Guild Wars 2

Sehr gute Idee doch durchführung denke ich nicht gut gelöst. Ich habe die App installiert und mal ausprobiert. Da ich nicht weiß wie sowas genau funktioniert, bitte ich darum meine Kritik nicht zu beschimpfen sondern mich auf zu klären wenn ich falsch liege!
Also ich habe folgendes gemacht. Ich habe mein Handy auf den Flugmodus geschaltet so das es keinen Zugang zum Internet mehr hatte. Die App hat trotzdem weiterhin alle 30 Sekunden Codes erstellt. Dann habe ich aber 1 Code ein gegeben und gewartet das er 2 neue erstellt und habe dann erst zum Anmelden bestätigt.
Was mich jetzt verwirrt ist das er trotz das 2 neue Codes erstellt wurden er den Alten angenommen hat. Das finde ich ein Sicherheitsrisiko weil ich der Meinung bin das dann ein Hacker das auch geknackt bekommt. Wie gesagt ich weiß nicht wie dieses System funktioniert deshalb bitte keine bösen Antworten sondern erklärende.
MfG
Mel

Liegt wohl daran, das man wohl gewisse toleranzen einbaut, da die Uhren unterschiedlich sein können oder halt Übertragsverzögerungen auftreten können.

Falsch, der Code ist wirklich nur für die 30sec gültig, in der er auf einen Handy mit richtig gehender Uhr angezeigt wird. Ich konnte mich eben nicht mit einen vor gerade mal 5sec abgelaufenen Code einloggen. Das Problem bei dir wird gewesen sein, das deine Handyuhr um 1min vor ging.

Um das zu verstehen, muss man erst einmal begreifen, was die Authentifizierung App eigentlich macht: Sie berechnet aus den secret (Beim verknüpfen des Accountes eingegeben oder der QR-Code gescannt), welcher auf deinem Handy abgespeichert wurde und der auf 30sec abgerundeten aktuellen Uhrzeit einen Login-Code, welcher auch nur in dieser 30sec Zeitspanne gültig ist. Damit ein Login klappt, ist es also wichtig, das die Zeit auf deinem Handy mit der des Servers übereinstimmt, was bei bestehender Internetverbindung einfach ist (Zeit wird aktuell aus den Internet abgerufen), aber im Offlinemodus schon schwieriger sein kann.

Sagen wir, du hättest 17:30 diesen Test durchgeführt (zu diesen Zeitpunkt war es laut deiner Handyuhr aber schon 17:31). Da dein Handy offline war, musst die Authentifizierung App die Systemzeit nehmen und hat aus den secret und der aktuellen Systemzeit den Code berechnet, der genau für die Zeitspanne von 17:31:00 bis 17:31:30 gültig ist. Du hast diesen Code nun in deinen Browser eingegeben. Hättest du sofort auf absenden geklickt, so wäre der Login fehlgeschlagen, weil der Server nach den Code für 17:30:00-17:30:30 geprüft hätte du aber ihn den Code für 17:31:00-17:31:30 gesendet hättest. Dies lässt sich leicht Nachprüfen, in den man die Uhr um einen Minute verstellt und sofort den Code eingibt -> Login ungültig (hab ich in beiden Richtungen getestet). Da du aber nun zufällig die gleiche Zeit (1min) gewartet hast, welche deinen Uhr vorging, war der Code 17:31:00-17:31:30 gültig, welches den Smartphone schon vor einer Minute berechnet hatte, als es dachte es wäre 17:31:00-17:31:30.

Außerdem ist zu Sagen, das ein Code auch nur einmal gültig ist. Loggst du dich innerhalb von den 30sec, in den ein Code gültig ist ein, wieder aus und versuchst dich mit den gleichen Code nochmal ein zu loggen, so wirst du feststellen, dass es dir genauso wie jeden anderen, der den 1. Code mit gelesen haben könnte, nicht möglich ist, den selben Code für einen 2. Loginversuch zu verwenden.

Ich schätze mal, das ganze beschreibt schön, warum eigentlich Toleranzen Pflicht sind. Bei der Phone-App geht es ja noch, weil diese kann sich synchronisieren, aber bei Auth wie bei sie Blizzard einsetzt geht das nicht und die Uhren können da sehr wohl auch unsynchron werden. Allerdings kann sich der Spieleserver auch mit den Codes Synchronisieren (bspw. indem es mehrere Codes mit zeitlichen unterschied berechnet und dann schaut, welcher der User eingeben hat, dann weis der Server wie groß der Zeitunterschied ist).

Ich wäre wirklich überrascht, wenn die Codes ziemlich strickt gehandelt werden, weil dann sind hier massiv viele Threads mit “ich kann nicht mehr einlogen” eigentlich vorprogrammiert.

Edit-Button ist mal wieder nicht da…

Was mich stutzig macht @Ignitas: Wenn man den Flugmodus aktiviert, sollte sich die Uhr nicht gleich um eine Minute verstellen. Die Google-App hat ja eine Möglichkeit die Zeit unabhängig von der Uhrzeit zu synchronisieren. Ich habs mal ausprobiert, uhr verstellt, Synchronisierung in der App durchgeführt, Flugzeugmodus aktiviert – tada, andere Codes.
Der Auth hat seine eigene Uhr (steht auch bei der Synchronisierung da: Innere Uhr)

Ignitas hatte schon recht meine Uhr war verstellt die interne Uhr muß man erst synchronisieren das hatte ich nicht gemacht. Ich habe es nochmals ausprobiert und jetzt funktioniert es richtig. und meine Uhr wurde nicht durch den Flugmodus verstellt sondern ich hatte die Uhr selbst eingestellt und nicht über das Internet stellen lassen. Deshalb ging sie wohl 1 Minute vor. Jetzt habe ich wieder über das Netzwerk stellen lassen drin. Ich danke für die Hilfreiche Antwort. Somit hat sich das Problem mit der App erledigt.
Somit wünsche ich euch ein schönes Wochenende.
MfG
Melanie

@Erytheia: Ich hatte bei meinen Test auch die Authenticator App neugestartet.