2-Faktor-Authorisierung mit Passworttabelle auf bitcoin.de
Der Marktplatz bitcoin.de führt in dieser Woche eine neue Methode der 2-Faktor-Authorisierung ein: die Passworttabelle. Mit dieser können Nutzer den Zugang zu ihrem Account sichern, ohne auf Smartphones, Yubikeys oder Emails angewiesen zu sein. Ab heute kann man diese Option in den Einstellungen aktivieren und seine Passworttabelle ausdrucken.
Die 2-Faktor-Authorisierung bedeutet, dass der Zugang zum Account von bitcoin.de von mindestens zwei Quellen abhängt. Zum einen der Computer oder Laptop, über den man den Account steuert. Hier gibt man Nutzernamen und Passwort ein, was oft im Browser gespeichert wird. Das Problem ist, dass im Falle eines Phishing-Angriffs ein Hacker etwa einen Keylogger einschleusen kann, um sich Zugriff zum Account zu verschaffen. Daher ist es bei bitcoin.de Pflicht, beim Einloggen noch ein One-Time-Passwort einzugeben. Dieses wird entweder durch einen Yubikey oder durch eine Smartphone-App generiert oder per E-Mail versendet.
Seit heute haben Nutzer noch eine weitere Möglichkeit, das One-Time-Passwort zu generieren: die Passworttabelle. Damit sind Sie weder von einem Yubikey-Stick noch von einem Smartphone abhängig noch müssen Sie auf eine E-Mail warten oder sich auf die Sicherheit Ihre E-Mail-Providers verlassen.
Die Passworttabelle können Sie in Ihren Einstellungen einrichten und nach Erhalt einer mTAN per SMS herunterladen und ausdrucken. Wenn man sie in der Mitte faltet, past sie in den Kreditkartenschlitz eines Portemonnaies. Die Passworttabelle listet in zufälliger Reihenfolge zufällige Zeichen in einer Kreuztabelle mit alphabetischer und numerischer Achse auf. Bei künftigen Logins oder Auszahlungen werden Sie gebeten, vier zufällig ausgewählte Koordinatenstellen der Tabelle, zum Beispiel M4, C11, G1, einzugeben. Bei drei Fehlversuchen wird der Account gesperrt.
Um die Passworttabelle zu aktivieren, müssen Sie erstmals vier Werte aus der Tabelle eingeben.
Ich finde gut, dass die technischen Hürden der Benutzung abgebaut werden und man z.B. kein Smartphone braucht, um bitcoin.de zu nutzen.
Es wäre schön, wenn ihr jetzt noch die Handy-Pflicht abschafft, das macht das ganze unnütz kompliziert, wenn man normalerweise keine Handys benutzt.
Lange genug Keygeloggt, hat man auch so ein Passwort Matrix komplett. Daher eigentlich nur eine größere Hürde, aber nicht so sicher wie ein echtes OTP
kann man z.b. jeden monat eine neue matrix anlegen ? dann ist das mit dem keylogger eig vom tisch….
man kann doch einfach das verfahren deaktivieren und anschließend erneut aktivieren, da anschließend wieder eine neue matrix erstellt wird.
so ist es jedem user selbst überlassen, ob und wann er seine matrix austauschen möchte.
C11 gibts nicht 🙂
Die Codes müssen nach einmaligem Gebrauch ablaufen und wenn alle abgelaufen sind muss eine neue Tabelle erstellt werden. Das hatten wir doch alles schon mit den TAN-Listen der Banken, ist hier auch nicht anders. In der jetzigen Form unbrauchbar, da nur pseudo-sicher!