Bitcoin Forum
November 01, 2024, 04:57:45 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Bitfunder - 2 step  (Read 2160 times)
Itcher (OP)
Full Member
***
Offline Offline

Activity: 364
Merit: 100



View Profile
July 25, 2013, 04:59:29 PM
 #1

Hi,

kann mir jemand erklären, wie die google-2-step-verifizierung bei bitfunder funktioniert?

Eigentlich gefällt mir Bitfunder ganz gut, tolle Mikroanlage, aber bevor ich da mehr als ein bißchen spielgeld reinlege, würde ich gerne sicher sein, dass ich die btc auch wieder von der seite wegkriege.

viele Dank schon mal!

Ach ja: ich habe kein I-smart-wie-auch-immer-phone, sondern ein schlichtes Mobiltelephon
wosinddiehirsche
Full Member
***
Offline Offline

Activity: 178
Merit: 100



View Profile
July 27, 2013, 01:34:16 PM
 #2

es gibt google auth auch als windows programm. hast du 2 rechner zu hause? dann kannst du dieses programm auf dem anderen installieren. es zeigt dir dann wie bei smarttphones alle 30 sek ne neue 5-6 stellige zahlenfolge an. (in der systemleiste bei den anderen icons)
kannst es bei einem pc natürlich auch auf dem installieren, nur dann ist das ganze sicherheitssystem irgendwie hinfällig...

findest du hier http://gauth4win.googlecode.com/files/gauth4win.rar


nachteil: du musst beide rechner anmachen um dich einzuloggen...

d.h. je nach menge des "spielgeldes" solltest du doch mal über ein billiges android phone nachdenken... hat ja sonst auch vorteile, wenn man unterwegs ins internet kann...


achso und auscashen kannst du bei bitfunder auch ohne google auth...




Itcher (OP)
Full Member
***
Offline Offline

Activity: 364
Merit: 100



View Profile
July 27, 2013, 03:11:36 PM
 #3

Hallo

danke für den Tipp. Habe mittlerweile eine einfachere Lösung gefunden: Es gibt ein Programm, der MOS Authenticator. Einfach runterladen, den Code, der unter dem QR-Code bei Bitfunder steht, eingeben. Unbedingt aufschreiben! Habe ihn auf mehrere Zettel ausgedruckt und abgeheftet. Habe zudem den gesamten MOS-Authenticator auf einen USB-Stick gespeichert. Wenn ich es richtig verstehe, ist nämlich, wenn man den Code verliert, das Konto futsch.

Dann läuft es so: Der MOS Authenticator spuckt alle etwa zehn Sekunden eine neue 6-stellige Zahl aus. Mit der verifiziert man sich. Meine Vermutung ist, dass diese Zahl irgendein Produkt (?) / eine Lösung des Codes ist (verrechnung mit Uhrzeit oder so?), die also nur der haben kann, der zu dem Zeitpunkt eingeloggt war, als der MOS Authenticator zum ersten Mal den Code für diese Webseite gebildet hat. D.h. es bringt nichts, mein Passwort zu haben und sich den Authenticator runterzuladen, da der entscheidende Code fehlt.

Bin fasziniert. Tricky!
candoo
Hero Member
*****
Offline Offline

Activity: 602
Merit: 500


Vertrau in Gott


View Profile
July 27, 2013, 03:19:11 PM
 #4

Hallo

danke für den Tipp. Habe mittlerweile eine einfachere Lösung gefunden: Es gibt ein Programm, der MOS Authenticator. Einfach runterladen, den Code, der unter dem QR-Code bei Bitfunder steht, eingeben. Unbedingt aufschreiben! Habe ihn auf mehrere Zettel ausgedruckt und abgeheftet. Habe zudem den gesamten MOS-Authenticator auf einen USB-Stick gespeichert. Wenn ich es richtig verstehe, ist nämlich, wenn man den Code verliert, das Konto futsch.

Dann läuft es so: Der MOS Authenticator spuckt alle etwa zehn Sekunden eine neue 6-stellige Zahl aus. Mit der verifiziert man sich. Meine Vermutung ist, dass diese Zahl irgendein Produkt (?) / eine Lösung des Codes ist (verrechnung mit Uhrzeit oder so?), die also nur der haben kann, der zu dem Zeitpunkt eingeloggt war, als der MOS Authenticator zum ersten Mal den Code für diese Webseite gebildet hat. D.h. es bringt nichts, mein Passwort zu haben und sich den Authenticator runterzuladen, da der entscheidende Code fehlt.

