihr zum Login braucht wird aus der Uhrzeit und dem “Secret” erzeugt. Das Secret habt ihr bei der Einrichtung eingegeben und die Uhrzeit sollte klar sein. Für das Token wird nichts mit irgendeinem Server ausgetauscht und es wird auch nichts online gespeichert. Daher braucht ihr auch kein Google-Konto.

Mythos #2: Man braucht zwingend den Google-Authenticator

Kurze Antwort: Nein, braucht man nicht.

Lange Antwort: Wie oben beschrieben basiert das ganze Verfahren auf dem TOTP-Algorithmus. Den implementieren eine Vielzahl von Apps. Im Prinzip könnt ihr das sogar selbst programmieren wenn Euch langweilig ist. Der GA ist daher nicht zwingend nötig wenn ihr eine andere Anwendung habt, die den Algorithmus unterstützt.

Hier mal ein paar Beispiele:

JavaScript: http://goo.gl/8xzCr (da kann man das gleich im Browser ausprobieren, klappt aber scheinbar nicht mit dem IE -> mit GW2 getestet und funktioniert → aber ihr gebt da Daten in eine fremde Website ein → potentiell unsicher)

PHP: http://goo.gl/3n6DQ (eine Klasse falls man es selbst programmieren will -> hab ich in einem anderen Projekt getestet und da klappte es, sollte auch mit GW2 klappen)

Google Chrome App: http://goo.gl/4Kt1b (mit GW2 getestet und funktioniert, legt aber das “Secret” auf dem PC ab -> ist also nicht unbedingt “sicher”)

Plugin für KeePass: http://goo.gl/D3Jwe (hab ich noch nicht getestet)

Oder ihr bekommt auch die Quellcodes aller google Authenticator-Apps online: http://code.google.com/p/google-authenticator/ (ein Hoch auf Open Source)

Alles in Allem kann man also sagen: ihr könnt den GA benutzen (einfach weil es eine gute App ist die es für viele Systeme gibt), müsst es aber nicht.

Android-Alternativen: https://play.google.com/store/search?q=totp+authentication&c=apps
iOS-Alternativen: sucht im App-Store mal nach “totp authentication” -> sollte was finden, aber da ich keine iProdukte nutze kann ich dazu leider nichts sagen.

Mythos #3: Man muss in Zukunft den Authenticator nutzen

Meines Wissens nach gibt es keinerlei Aussage von ANet in diese Richtung. Es wäre auch dumm, weil sie sich damit eine ziemlich grosse Anzahl von potentiellen Spielern vergraulen würden.

Was ich mir hingegen durchaus vorstellen könnte (MEINE PERSÖNLICHE MEINUNG!!!) ist, dass es in Zukunft eine Unterscheidung zwischen Benutzern die den Authenticator benutzen und denen die ihn nicht nutzen gibt. Einfaches Beispiel: Accounts von Authenticator-User könnten z.B. öfters gesichert werden, so dass ein “bessere” Wiederherstellung möglich wäre als bei “normalen” Nutzern wenn ein Account gehackt wird.

Wenn ihr dazu noch Fragen habt: fragt.

Sofern ich sie beantworten kann, werde ich das gerne tun :-)

Hardware-Token:

Theoretisch könnte man ein x-beliebiges Hardware-Token mit GW2 nutzen, welches TOTP unterstützt. Allerdings gibt es da ein grosses, problematisches “ABER” → das funktioniert nur mit Tokens bei denen man das Secret selber setzen kann. Und mir ist im Moment leider kein Hardware-Token bekannt wo das geht (falls jemand was weiss: immer her mit der Info ;-)) . Eine Lösung dafür wäre, wenn ANet erlauben würde, dass man das Secret selber setzen kann. Dann ginge das vermutlich problemlos.

Mit dem Yubikey (http://yubico.com/totp) gibt es zwar einen potentiell funktionierenden Kandidaten → aber der kann TOTP nur über ein zusätzliches Windows-Tool was die Sache wieder umständlich und kompliziert macht.

