• Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
  • Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
  • Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.

MFA - Multi Factor Authentication

Daemonika Nightfire

Daemonika Nightfire

Forumsgott/göttin
MFA - Multi Factor Authentication klingt ja nicht schlecht, man kann also eine Authentication App aufs Handy laden und in Second Life einloggen wie bei Blizzard.
Naja, Blizzard habe ich damals angeschrieben das wieder von meinem Account zu entfernen, weil ich darauf keinen Bock habe.

Was mir in Second Life wirklich sauer aufstoesst ist folgendes:
Install an authenticator app on your mobile device. We do not supply this app or directly support any third party app, but we have tested Google Authenticator with this feature.
Zum Vergrößern anklicken....
Quelle: In eurem Account auf der MFA Seite.

Ernsthaft?

Also wenn die nicht selbst eine eigene Closed Source Authenticator App anbieten, denke ich nicht mal drueber nach.

Third Party Authenticator, die sind doch nicht ganz dicht.
Das oeffnet Hackern Tuer und Tor.
Wie wollen die Kontrollieren welcher Anbieter einen vertrauenswuerdigen Authenticator anbietet?

Sorry, aber das ist in meinen Augen die Kroenung des unausgegorenen Schwachsinns.

LG
Dae
 
Zunächst mal: warum ist MFA eine gute Idee? Weil es ein zusätzlicher Schutz vor Hackern ist. Ich kenne wirklich genügend Leute, denen im Laufe ihres SL-Daseins das Konto gehackt wurde, dann aller möglicher Unsinn damit veranstaltet wurde, vom Löschen des Inventars bis schlimmeres. Mit Hilfe von MFA kommt der Hacker eben nicht mehr einfach so online, weil er dazu das Gerät mit der Authenticator-App stehlen und bedienen könnten müsste. Viele wären sicherlich froh, es hätte so was schon vor Jahren gegeben.

Weiter: Google Authenticator kommt von Google, die Applikation ist Open Source (Quellcode hier) und kann damit von jedem selbst gebaut und auf Hintertüren durchsucht werden, der mag und sich das zutraut. Das Programm selbst gilt als vertrauenswürdig und sicher. Es gibt für Linden Lab keinen Grund, hier das Rad neu zu erfinden.

Wichtig dabei ist dies: bei der Einrichtung wird zwischen Loginserver und Authenticator ein geheimer Schlüssel geteilt. Weiterhin muss auf dem Loginserver als auch Authenticator ziemlich genau dieselbe Uhrzeit sein, was bei Smartphones ja normal durchs Mobilfunknetz geregelt wird. Das One Time Password (OTP) wird abhängig von der Uhrzeit erzeugt, und zwar sowohl auf dem Server als auch Authenticator unabhängig voneinander berechnet.

Die Kommunikation zwischen den Geräten läuft dabei ausschließlich so: Viewer => Loginserver => Authenticator.

Der Authenticator selber sendet normal keine Daten zum Server. Die Daten muss man ja selber eingeben. Und dann vergleicht der Server ob das Passwort dem entspricht, was er erwartet, also berechnet hat. Wenn ja, dann wird der Login vollzogen.
 
Zuletzt bearbeitet:
Netter Beitrag @Bartholomew Gallacher, deinen Ausfuehrungen will ich auch gar nicht widersprechen.
Allerdings was die Technik selbst nicht der Kern meines Anliegens, sondern die Umsetzung.
Nach 19 jahren sollte Linden Lab es doch wirklich besser wissen, das sie mit Open Source Third Party Software weitgehend auf die Schnautze gefallen sind und immer wieder nur Schadensbegrenzung betreiben. Natuerlich erst nachdem die gesamte Community sturm gelaufen ist, vorher reagieren sie ja ehr selten.

Die Problematik auf die ich hier plakativ hinweise ist der mangel der Vertriebssicherheit.
Google als vertrauenswuerdig zu bezeichnen halte ich allerdings schon fuer sehr grenzwertig, aber um den Laden geht es nicht, sondern um diverse Pissnelken mit genuegend krimineller Energie eine Authenticator App zu vertreiben, welche gegebenenfalls zur fadenscheinigen Aktivierung eine Email und Second Life Zugangsdaten verlangt.

Das ist eine neue Quallitaet von Phishing und ich bin davon ueberzeugt das genuegend darauf rein fallen werden.

Darum bestehe ich euf eine eigene closed Source App von Linden Research selbst.

LG
Dae
 
Darf ich mal ganz blöd fragen, wovon ihr redet?

Braucht man jetzt etwa Handy oder irgendwelche Zusatzgeräte um sich bei SL einzuloggen wie bei Online- Überweisungen bei der Bank?

Ist das geplant? kommt das? oder wie oder was?
 
Leora Jacobus schrieb:
Darf ich mal ganz blöd fragen, wovon ihr redet?

Braucht man jetzt etwa Handy oder irgendwelche Zusatzgeräte um sich bei SL einzuloggen wie bei Online- Überweisungen bei der Bank?

Ist das geplant? kommt das? oder wie oder was?
Zum Vergrößern anklicken....

Sowas in der Art, man braucht sein Handy um sich dann in SL einloggen zu können. Gibts schone weile, kann man Aktivieren, muss man aber nicht. Ich persönlich finds gut, bin aber ehrlich gesagt zu Faul es mir einzurichten.
 