Bin fasziniert. Tricky!


weißt du wozu 2factor da ist?? Damit dein Geld nicht futsch ist wenn dein pc gehackt ist. Überleg mal was dieser Schutz bringt, wenn du das programm auf deinen pc hast...
*facepalm

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
Itcher (OP)
Full Member
***
Offline Offline

Activity: 364
Merit: 100



View Profile
July 27, 2013, 03:39:16 PM
 #5

na, darum sage ich ja: code abschreiben und mehrfach ausdrucken. Dann müsste ich ja, falls mein PC ablutscht, einfach MOS neu runterladen können + meinen code eingeben
Itcher (OP)
Full Member
***
Offline Offline

Activity: 364
Merit: 100



View Profile
July 27, 2013, 03:40:22 PM
 #6

im übrigen ist 2-step soweit ich verstehe dazu da, dass niemand via brute-force etc. dein passwort knackt und sich von einem anderen Rechner aus einloggt
candoo
Hero Member
*****
Offline Offline

Activity: 602
Merit: 500


Vertrau in Gott


View Profile
July 27, 2013, 03:42:56 PM
 #7

Nein! Damit niemand zugang hat wenn er euren pc hackt und die Passwörter ausliest. Aber das ist sinnlos wenn ihr euren 2factor aufm pc installiert habt!! Der Schutz macht nur sinn wenn ihr es aufm smart phone installiert.

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
Akka
Legendary
*
Offline Offline

Activity: 1232
Merit: 1001



View Profile
July 27, 2013, 03:45:23 PM
 #8

Bringt soger mehr. Selbst wenn dein PC z.B.kompromittiert wurde nützt das nichts wenn du 2 Factor über dein Smartphone machst. Um Zugriff auf deinen Account zu haben bräuchte dann ein Angreifer Zugriff auf beide Systeme.

All previous versions of currency will no longer be supported as of this update
candoo
Hero Member
*****
Offline Offline

Activity: 602
Merit: 500


Vertrau in Gott


View Profile
July 27, 2013, 04:01:46 PM
 #9

Huh? Wenn der PC infiziert ist, kann der hacker doch sowohl das Passwort auslesen, als auch den passenden 2factor code?


Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
Itcher (OP)
Full Member
***
Offline Offline

Activity: 364
Merit: 100



View Profile
July 27, 2013, 04:11:58 PM
 #10

hmm ... gute Frage. Wenn der Hacker es schafft, auf meinem PC das Programm zu öffnen, ohne dass ich es merke, dann ja. Wäre natürlich besser, wenn man MOS nur als Administrator öffnen könnte. Sicherer ist es auf jeden Fall, das Programm auf einem Zweit-PC oder einem Smart aufen zu lassen, keine Frage.

Im übrigen kann man den Code nicht kopieren, sondern nur optisch ansehen. Keine Ahnung, ob das für Hacker eine Bedeutung hat. Damit der Hacker ihn dann klaut, müsste der Code ja im Code des Programms auftauchen ...

twbt
Legendary
*
Offline Offline

Activity: 994
Merit: 1098


An AA rated Bandoneonista


View Profile
July 27, 2013, 04:27:27 PM
 #11

hmm ... gute Frage. Wenn der Hacker es schafft, auf meinem PC das Programm zu öffnen, ohne dass ich es merke, dann ja. Wäre natürlich besser, wenn man MOS nur als Administrator öffnen könnte. Sicherer ist es auf jeden Fall, das Programm auf einem Zweit-PC oder einem Smart aufen zu lassen, keine Frage.

Im übrigen kann man den Code nicht kopieren, sondern nur optisch ansehen. Keine Ahnung, ob das für Hacker eine Bedeutung hat. Damit der Hacker ihn dann klaut, müsste der Code ja im Code des Programms auftauchen ...



