Randalf (OP)
Newbie
Offline
Activity: 6
Merit: 0
|
|
February 14, 2018, 01:46:05 PM Last edit: February 14, 2018, 09:16:21 PM by Randalf |
|
Hallo zusammen,
ich bin noch recht neu beim Thema Krypots und habe jetzt mal zu Testzwecken einen Account bei einer Börse eröffnet, standardmäßig mit Zwei-Faktor-Authentifizierung via SMS.
Jetzt habe ich gelesen, dass das Risiko von Phone-Porting Angriffen besteht, dh. der Angreifer schafft es über den Support des Mobilfunkanbieters die Nummer zu kapern und auf ein eigenes Device umzustellen. Davon waren wohl schon ein paar amerikanische User betroffen.
Meine Frage: Wie hoch ist das Risiko solcher Attacken in Deutschland? Ich kann mir kaum vorstellen, dass meine deutsche Nummer von irgendwem irgendwohin portiert werden kann, ohne dass ich vorher schriftlich zustimme?
Viele Börsen empfehlen auch den Google Authenticator. Ich frage mich aber, ob diese Methode nicht angreifbarer ist, sofern der Authenticator zB. auf einem Mobile-System verwendet wird, das nicht 100 % aktuell ist
Habt ihr da Erfahrungen/Einschätzungen?
|
|
|
|
|
|
The forum strives to allow free discussion of any ideas. All policies are built around this principle. This doesn't mean you can post garbage, though: posts should actually contain ideas, and these ideas should be argued reasonably.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
Zeix
|
|
February 14, 2018, 02:10:29 PM |
|
Denk mal so. Um den Authenticator anzugreifen, braucht jemand Zugriff auf dein Handy. Wer das schafft, kann auch schon problemlos deine SMS mitlesen. Der Authenticator überträgt keinerlei Daten ins Internet. Wenn du Bedenken hast, dann nimm ein altes Smartphone, das du nicht mehr brauchst, ohne SIM Karte.
Abgesehen von der Sicherheit, bedenke auch, SMS ist kein 100% zugesicherter Service, es kann immer wieder Ausfälle geben, zu spät ankommen usw. Wenn dus mal dringend brauchst, kommt die SMS nicht. Was machst du dann? Dich bei Coinbase beschweren? Die Analyse, warum deine SMS nicht kam, kann Tage dauern, weil die SMS international über etliche Subprovider verschickt werden.
|
|
|
|
Randalf (OP)
Newbie
Offline
Activity: 6
Merit: 0
|
|
February 14, 2018, 02:33:04 PM Last edit: February 14, 2018, 09:17:03 PM by Randalf |
|
Danke für Deine Einschätzung!
Dass es bei SMS zu Verzögerungen kommen kann, ist natürlich richtig, vielleicht sogar besonders in Stoßzeiten ... ich werde mir den Authenticator auf jeden Fall mal ansehen!
|
|
|
|
anakrea
Member
Offline
Activity: 116
Merit: 17
|
|
February 14, 2018, 02:46:46 PM Merited by freedomno1 (1) |
|
Zu der Wahrscheinlichkeit und dem Risiko eines Phone-Porting Angriffs kann ich dir leider nichts sagen. Solltest du dich jedoch für Google-Authenticator entscheiden, mach dir auch Gedanken um ein mögliches Backup. So ein Handy kann schnell auch mal kaputt oder verloren gehen... Diskussionen darüber findest du auch hier im Forum (z.B. https://bitcointalk.org/index.php?topic=2703835.0 oder https://bitcointalk.org/index.php?topic=370473.0)
|
"It's a dangerous business, Frodo, going out your door. You step onto the road, and if you don't keep your feet, there's no knowing where you might be swept off to.” J.R.R. Tolkien - The Lord of the Rings
|
|
|
Randalf (OP)
Newbie
Offline
Activity: 6
Merit: 0
|
|
February 14, 2018, 03:15:33 PM |
|
Besten Dank für die Info, schaue ich mir mal an. Habe den Authenticator gerade mal getestet, funktionierte erst nicht, bis ich dann drauf kam, die Serverzeit mal zu synchronisieren Seither funktioniert alles problemlos! Den sogenannten "geheimen Schlüssel" habe ich mir auf Papier notiert - der müsste doch auch für eine Wiederherstellung im Notfall reichen, oder?
