Steam Account gehijacked

RobMitchum

Namhafter Pirat
Registriert
3 September 2021
Beiträge
1.483
Erhaltene Likes
1.258
Wobei ich den FIDO2 Ansatz sehr gut finde. Einmal stark authentifiziert, du bekommst für deine Maschine ein Token, ggf. mit Ablaufdatum. Mit dem Token und Zugriff darauf eben "biometrisch" gehts dann ohne Passwort und gefummel am Handy weiter.

Heisst: Nur bei einer neuen Maschine muss man sich per 2FA authentifizieren, danach geht die jeweilige Maschine die eingestellte Zeitspanne und eben Biometrisch per z.B. Fingerabdruck. Diese Kryptochips sollten seit etwa 2016 Standard sein. Bei alten muss man das Modul sowie die Biometrie entweder Onboard nachrüsten oder eben als USB Modul nachstecken.

Mein Fingerabdrucksensor für den PC hat keine 30€ gekostet und funktioniert ausreichend gut. Das einzige, was mich stört: Dass ich in Windows dazu einen lokalen Account in einen "Microsoft-Account" umstellen musste, der wiederum per Authenticator abgesichert ist. Eigentlich mag ich unnütze zentrale "Auths" nicht bzw. mir hätte ein "Opt Out" an der Stelle gereicht.

Was die Praxis angeht: Wenn ich mich beim Start von Steam/Epic/Ubisoft/You_Name_it eben mit nem Fingerabdruck anmelden muss damit das Token abgefragt werden kann - das ist viel weniger Gewürge als mit superstarkem Passwort und am besten noch SMS aufs Handy bei jedem Start / Login genervt zu werden. Das Thema Passwort/Authenticator macht dann nach wie vor dein "Passwortverwaltungsprogramm des geringsten Misstrauens".
 
Zuletzt bearbeitet:
Kommentieren

CrazyDogg

Der verrückte Hund aus der Nachbarschaft!
Registriert
10 August 2022
Beiträge
172
Erhaltene Likes
180
mein laptop damals (wirklich damals) hatte auch biometrische funktion mit eingebaut, war aber nur winblöd anmelden gedacht. jetzt hat mich @RobMitchum wieder auf die idee gebracht. hm, werde auch mal nach eine usb lösung nachdenken :) magst du mir dein dongle schreiben, egal ob hier öffentlich oder privat? :)
 
Kommentieren

RobMitchum

Namhafter Pirat
Registriert
3 September 2021
Beiträge
1.483
Erhaltene Likes
1.258
Keine Empfehlung meinerseits. Hab auf Ebay einen "Fingerprint-Sensor" bestellt, das wars. Angeblich "Plug & Play" ... und den Treiber dann per Dropbox Link bekommen. Ja, der ist echt und nein, keine Empfehlung des Lieferanten in irgendeiner Art. "ChipSailing" Device, gruseliger Treibersupport.

Da ich bei "CSL" als eine Art "geprüfte Chinaware" bisher nicht enttäuscht worden bin:
Bitte, Anmelden oder Registrieren um die Links zu sehen!


Gute Sensoren sind unter 50€ zu bekommen, unter 20€ gibts nur Schrott. Hab in meinen Schreibtisch eine 4xUSB 3.0 Steckdose eingefräst, da steckt der Sensor drinne. Finger drauf, eingelogged, gut ist.
 
Zuletzt bearbeitet:
Kommentieren

JunckyMonkey

die Rede ist von...
Registriert
4 Juni 2021
Beiträge
154
Erhaltene Likes
569
Mal eine vielleicht blöde Frage: Kann man so einen Fingerabdruck Sensor dann auch für die KeePass Datenbank auf dem PC nutzen?
Oder EMail-Konten, Amazon, eBay, Foren, Onlinebank usw? Dass mein Firefox den nutzt um mich bei diesen Konten mit Fingerabdruck einzuloggen.
Oder ist der nur gut für den Windows-Login?
 