Was meinst Du wohl, wie "das Programm" in der Lage ist, das OTP für Dich zu generieren? Dafür muss es in irgendeiner Form auf Dein individuelles Token zurückgreifen, das in irgendeiner Form auf Deinem Computer gespeichert sein muss. Habe ich also Zugriff auf Deinen Computer, ist die Absicherung wirkungslos. Sinnvoll ist eine 2-Faktor-Authentifizierung nur einsetzbar, wenn Du zwei verschiedene Geräte für Login und OTP-Generierung einsetzt. Allerdings werden manche Angriffsszenarien auch bei Nutzung von nur einem Gerät abgefangen. Dennoch ist es nicht sinnvoll, nur ein Gerät zu verwenden.

Edit: Die FAQ von MOS Authenticator erläutert ganz gut, dass hier recht viele Vorkehrungen getroffen sind, um das oben beschriebene Szenario möglichst zu vermeiden: http://www.maxoutput.com/authenticator/faq.html. Dennoch sind hinreichend viele Szenarien denkbar, die auch diese Absicherung aushebeln können.

Akka
Legendary
*
Offline Offline

Activity: 1232
Merit: 1001



View Profile
July 27, 2013, 04:32:29 PM
 #12

Huh? Wenn der PC infiziert ist, kann der hacker doch sowohl das Passwort auslesen, als auch den passenden 2factor code?

Nciht wenn ich 2 Factor über mein Smartphone mache, das sind 2 getrennte Systeme. Darum geht es ja beim 2 Factor.

Wenn er einen Keylogger hat, kann er zwar den Code auslesen während ich ihn eingebe, dieser ist aber nur 60 sek. lang gültig.

All previous versions of currency will no longer be supported as of this update
candoo
Hero Member
*****
Offline Offline

Activity: 602
Merit: 500


Vertrau in Gott


View Profile
July 28, 2013, 07:41:45 PM
 #13

Huh? Wenn der PC infiziert ist, kann der hacker doch sowohl das Passwort auslesen, als auch den passenden 2factor code?

Nciht wenn ich 2 Factor über mein Smartphone mache, das sind 2 getrennte Systeme. Darum geht es ja beim 2 Factor.

Wenn er einen Keylogger hat, kann er zwar den Code auslesen während ich ihn eingebe, dieser ist aber nur 60 sek. lang gültig.

Der obige User generiert sein 2FA PW aber über seinen PC mit einem Programm von einem dritt Anbieter. Deswegen kritisiere ich es ja.

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
Itcher (OP)
Full Member
***
Offline Offline

Activity: 364
Merit: 100



View Profile
July 29, 2013, 07:48:50 AM
 #14

Ok, Kritik angenommen Sad

So wie es aussieht, ist ohne Smart oder Tablet umfassender Schutz im Internet nicht mehr möglich ... wird wohl Zeit, dass ich in Sachen Technik endlich die Nuller Jahre hinter mir lasse und in der Gegenwart ankomme
candoo
Hero Member
*****
Offline Offline

Activity: 602
Merit: 500


Vertrau in Gott


View Profile
July 29, 2013, 08:26:03 AM
 #15

Ok, Kritik angenommen Sad

So wie es aussieht, ist ohne Smart oder Tablet umfassender Schutz im Internet nicht mehr möglich ... wird wohl Zeit, dass ich in Sachen Technik endlich die Nuller Jahre hinter mir lasse und in der Gegenwart ankomme


kannst dir auch ein yubi Key oder ähnliches kaufen. Die Geräte sind dann quasi sowas wie Tan generatoren und erstellenn auch ein einmal Passwort

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
Polarstorm
Sr. Member
****
Offline Offline

Activity: 406
Merit: 250



View Profile
July 29, 2013, 09:32:40 AM
 #16

Ok, Kritik angenommen Sad

So wie es aussieht, ist ohne Smart oder Tablet umfassender Schutz im Internet nicht mehr möglich ... wird wohl Zeit, dass ich in Sachen Technik endlich die Nuller Jahre hinter mir lasse und in der Gegenwart ankomme


Lass dich nicht von den Leuten hier verrückt machen.

Frag dich mal folgendes:  

Warum wird das Verfahren nicht dort angewendet wo es wirklich um etwas geht ? Zum Beispiel beim Online Banking, dem Forex Anbieter deiner Wahl, dem Zugang zu deiner Versicherung, usw usw.