WICHTIGER HINWEIS —- WICHTIGER HINWEIS —- WICHTIGER HINWEIS

Da es unten in der Diskussion ein paarmal angesprochen wird und es definitiv richtig und wichtig ist: Der Authenticator bietet Euch KEINEN 100%igen Schutz !!! Es gibt IMMER irgendwelche Szenarien in denen er umgangen werden kann !!!

Von daher: beachtet bitte unbedingt auch das was Erytheia zum Thema allgemeine Accountsicherheit geschrieben hat: https://forum-de.gw2archive.eu/forum/support/account/Accountsicherheit-was-kann-man-tun

Updates:

• (12.10.2012) Hinweis zur google-Chrome App und dem JavaScript Beispiel hinzugefügt, dass sie potentiell unsicher sind
• (15.10.2012) Hinweis auf Erytheia’s Beitrag eingebaut
• (23.10.2012) Hinweis zu Hardware-Tokens eingebaut

Vor welchen Arten des Hacks schützt mich der Authentifikator, bei welchen man ohne nicht geschützt ist?

1.) verschiedene Passwörter ausprobieren – ist aktuell durch eine maximale Anzahl an Passworteingaben geschützt. (hier braucht man keinen Authentifikator)
2.) Programme, die die Logindaten abfangen und sich selbst einloggen (z.B. über eine gefälschte Einloggmaske) – ist bisher nicht geschützt und auch nicht durch einen Authentifikator, da das Programm ganz trickreich auch den Authentifikatorkey in der Fake-Einloggmaske abfragt. (hier hilft eher ein Virenschutz und eine Firewall, damit so ein Programm gar nicht raufkommt)
3.) Phishing-Mails – hier ist der User, der sich tatsächlich auf der “falschen Homepage” einloggt, mit einem Authentifikator etwas besser beschützt, solange die falsche Homepage nicht ebenfalls nach dem Authentifikator-Key fragt und man diesen eingibt (niemals Links aus einer Mail anklicken, sondern immer den Link selbst eingeben oder ihn per Lesezeichen aufrufen)
4.) Hack der Datenbanken – hier schützt kein bisher bekanntes Verfahren, da damit der Hacker auch die geheimen Authentifikator-Basiscodes rausfinden kann und sich selbst einen Authentifikator erstellen kann (durch den Google-Authentifikator muss sich hier nicht mal jemand die Mühe machen den Authentifikator vorher zu knacken)

In wie weit schützt ein Authentifikator nun wirklich? In meinen Augen schützt er viel weniger als viele Leute hier im Forum annehmen. Ich halte ihn absolut nicht für Pflicht und fände es eine außerordentliche Frechheit, wenn man ohne “bestraft” werden würde – viel wichtiger ist 1. Nachdenken bei e-Mails (Phishingversuche gibt es bei jedem größeren Spiel), 2. einzigartige Passwörter für das Spiel und für die loggin-e-Mail des Spiels (nirgendwo anders das gleiche verwenden, zur Not ein Notizheft mit den Passwörtern erstellen, nicht die Loginmail hier im Forum angeben, sondern diese ändern), 3. ein abgesicherter PC (Virenschutz & Firewall) und 4. ein durchdachtes Surfen (nichts einfach so runterladen, bei (z.T. verbotenen) Addons vorsichtig sein usw.).
Man sollte auf jeden Fall alle Sicherheitstipps von Arena.Net weiterhin befolgen – der Authentifikator schützt nicht vollständig und eine falsche Sicherheit erleichtert den Hackers das Werk.
Ebenso finde ich es fatal, dass beim TE zwar zum einen das Abspeichern des Authentifikator-Basiskeys auf dem PC (zu recht) als Sicherheitslücke dargestellt wird und gleichzeitig einige App-Alternativen aufgelistet sind, die den Authentifikator-Basiskey wiederum auf dem PC hinterlegen (z.B. das Chrome Addon).

1) Yup

2) Hier kommt es darauf an, wie ANet das Ganze implementiert hat. Jedes Token sollte nur einmal gültig sein und das auch nur für max. 30-90s (gebe ich ein Token ein, muss es eigentlich sofort danach gesperrt werden und darf nicht noch länger gültig sein).
Fängt also jemand die Login-Daten ab muss er sie sofort nutzen. Tut er das nicht, bringen sie ihm nichts. Und da liegt der Hund begraben -> er müsste nun verhindern, dass der User sich einloggt bevor er mit seinem Diebstahl fertig ist weil es sonst schnell auffällt.
Das heisst: er muss den User komplett blockieren und sofort den Account leerräumen. Er kann nicht einfach sagen “OK, ich hab die Login-Daten also warte ich ein paar Tage” denn durch das Token hat er nur 1-2 Minuten Zeit bevor der Login verfällt.