|
|
|
|
Bertrannus
Member
Offline
Activity: 86
Merit: 19
|
|
February 15, 2018, 12:13:10 PM |
|
korrekt - aber schreibe dir dazu, zu welchem Dienst der Schlüssel gehört. Empfehle ich dir aus eigener Erfahrung Da das System zeitbasiert arbeitet, ist eine korrekte Zeit natürlich immer notwendig. Es gibt auch Apps wie Authy, welche diese geheimen Schlüssel sichern und synchronisieren, aber die gewonnene Benutzerfeundlichkeit ist mir gegenüber der verminderten Sicherheit nicht wert. Es soll wohl auch schon solche SMS Angriffe in Deutschland gegeben haben: https://www.golem.de/news/onlinebanking-bankbetrueger-knacken-mtan-verfahren-1310-102363.htmlSolche Angriffe gab und gibt es in verschiedenen Formen, von SMS Umleitung, SMS mitlesen, SMS Karten bestellen oder fälschen ist vieles möglich (gewesen). Daher wird das mTAN Verfahren im Online Banking nicht als allzu sicher angesehen. https://nakedsecurity.sophos.com/2016/08/12/sms-or-authenticator-app-which-is-better-for-two-factor-authentication/https://www.kontofinder.de/ratgeber/tan-verfahren-ueberblickIm Endeffekt ist jedes socher Systeme angreifbar, aber wenn jemand Zugriff auf dein Handy oder PC hat, wars das ohnehin. Bezüglich SMS Verzögerung: Falls mal eine SMS nicht ankommt, kann man normalerweise immer eine weitere anfordern. Möglicherweise wird diese dann auch mit einer höheren Priorität versendet.
|
|
|
|
mole0815
Moderator
Legendary
Offline
Activity: 2352
Merit: 2638
Join the world-leading crypto sportsbook NOW!
|
|
February 15, 2018, 02:39:05 PM |
|
Besten Dank für die Info, schaue ich mir mal an. Habe den Authenticator gerade mal getestet, funktionierte erst nicht, bis ich dann drauf kam, die Serverzeit mal zu synchronisieren Seither funktioniert alles problemlos! Den sogenannten "geheimen Schlüssel" habe ich mir auf Papier notiert - der müsste doch auch für eine Wiederherstellung im Notfall reichen, oder? das google app hast du versucht? wenn du erst mit der einrichtung beginnst verwende am besten direkt https://authy.com/das klappt auch überall und es gibt die möglichkeit zum backup. ich habe gestern mühsam 6-7 accounts vom google app zu authy übersiedelt... immer deaktivieren, neu aktivieren, code speichern etc. die arbeit kannst du dir ersparen wenn du gleich mit authy startest
|
| | | . .Duelbits. | | | █▀▀▀▀▀ █ █ █ █ █ █ █ █ █ █ █ █▄▄▄▄▄ | TRY OUR
NEW UNIQUE GAMES! | | . ..DICE... | ███████████████████████████████ ███▀▀ ▀▀███ ███ ▄▄▄▄ ▄▄▄▄ ███ ███ ██████ ██████ ███ ███ ▀████▀ ▀████▀ ███ ███ ███ ███ ███ ███ ███ ███ ▄████▄ ▄████▄ ███ ███ ██████ ██████ ███ ███ ▀▀▀▀ ▀▀▀▀ ███ ███▄▄ ▄▄███ ███████████████████████████████ | . .MINES. | ███████████████████████████████ ████████████████████████▄▀▄████ ██████████████▀▄▄▄▀█████▄▀▄████ ████████████▀ █████▄▀████ █████ ██████████ █████▄▀▀▄██████ ███████▀ ▀████████████ █████▀ ▀██████████ █████ ██████████ ████▌ ▐█████████ █████ ██████████ ██████▄ ▄███████████ ████████▄▄ ▄▄█████████████ ███████████████████████████████ | . .PLINKO. | ███████████████████████████████ █████████▀▀▀ ▀▀▀█████████ ██████▀ ▄▄███ ███ ▀██████ █████ ▄▀▀ █████ ████ ▀ ████ ███ ███ ███ ███ ███ ███ ████ ████ █████ █████ ██████▄ ▄██████ █████████▄▄▄ ▄▄▄█████████ ███████████████████████████████ | 10,000x MULTIPLIER | │ | NEARLY UP TO .50%. REWARDS | | | ▀▀▀▀▀█ █ █ █ █ █ █ █ █ █ █ █ ▄▄▄▄▄█ |
|
|
|
Randalf (OP)
Newbie
Offline
Activity: 6
Merit: 0
|
|
February 15, 2018, 06:10:37 PM |
|
Super, ich danke euch allen für eure Tipps! Ich bin jetzt mit der Authenticator App soweit zufrieden, sie tut, was sie tun soll Bequemer brauche ich es nicht... Und ein Restrisiko ist bleibt halt immer, damit muss man in diesen Zeiten wohl leben ...
|
|
|
|
|