Die Antwort ist nicht: Weil die keine Ahnung haben, oder ihnen der Schutz der Kunden egal ist.

Auszug aus der Falltime Datenbank, eintrag Keule: Primitiv, aber effektiv. Alles was es braucht um diese, wieder in Mode gekommene, Waffe herzustellen sind ein paar rostige Nägel, ein gutes Stück Holz und der unbedingte Wille anderen den Schädel einzuschlagen.
candoo
Hero Member
*****
Offline Offline

Activity: 602
Merit: 500


Vertrau in Gott


View Profile
July 29, 2013, 09:59:50 AM
 #17

Ok, Kritik angenommen Sad

So wie es aussieht, ist ohne Smart oder Tablet umfassender Schutz im Internet nicht mehr möglich ... wird wohl Zeit, dass ich in Sachen Technik endlich die Nuller Jahre hinter mir lasse und in der Gegenwart ankomme


Lass dich nicht von den Leuten hier verrückt machen.

Frag dich mal folgendes:  

Warum wird das Verfahren nicht dort angewendet wo es wirklich um etwas geht ? Zum Beispiel beim Online Banking, dem Forex Anbieter deiner Wahl, dem Zugang zu deiner Versicherung, usw usw.


Die Antwort ist nicht: Weil die keine Ahnung haben, oder ihnen der Schutz der Kunden egal ist.

Was für ein Quatsch. Beim Online Banking gibt es "2Faktor" schon seit Jahren. Beim Online Banking wurde das einmal passwort früher durch die Tan Listen und später durch den Tan generator erzeugt.

Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
twbt
Legendary
*
Offline Offline

Activity: 994
Merit: 1098


An AA rated Bandoneonista


View Profile
July 29, 2013, 10:03:31 AM
 #18

Ok, Kritik angenommen Sad

So wie es aussieht, ist ohne Smart oder Tablet umfassender Schutz im Internet nicht mehr möglich ... wird wohl Zeit, dass ich in Sachen Technik endlich die Nuller Jahre hinter mir lasse und in der Gegenwart ankomme


Lass dich nicht von den Leuten hier verrückt machen.

Frag dich mal folgendes:  

Warum wird das Verfahren nicht dort angewendet wo es wirklich um etwas geht ? Zum Beispiel beim Online Banking, dem Forex Anbieter deiner Wahl, dem Zugang zu deiner Versicherung, usw usw.


Die Antwort ist nicht: Weil die keine Ahnung haben, oder ihnen der Schutz der Kunden egal ist.

*FACEPALM*

Polarstorm
Sr. Member
****
Offline Offline

Activity: 406
Merit: 250



View Profile
July 29, 2013, 01:40:44 PM
 #19

War mir völlig klar das irgendwer daherkommen würde und das Gegenteil behaupten würde.

Die Aussage ist schlicht das es in 95% aller Fälle eben nicht so ist. Die restlichen 5% können nicht als Gegenbeispiel dienen.

Und ganz speziell bezog sie sich auf die Aussage das ein Tablet und ein Iphone nötig wären, was totaler Unsinn ist.


Nachtrag: Beim Online Banking Zugang ist keine TAN erforderlich.

Auszug aus der Falltime Datenbank, eintrag Keule: Primitiv, aber effektiv. Alles was es braucht um diese, wieder in Mode gekommene, Waffe herzustellen sind ein paar rostige Nägel, ein gutes Stück Holz und der unbedingte Wille anderen den Schädel einzuschlagen.
twbt
Legendary
*
Offline Offline

Activity: 994
Merit: 1098


An AA rated Bandoneonista


View Profile
July 29, 2013, 01:47:13 PM
 #20

Naja, wenn man auch unterwegs Zugriff auf bestimmte Dienste (wie hier Bitfunder) haben möchte, die über 2-Faktor-Authentifizierung abgesichert sind, dann ist ein mobiles Gerät, das man eh dabei hat, keine schlechte Lösung. Deine Aussage war, dass Dienste, bei "wo es wirklich um etwas geht" (also nicht so läppische Sachen wie ein paar hundert oder tausend BTCs auf Bitfunder), keine 2-Faktor-Auth nutzen. Das ist schlicht Unsinn.

Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!