Der Authenticator ist also kein 100% Schutz, erschwert die Sache aber.

Wobei es meiner Meinung nach am Besten wäre wenn ANet einfach noch ein paar Dinge zusätzlich durch eine Bestätigungsmail schützt. Wenn z.B. das Passwort geändert werden soll oder wenn man den Authenticator deaktivieren will. Hacker müssten dann zusätzlich den eMail-Account kapern, was die Sache verkompliziert.

3) Hier gilt vieles was ich schon bei 2) geschrieben habe

4) Wenn jemand Zugriff auf die Datenbank hat ist sowieso in der Regel alles zu spät.

In wie weit schützt ein Authentifikator nun wirklich? In meinen Augen schützt er viel weniger als viele Leute hier im Forum annehmen.

Sehe ich Anders. Er verhindert nämlich schonmal sämtliche Attacken die auf der Dummheit der Leute basieren die die gleichen Login-Daten auf X Websites benutzen. Und das dürften meiner Meinung und Erfahrung nach verdammt viele sein (das hätte z.B. die erste Angriffswelle von Anfang September ins Leere laufen lassen bei der ja scheinbar von Fansites geklaute eMail-Adressen und Passwörter genutzt wurden -> mit Authenticator hätte das nichts gebracht).

Ich gebe Dir aber in soweit Recht, dass je besser man sich an die allgemeinen Sicherheitsregeln hält, der “Wert” des Authenticators entsprechend abnimmt.

Ich halte ihn absolut nicht für Pflicht und fände es eine außerordentliche Frechheit, wenn man ohne “bestraft” werden würde

Ich würde seine Nicht-Nutzung nicht “bestrafen”, aber seine Benutzung “belohnen”.

Man sollte auf jeden Fall alle Sicherheitstipps von Arena.Net weiterhin befolgen – der Authentifikator schützt nicht vollständig und eine falsche Sicherheit erleichtert den Hackers das Werk.

Sehe ich durchaus ähnlich.

Ebenso finde ich es fatal, dass beim TE zwar zum einen das Abspeichern des Authentifikator-Basiskeys auf dem PC (zu recht) als Sicherheitslücke dargestellt wird und gleichzeitig einige App-Alternativen aufgelistet sind, die den Authentifikator-Basiskey wiederum auf dem PC hinterlegen (z.B. das Chrome Addon).

Siehe Thread. Habs geändert.

Wobei man auch mal ganz realistisch sein muss: wenn ein Hacker Zugriff auf einen PC hat, hat man sowieso GANZ andere Probleme als einen geklauten GW2-Account. aber das ist ein anderes Thema.

@Tiscan, der Post ist wirklich gut und informativ.

Aber bei einem Punkt muss ich dir widersprechen. Ein Authenticator hilft Leuten, die bei allem das gleiche Passwort benutzen, keineswegs. Das Teil ist und bleibt optional und Leute denen ihre Accountsicherheit egal ist (sonst hätten sie verschiedene PWs) würden so ein System niemals verwenden, zuviel Aufwand.

Wo du natürlich Recht hast, ist die Sache, dass ein Authenticator einen Zugriff um einiges schwerer macht, grade wenn man sinnvollerweise das Token direkt invalidiert, sobald der User es verwendet, grade das macht es unglaublich schwer, ohne einen Vollzugriff auf den betreffenden Rechner.

Wichtig ist halt, das der Auth nicht andere Sicherheitsmassnahmen ersetzt, sondern nur ergänzen kann. Es gibt bspw. in WoW bereits genügend Fälle, wo Leute trotz Auth gehackt worden sind. Siehe bspw. hier: http://eu.battle.net/wow/de/forum/topic/3686219496

Ansonsten was man sonst machen kann:
https://forum-de.gw2archive.eu/forum/support/account/Accountsicherheit-was-kann-man-tun/first#post99818

@iruwen
Eine Diskussion ob ein Hack möglich ist oder nicht ist, erübrigt sich: Er ist es! Sie link einen Post über deinen. Blizzard nutzt eine ähnliche Technologie und da haben Hacker es geschafft den Auth zu umgehen.

Das ganze wird vermutlich so ablaufen: Trojaner in Hintergrund lässt einen Keyloger mitlaufen und hängt sich in die Internetverbindung mit ein. Er wartet bis der Client sich einlogen will und der User alle Daten eingibt. Sobald der Keyloger merkt, das diese Daten an den GW-Auth-Server geschickt werden, kappt er die Verbindung von Client und sendet gleichzeit die gesammelten daten an einen Piratenserver, der sie entgegen nimmt und wo automatisch ein GW2-Client mit den Nutzerdaten eingelogt wird. Das sollte innerhalb des gültigkeitslimit Limits kein Problem sein. Idealerweise kappt der Trojaner noch alle Verbindungen zu Arena.Net-Seiten, so das der betroffene nicht mal einen Hack melden kann – zumindest nicht von eigenen PC.

Das sind keine Theoretischen Diskussionen, es gibt Fälle, wo sowas bzw. ähnliches passiert ist (bei WoW, nicht GW2). Und es wird sicherlich auch bei GW2 passieren – eine Frage der Zeit.

Der Auth ist eine zusätzliche Barriere, aber sie ersetzt keine der anderen nötigen, wie bspw. einen sauberen PC. Wenn der Rechner verseucht ist, kann man eigentlich alles aushebeln.

Einen globalen Masterkey wird es sicherlich auch nicht geben, das ist richtig. Genauso wie man aus den codes kaum einen key berechnen kann. Es gibt aber noch andere angriffszenarien, bspw. gefakte Anmeldeseiten, die auch den Auth-Code anfordern und zum Abmelden des Auth auffordern, weil ein Softwareupdate des Auth kommt und der dann nicht mehr funktioniert. Usw. Leider fallen auf sowas genügen Leute rein.

Tiscan.8345:

Ich halte ihn absolut nicht für Pflicht und fände es eine außerordentliche Frechheit, wenn man ohne “bestraft” werden würde

Ich würde seine Nicht-Nutzung nicht “bestrafen”, aber seine Benutzung “belohnen”.

Vom Ergebnis her ist es das Selbe – nur anders formuliert. Die Konsequenz ist, dass ich für den vollen Umfang meines Accounts auf Mobilität durch einen Authentifikator verzichten muss.

Tiscan.8345:

2) Hier kommt es darauf an, wie ANet das Ganze implementiert hat. Jedes Token sollte nur einmal gültig sein und das auch nur für max. 30-90s (gebe ich ein Token ein, muss es eigentlich sofort danach gesperrt werden und darf nicht noch länger gültig sein).
Fängt also jemand die Login-Daten ab muss er sie sofort nutzen. Tut er das nicht, bringen sie ihm nichts. Und da liegt der Hund begraben -> er müsste nun verhindern, dass der User sich einloggt bevor er mit seinem Diebstahl fertig ist weil es sonst schnell auffällt.
Das heisst: er muss den User komplett blockieren und sofort den Account leerräumen. Er kann nicht einfach sagen “OK, ich hab die Login-Daten also warte ich ein paar Tage” denn durch das Token hat er nur 1-2 Minuten Zeit bevor der Login verfällt.