Kommentieren

xNecromindx

Namhafter Pirat
Registriert
6 Mai 2021
Beiträge
1.064
Erhaltene Likes
2.231
Ich möchte nur einmal anmerken, dass ein Fingerprint nicht wirklich sicherer als ein Passwort ist (stellenweise sogar unsicherer, je nachdem mit wievielen Marker-Punkten gearbeitet wird... meist sind es nicht viele).
Der einzige Unterschied besteht darin, dass man es nicht eintippen muss.
 
Kommentieren

GuyFawkes667

Namhafter Pirat
Themenstarter
Registriert
21 September 2021
Beiträge
1.251
Erhaltene Likes
2.740
Hat der CCC nicht bereits vor 15-20 Jahren Fingerabdrücke mit Tesafilm, einem etwas fettigem Pinsel, Kohlepulver und Cyanacrylat kopiert?
Ich kann mich da vage dran erinnern. xD
 
Kommentieren

xNecromindx

Namhafter Pirat
Registriert
6 Mai 2021
Beiträge
1.064
Erhaltene Likes
2.231
Ja, das geht noch immer. Ist hier aber nicht das Problem.
Es geht hier um Verschlüsselung. Und ob da nun als Seed ein Fingerprint mit einer Hand voll Minuzien-Punkten genutzt wird oder "p4$$w0rd!".
Technisch betrachtet ist es das selbe.

Je nach Art der Implementierung kann es sogar recht unsicher sein.

Die technisch notwendige Beschränkung auf nur wenige Minuzien zur Auswertung hat auch rein praktische Probleme.
So fing REWE mal an, dass man per Fingerabdruck bezahlen konnte. Das haben die aber ganz schnell wieder in der Versenkung verschwinden lassen, als sie dem Problem nicht Herr wurden, das diverse unterschiedliche Leute auf Basis der angewendeten Minuzien-Auswertung für das System ein und die selbe Person war. Da hat einer fleißig die Einkäufe für noch 5 weitere Bezahlt...
Andererseits kann man nicht mit hoher Anzahl von Minuzien-Punkten arbeiten, weil die Fingerprint-Scans nie perfekt sind und die Epidermis an den Fingern unterschiedlich starke Papillarleisten-Ausprägungen hat. Es führt dann dazu, dass man den Lümmel duzende mal auf den Scanner prügeln muss, damit der endlich grünes Licht gibt.

Das macht Fingerprints relativ witzlos. Als zusätzlicher Faktor für gewisse Anwendungen ist das ganz hilfreich. Sagen wir für eine Zutrittskontrolle. Wo es dann eben nicht reicht, dass einer irgend eine RFID-Karte geklaut hat, der braucht auch noch den passenden Finger. Hier reicht aber z.B. auch eine simple PIN-Eingabe als zweiter Faktor.

Am Ende muss einem klar sein, dass das Minuzien-Mapping genau so (elektronisch) geklaut werden kann, wie ein Passwort.
Datentechnisch sicher wäre nur ein System, welches als Secure-Element fungiert. Dort wird, im Grunde wie bei einer SIM-Karte oder dem EMV-Chip auf Bankkarten, das "Geheimnis" (in dem Fall das Minuzien-Mapping) nie nach außen gegeben. Es geht also ein Request hinein, alles passiert in dem "Ding" und es kommt ein Session-Schlüssel raus, ohne das man weiß, wie der zustande gekommen ist.
Der riesengroße Nachteil an dem Verfahren ist, dass es dann an genau diesen einen Fingerprint-Scanner gebunden ist - alle Kryptographie steckt ja in dem Teil selbst. Geht das Teil kaputt oder kommt es abhanden, is dann Essig...
Deswegen arbeiten die gängigen Scanner nicht so, weil sonst wären sie nicht austauschbar.

Der eigentliche Vorteil besteht dann nur noch darin, dass man einen Fingerprint nicht vergessen kann (dafür kann man sich aber verletzten, was dem Folgeproblem im Grund ähnelt) und man findet Fingerprints eben auch nicht als Notiz unter eine Tastatur geklebt.
 
Kommentieren
Oben