Daemonika Nightfire schrieb:
Die Problematik auf die ich hier plakativ hinweise ist der mangel der Vertriebssicherheit.
Google als vertrauenswuerdig zu bezeichnen halte ich allerdings schon fuer sehr grenzwertig, aber um den Laden geht es nicht, sondern um diverse Pissnelken mit genuegend krimineller Energie eine Authenticator App zu vertreiben, welche gegebenenfalls zur fadenscheinigen Aktivierung eine Email und Second Life Zugangsdaten verlangt.
Zum Vergrößern anklicken....
Ich sehe hier das Problem nicht. Wer auf Phishing reinfällt, der wird es auch bereits jetzt tun, sollte er eine gefälschte Email mit Aufforderung zur Neueingabe der Logindaten bekommen. Dazu braucht es keinen Authenticator.

Die Algorithmen und Verfahren bei 2FA sind genormt. Es reicht aus, dass Linden Lab auf dem Loginserver das Passwort berechnet und da die Hand draufhat. Denn nur der entscheidet, ob er die Eingabe vom Benutzer akzeptiert oder nicht.
 
Ich mag es auch unkompliziert.
Meine PIN habe ich deshalb auf einen kleinen Zettel geschrieben und mit Tesafilm vorn an die Kreditkarte gepeppt.
So habe ich beides immer gleichzeitig zur Hand, ohne Suche und ohne das ich mir etwas merken muss.
 
Ja, Sicherheit - so nen Quatsch und BackUps sind für Pussies.

Richtige Männer ääh Frauen lieben das Risiko und wenn man schon Probleme hat zu sagen wieviel Speicher der eigene Rechner hat, kennt man sich ja aus und kann auf so lästigen Quatsch verzichten ;)

@Daemonika Nightfire

Es gibt einige Standard Apps für MFA. Darunter auch von Google und Microsoft. Wenn man diesen Firmen nicht vertraut, gibt es auch Alternativen von selbständigen Entwicklern. Ich nutze z.B. OTP Auth, glaube läuft aber nur auf iOS. Ja, läuft nur auf iOS

mrdatenschutz.de

OTP Auth (iOS) · Sicherheit mit Zwei-Faktor-Authentifizierung - Mr. Datenschutz

OTP Auth ist eine iOS-App für Zwei-Faktor-Authentifizierung. Für Apple-Nutzer ein komfortables Tool, um die Accounts mit 2FA zu schützen.
mrdatenschutz.de mrdatenschutz.de

Würde jeder Service, der MFA anbietet eine eigene App verlangen - oh je. Dann hätte ich stand jetzt 12 Apps extra.
Also da bin ich doch klar für die 1App Lösung und denke nicht, dass jeder das Rad neu erfinden muss.

Wer sich eine Auth App aus einer nebulösen Quelle runterlädt hat es nicht besser verdient - IMHO.

Es gibt genug zertifizierte und offizielle Angebote:

geekflare.com

Die 7 besten Zwei-Faktor-Authentifizierungs-Apps (2FA) zum Schutz Ihrer E-Mails und sozialen Medien

Die Zwei-Faktor-Authentifizierung ist eine Sicherheitsfunktion, die Ihre Online-Konten schützt, indem sie eine zusätzliche Sicherheitsebene hinzufügt.
geekflare.com geekflare.com
 
Nofu Nagy schrieb:
Wer sich eine Auth App aus einer nebulösen Quelle runterlädt hat es nicht besser verdient - IMHO.
Zum Vergrößern anklicken....
Dazu bedarf es keinerlei nebuloeser Quelle, es reicht schon der Google Playstore.
In letzter Zeit lese ich vermehrt, das wieder millionenfach malware von dort runter geladen wurde.
Es schaffen also immer wieder welche ihr verseuchtes Dreckszeug dort einzuschleusen.

LG
Dae
 
Weiß garnicht warum ihr so giftig und sarkastisch werdet.
Ich möchte keine Umstände bei jedem Einloggen und riskiere lieber daß ich gehackt werde, PUNKT.
Deshalb bin ich weder blöd noch senil.

Ich habe meine Pin Nummer auch auf einem kleinen Zettel, aber der liegt woanders als die Karte und ist getarnt als Adressliste und nur ich weiß in welcher der Postleitzahlen der Code steckt. Wenn ich zur Bank gehe nehme ich den natürlich mit. Das Risiko daß ihn jemand klaut und zu deuten weiß ist weit geringer als das, daß mir meine Zahl nicht einfällt. Merken kann ich mir die nicht, ebensowenig wie meine eigene Telefonnummer und andere Zahlen die ich nur sehr selten brauche...

... wie zum Beispiel "wieviel Speicher der eigene Rechner hat"

So hat jeder seine Methoden ... und sein Sicherheitsbedürfnis.
 
Also, ich hab`s mehrfach versucht mich mit der Google MFA App anzufreunden. Nach einigen Versuchen hat es sogar geklappt.
Dann jedoch, am nächsten Tag bekam ich beim Versuch mich in SL einzuloggen kein neues Token mehr. Nach zahlreichen erfolglosen Versuchen habe ich den MFA Zugang dann wieder deaktiviert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Users who are viewing this thread

Gesamt: 2 (Mitglieder: 0, Gäste: 2)
Zurück
Oben Unten