Ich meine damit nicht mal die Möglichkeit, dass die Daten überhaupt zu Arena.Net gesendet werden. Ein ausgefuchster Accounthacker könnte mir ja einfach eine modifizierte GW2.exe einschleusen, die direkt die Daten zu ihm sendet und dem User eine Fehlermeldung anzeigt. Der normale Spieler, der nichts böses ahnt, wird wohl lange genug mit dem Einloggen probieren und danach noch einige Zeit für den Supportkontakt, bis der Account leergeräumt ist.
Der Authentifikator senkt sicherlich noch etwas das Risiko eines Hacks, aber nicht sonderlich stark. Für mich ist der Aufwand (Key eingeben und ohne Key von woanders nicht spielen können) im Vergleich zum Nutzen (schützt Bereiche, die praktisch auch ohne vollständig geschützt sind) nicht im Einklang: Beim Authentifikator-Battle.Net wurde dennoch mehrfach gehackt (1x meine WoW-Testversion, 2x mein Diablo 3) – mein HdRO-Account und mein GW2-Account ohne Authentifikator hingegen bisher gar nicht.
In meinen Augen würde ein Authentifikator nur Sinn machen, wenn er ausschließlich beim Versenden von ingame-Geld (das macht man eigentlich eh nicht) und beim ersteigern von Gegenständen im Wert von mehr als einem Goldstück innerhalb eines gewissen Zeitraums (z.B. 1 Tag – der gesamt Preis aller Gegenstände innerhalb des Tages darf nicht mehr als 1 Gold betragen). Damit könnten Hacker das Geld nicht einfach über Post/AH auf ihren Account bringen – gleichzeitig kann man fast uneingeschränkt auch mal von einem anderen Ort aus spielen.

Ein viel einfachere aus nutzbare Schwachstelle ist auch, wenn sich der Nutzer auf der Suche nach einen alternativen Authentifikator macht und auf einen nicht vertrauenswürdigen stößt. Sobald er den QR-Code einscannt oder den Code eingibt (der zusammen mit der Login email-adresse im QR-Code drinne steht) hat der Anbieter nun die Möglichkeit aus diesem code und der aktuellen Zeit zu jeden Zeitpunkt einen gültigen Login-code zu generieren. Die Möglichkeit Alternativen zum Google-Authenticator zu haben ist zwar schön und gut, aber man sollte diesen Möglichkeiten auch vollkommen vertrauen können. Also ist der Aufforderung des Threadstellers, mal sollte einfach mal nach Alternativen suchen auch nicht unbedingt sicher.

BTW: Ein Code ist übrigens exakt 30sec gültig, schließlich wird der Login-Code eindeutig aus dem Ausgangscode (im QR-Code) und der auf “runde” 30sec abgerundeten aktuellen Uhrzeit berechnet.

BTW2: Guild Wars hat die Gültigkeit eines Login-Codes auch schon auf 1 Login begrenzt. Eben mal kurz getestet innerhalb der 30 sec angemeldet, wieder abgemeldet und versucht mit den gleichen code wieder anzumelden -> ging nicht, musste auf den Ablauf der 30sec für einen neuen code warten

Ich schätze mal, das ein Code doch länger gültig ist als die 30s. Außer man kann 100% sicherstellen, das die Uhren überall synchron sind. Von daher wird man auch den Code davor oder danach noch akzeptieren, um nicht dauernt Fehlanmeldungen zu bekommen.

Erytheia, dafür gibts Methoden, da braucht du keine echte Uhr mehr. Keine Sorge, die Teile sind nicht länger als 30 Sekunden gültig.

Ich hab jetzt auch mal testweise die Internetverbindung meines smartphones komplett deaktiviert und die uhr 1min zurück gestellt mit dem Ergebnis: der generierte Code war ungültig. Die App’s werden also sicherlich bei bestehender Onlineverbindung einen Zeitserver kontaktieren. Besteht keine Verbindung mit den Internet, so ist das einloggen nur bei einer gut gestellten Uhr möglich (am besten den Code auch nicht gleich nach Neuerstellung oder kurz vor Ablauf eingeben, um Fehler der Uhrzeit von paar sekunden auszugleichen)

https://forum-de.gw2archive.eu/forum/support/tech/Authentifizierung-App/first#post125773
Da hat einer einen anderen Test gemacht, gibt wohl doch gewisse Toleranzen.

Erytheia.8724:

https://forum-de.gw2archive.eu/forum/support/tech/Authentifizierung-App/first#post125773
Da hat einer einen anderen Test gemacht, gibt wohl doch gewisse Toleranzen.

Definitiv, nicht, siehe meinen Antwort auf den Post. Ein Code ist schon 5sec später abgelaufen, jedoch berechnet die App auch nur den Code, von den die App glaubt, dass dieser gerade aktuell ist. Sollte die Uhr um x min vorgehen und keinen Internetverbindung zum hohlen der aktuellen Uhrzeit bestehen, so wird auch ein code berechnet, der zwar nicht aktuell, aber in x min gültig ist.

