• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Krypto-Sticks mit U2F, OTP und Zertifikatespeicher

sia

gesperrt

sia
Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hi Leute,

Mittlerweile sind einige Modelle von USB-Sticks mit kryptografischen Funktionen auf dem Markt, die verschiedene Zielsetzungen verfolgen. So ist der Nitrokey eher ein Ersatz für die klassische SmartCard und der Yubikey Neo versucht, sogar die mobile Zielgruppe anzusprechen.

Viele verwenden ja sicher Zwei-Faktor-Authentifizierung, die das Prinzip "etwas haben und etwas wissen" mit Smartphone und Passwort abbilden kann. Ist hier ein Krypto-Stick überhaupt notwendig? Habt ihr einen – und wenn ja, wie verwendet ihr ihn? Oder wollt ihr vielleicht einen kaufen?
 

Asseon

Draic Kin

Asseon
Registriert
14 Juli 2013
Beiträge
10.353
Ort
Arcadia
Ich habe noch keinen, plane aber mir einen zu kaufen bzw. selbst zu Bauen.

Sollte ich mir einen kaufen wirds wohl der nitrokey pro weil nahezu komplett open source, sowohl was die Hardware als auch die Software angeht.
Sollte ich einen selber bauen werd ich wohl den nitrokey pro als basis nehmen.

der yubikey kommt für mich nicht in frage, weil ich dieser Tage zu paranoid bin einem Unternehmen dessen Hauptsitz in den USA ist derart zu Vertrauen. Außerdem lassen die sich auch kaum in die Karten gucken, zumindest hab ich nichts gefunden.


Ein Smartphone als zweiten Faktor zu benutzen fand ich schon immer ziemlich riskant aufgrund der doch recht großen Angriffsfläche. Ich verweise da gerne mal auf diesen Talk vom letztjährigen C3.
Ich machs derzeit allerdings auch noch.
Außerdem möchte ich auch die anderen Funktionen die so ein stick bietet nutzen, also Absicherung meiner luks Partitionen und eventuelle auch die smartcard für ssh und gpg kram.
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.764
Ort
in der Zukunft
@Asseon: Das es keine so geniale Idee ist beide Faktoren auf einem Gerät zu benutzen wie im Talk ist vernünftig und ok - und geht auch irgendwie gegen den Gedanken der 2-Faktor authentifizierung (Für mich jedenfalls).

2 Faktor heißt für mich 2 unterschiedliche Techniken auf 2 Geräten (oder Medium wie früher die Papierliste für iTan) (Bei Smartcard kann man den Chip auf der Karte als eigenen kleinen Prozessor sehen)

Ich nutze wenn möglich aktuell den google Authentikator - da der eben auf dem Handy läuft welches ich immer dabei habe. Wobei ich das one time passwort + mein eigenes Passwort dann auf einem anderen Gerät nutze um mich irgendwo anzumelden.
Der Quellcode der Software ist offen und es gibt div. Implementierungen dafür.

bekanntestes Beispiel was passieren kann wenn man eine Hardware kauft - von einer größeren bekannten Firma ist der RSA-Hack bei dem alles wichtige zum knacken jedes beliebigen Tokens bzw. der "Zufallszahl" geklaut wurde ...
 

sia

gesperrt

sia
Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #8
@drfuture: probier mal FreeOTP statt Google Authenticator auf Android. Das ist von Fedora/Red Hat und gibt die Codes nur auf Anforderung raus – noch sicherer. Und mir gefällt das Design besser. Und man kann sein eigenes Secret ohne QR-Code eintippen.

Ich habe kein Problem mit der Nutzung von 2FA-Codes vom Handy auf dem Handy, da das Ding verschlüsselt ist und ich nur vertrauenswürdige Apps und Websites nutze, die keine Möglichkeit zum Drive-by-Download beinhalten. Das Smartphone selbst ist verschlüsselt.

Meine TAN kann auf dem Handy gar nicht benutzt werden, weil ich dann die Website scannen müsste, und die Kamera des Smartphones kann ich nicht auf dessen eigenen Bildschirm ausrichten. Das lässt sich sicher irgendwie umgehen, aber wer sich auf dem Smartphone ohne zusätzliche Sicherheitsmaßnahmen in sein Online-Banking einloggt...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben