Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Funktionsweise einer Authenticator App

UselessUser am 16.09.2013, 12:39 / 6 Antworten / Baumansicht

Hallo Leute,

mich würde einmal interessieren, wie die Authenticator App von Google oder Microsoft technisch funktioniert.

Sie generiert auf dem lokalen Gerät einen Sicherheitscode, mit der man sich (nach entsprechender Einrichtung einer 2-stufigen Anmeldung) auf dem Server einloggen kann.

Wie kann nun der Server errechnen, ob der Sicherheitscode gültig ist bzw. von der App auf dem entsprechenden Gerät stammt?

Ist in der App schon ein Algorithmus festgelegt, der den Code nur innerhalb bestimmter Zahlenbereiche generiert oder wird vielleicht ein Master-Kennwort einbezogen?

Habe im Netz leider keine aussagekräftigen Informationen gefunden, vielleicht hat jemand einen Link ...

Thx, UU

    
        the_mic UselessUser „Funktionsweise einer Authenticator App“
      
        16.09.2013, 13:14 Optionen
      
          Sie generiert auf dem lokalen Gerät einen Sicherheitscode
        
          Nein :-) Der Code wird serverseitig generiert.
        
          Auf Seite des Betreibers (Google, Microsoft) wird in einer Datenbank die Information abgelegt, welches Token (Sicherheitscode) zu welchem Benutzerkonto gehört.
        
          Mehr Infos dazu gibt's z.B. da: https://developers.google.com/accounts/docs/OAuth2
        
         cat /dev/brain > /dev/null
      
             bei Antwort benachrichtigen
        
        UselessUser the_mic „Nein :- Der Code wird serverseitig generiert. Auf Seite des ...“
      
        16.09.2013, 13:26 Optionen
      
          Hallo the_mic!
        
          Wie kann ich dann den Hinweis verstehen, dass ich Codes offline "erhalten" kann:
        
          https://support.google.com/accounts/answer/1066447?hl=de
        
          MfG, UU
        
         Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
      
             bei Antwort benachrichtigen
        
        the_mic UselessUser „Hallo the_mic! Wie kann ich dann den Hinweis verstehen, dass ...“
      
        16.09.2013, 13:36 Optionen
      
          Lies den Link genauer. Auf der dort verlinkten Seite https://accounts.google.com/SmsAuthConfig steht das folgende:
        
          Nachdem Sie Ihr Passwort eingegeben haben, geben Sie einen Code ein. Diesen erhalten Sie per SMS, Sprachanruf oder über unsere mobile App.
        
         cat /dev/brain > /dev/null
      
             bei Antwort benachrichtigen
        
        UselessUser the_mic „Lies den Link genauer. Auf der dort verlinkten Seite ...“
      
        16.09.2013, 13:58 Optionen
      
          Hallo the_mic,
        
          dein Link leitet mich leider nur auf die allgemeine Login-Seite von Google weiter.
        
          Was dein Zitat betrifft, so geht es mir um den Code aus der mobilen App und an anderer Stelle wird halt gesagt, dass diese App auch Codes offline generieren kann, z. B. hier:
        
          http://www.guidingtech.com/15184/google-authenticator-setup-mobile-2-step-verification/
        
          Wenn du auf meinem angegebenen Link (https://support.google.com/accounts/answer/1066447?hl=de) einmal auf den Link "Android-Geräte" gehst, da wird das Ganze noch näher beschrieben, wenn auch leider nicht auf meine Kernfrage eingegangen. Also kannst du auf dem Handy einen Code generieren, den du dann zwecks Authentifizierung in einen anderen Rechner eingibst?
        
          Tut mir leid, aber ich habe es noch nicht verstanden ;-)
        
          MfG, UU
        
         Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
      
             bei Antwort benachrichtigen
        
        the_mic UselessUser „Hallo the_mic, dein Link leitet mich leider nur auf die ...“
      
        16.09.2013, 14:11 Optionen
      
          Ach so! Was du meinst, ist demnach eher vergleichbar mit RSA SecurID Token: http://de.wikipedia.org/wiki/SecurID
        
          Diese Codes werden u.a. anhand einer Seriennummer des Tokengenerators sowie der aktuellen Zeit berechnet, daher sind sie nur während kurzer Zeit gültig.
        
         cat /dev/brain > /dev/null
      
             bei Antwort benachrichtigen
        
        UselessUser the_mic „Ach so! Was du meinst, ist demnach eher vergleichbar mit RSA ...“
      
        16.09.2013, 17:53 Optionen
      
          Hallo the_mic,
        
          danke für den Link, der war jetzt recht hilfreich!
        
          Es geht also doch in die Richtung, die ich vermutete, so wie ich die Wikipedia-Seite interpretiere, wird bei den Software-Tokens (die mit der Authenticator App generiert werden) ein Passwort verwendet, welches mit ihrer Einrichtung vom Server zum Client übermittelt wird. Man muss dafür bei der Einrichtung der App anscheinend gleichzeitig in der entsprechenden Option des Benutzerkontos sein.
        
          Die App verfügt also über das Passwort und erzeugt den Code, der ist "das Produkt eines AES-Algorithmus, der sich aus einem Zeitindex und einem geheimen Schlüssel (Länge: 128 bit) des jeweiligen Key-Tokens berechnet. Der Schlüssel wird bei der Fertigung des Tokens mit einem echten Zufallszahlengenerator erzeugt und in dieses eingebettet. Er ist nur dem Authentication Manager bekannt, niemandem sonst."
        
          [Wikipedia]
        
          Der Server überprüft dann (vielleicht mit einer Hash-Funktion), ob dieser Schlüssel mit diesem Passwort innerhalb einer tolerierten Zeitspanne erstellt werden konnte.
        
          Danke the_mic, so schnell wäre ich da heute nicht mehr drauf gekommen.
        
          MfG, UU
        
         Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
      
             bei Antwort benachrichtigen