Erytheia.8724:

Eine Diskussion ob ein Hack möglich ist oder nicht ist, erübrigt sich: Er ist es! Sie link *einen* Post über deinen. Blizzard nutzt eine ähnliche Technologie und da haben Hacker es geschafft den Auth zu umgehen.

Wobei man auch ganz klar sagen muss dass der Anreiz solche Programme zu schreiben bei einem Spiel mit ~ 10 Millionen Spielern nunmal wesentlich höher ist als...

Und auch hier greift wieder die "allgemeine Sicherheit" These. Möglich war/ist dies nur
durch ein wohl recht verbreitetes nicht offizielles Dritt-Programm, welches eben einen
Trojaner enthielt...

Die Geschichte läßt sich so jetzt erstmal nicht 1:1 auf Guild Wars 2 ummünzen.

Aber einhundert prozentige Sicherheit gibts nicht, wohl war!

Ich sehs so, wenn man es erstmal für ein System entwickelt hat, wird man das sehr wahrscheinlich auf andere Systeme übertragen. Einfallswege gibt es ja genügend (nicht umsonst liefern eigentlich alle Programme und Betriebsysteme Sicherheitsupdates aus).

Das ist imo auch die größte Gefahr des Auth: “Ich hab ein Auth, mir kann nichts passieren!” – und das ist definitiv falsch. Ein Auth kann nicht sonstige Sicherheitsmassnahmen ersetzen, sondern nur ergänzen. Das muss man immer in Kopf haben, wenn man einen Auth nutzt.

Erytheia.8724:

@iruwen
Eine Diskussion ob ein Hack möglich ist oder nicht ist, erübrigt sich: Er ist es! Sie link einen Post über deinen. Blizzard nutzt eine ähnliche Technologie und da haben Hacker es geschafft den Auth zu umgehen.

Ich hab doch geschrieben unter welchen Voraussetzungen das möglich ist und wie man damit umgeht. Entweder es ist so passiert wie ich sagte (und du sagst genau das gleiche) oder Blizzard hat das System unzureichend implementiert.

PS: http://i.imgur.com/eEtNT.png
Was?

Ich würde mal den Bilderlink entfernen – hab zwar auch keine Ahnung, was für ein Problem der Mod da gerade hat (vermutlich irgendein Missverständnis), aber ein Diskussion darüber hat eigentlich in öffentlichen Raum nichts zu suchen.

Edit: Noch ein Grund, das Bild zu löschen – hier hab ich schon mal deine E-Mail und deinen Accountnamen. Eventuell lassen sich damit schon mal mehr sachen finden.

Erytheia.8724:

https://forum-de.gw2archive.eu/forum/support/tech/Authentifizierung-App/first#post125773
Da hat einer einen anderen Test gemacht, gibt wohl doch gewisse Toleranzen.

Ich weiss nicht wie es bei GW2 ist, aber da ich das gleiche Verfahren auch schon genutzt habe erkläre ich kurz wie es geht:

1. man fragt den User nach dem aktuellen Token (nennen wir es mal “A-TOKEN”)
2. der User gibt das für ihn aktuelle Token ein (HIER liegt das Problem: seine Uhr muss nicht zwangsläufig mit meiner synchron laufen) und schickt es an die Anwendung – nennen wir es U-TOKEN
3. die Anwendung prüft nun ob A-TOKEN = U-TOKEN ist → stimmen sie nicht überein berechnet die Anwendung einfach zusätzliche Tokens die z.B. 30 und 60 Sekunden vor und nach dem A-TOKEN liegen und vergleicht sie mit dem U-TOKEN → stimmt nun eines der Tokens überein ist alles OK
4. das A-TOKEN wird in der Datenbank auf eine “Blacklist” gesetzt → sprich: einer Liste von Tokens die bereits benutzt wurden und die nicht wieder benutzt werden dürfen

Man könnte nun ausserdem noch die Uhrzeit dazupacken um niemals ein Token zu berechnen welches vor dem letzten Login gültig war (als zusätzliche Sicherheit).

Dadurch entsteht ein gewisser Zeitrahmen aus dem Tokens stammen dürfen um “korrekt” zu sein (das habe ich ja schon in meinem Ursprungsposting mit den “30-90s” angedeutet → keine Ahnung welche Toleranz GW2 nun wirklich erlaubt → ich kenne Seiten die haben ein 1 Minuten-Zeitfenster und andere die ein 5-Minuten Fenster haben… das entscheidet der entwickler selber).

Es lässt sich auch kaum anders lösen weil man sonst in das Problem läuft, dass man dem User dauernd “Ne, falscher Code” um die Ohren hauen muss weil er zu langsam ist oder seine Uhr ein wenig danebenliegt. Das könnte man zwar lösen indem man vom User automatisch noch die Uhrzeit überträgt… aber letztlich muss man auch da ein Limit setzen damit nicht jemand einen 3 Tage alten Code übermitteln kann. Sonst wäre das wieder witzlos. Man könnte höchstens die Uhrzeit vom Client an den server übermitteln und eine Warnung einblenden “Hey, Deine Uhr geht falsch!”

Letztlich ist die grundlegende Frage: “Was ist realistisch?”. Phishing, gehackte Fansites oder einen Trojaner halte ich für relativ realistisch. Alles andere sind eher Ausnahmen oder theoretische Szenarien. Und da muss man meiner Meinung nach ganz einfach sagen: im Allgemeinen erhöht der Authenticator die Sicherheit.

Aber auch hier gilt was vorher schon geschrieben wurde: je mehr ich mich an die allgemeinen Sicherheitshinweise halte (komplexes Passwort, nicht hirnlos auf Links in Mails klicken, usw.) desto sicherer ist mein Account auch ohne Authenticator.

Man sollte sich hier nicht vor machen, dass hinter den Angriffen auf Account einzelne Personen stehen. Mit dem Verkauf von ingame-Geld lässt sich sehr viel Geld im RL verdienen – sonst gäbe es nicht so viele Bots, Chinafarmer und Hacks.
Nun möchte ich auf Basis dieses Wissens auf Tiscan.8345 eingehen.
1. Phishing: Hier wird der User über einen ähnlichen aber dennoch falschen Link zu einer Homepage gebracht, die der offiziellen Guild Wars 2 Seite täuschend ähnlich sieht. Gibt der User dort seine Daten an, loggt sich ein Automatismus ein und leer seinen Account. Mit dem Einführen des Authentifikator-Keys müssen die Phishingwebseiten einfach nur so angepasst werden, dass sie auch wie die offizielle Webseite nach dem Key fragen. Da sich der Automatismus direkt einloggt, bringt einem die Sicherheit des A.-Keys nichts.
2. gehacke Fanseiten: Hiervon sind nur Leute betroffen, die dort die gleichen Daten wie bei ihrem Spielzugang verwenden. Diese sind durch den Authentifikator sicherlich besser geschützt, allerdings wären sie mit separaten Passwörtern (und ggf. eine separate e-Mailadresse oder andere Schreibweise [z.B. bei Gmail kann man beliebig Punkte setzen – aus maxmustermann@gmail.com kann man für den Login fürs Spiel maxmu.stermann@gmail.com und für den Forenlogin max.mustermann@gmail.com verweden; Alternative auch @googlemail statt @gmail oder einen anderen e-Mailnamen, der weiterhin mit der eigenen e-Mail verknüpft ist (wird/wurde von gmx angeboten)]) sicher geschützt.
3. Trojaner: Hier kann der Trojaner einfach den Login verhindern, in dem er die Datenübermittlungs einfach zu seinem “Auftraggeber” weiterleitet und dieser sich automatisch einloggt. Der User selbst würde damit sogar vollständig blockiert sein und könnte Arena.Net auch nicht für einen Passwortwechsel über seinen PC erreichen.
Der Authentifikator hilft sicherlich etwas, aber eben nicht besonders viel. Wer ihn fürs eigene Sicherheitsempfinden braucht, sollte jedoch drauf achten, dass er nicht unvorsichtig wird.

Ich hab mal noch was zu Hardware-Tokens hinzugefügt.