Seite 1 von 1

Zwei-Faktor-Authentisierung Mobilphone

Verfasst: Donnerstag, 28. Januar 2021 - 13:33 Uhr
von udowh
Beim Zugriff auf meine in der Dropbox gespeichert 1PW-Nutzerdatenbank über mein Android-Smartphone "genügt" die Eingabe des MasterPW. Gibt es hier eigentlich auch die Möglichkeit, die Sicherheit stattdessen über Fingerabdruck-Authentisierung oder über einen 2. Faktor zu erhöhen. Beim Zugriff auf 1PW über Windows gibt es die Zwei-Faktor-Authentisierung, z.B. über den Google Authenticator. Gibt es etwas vergleichbares für das Mobilphone?

Re: Zwei-Faktor-Authentisierung Mobilphone

Verfasst: Mittwoch, 10. Februar 2021 - 10:23 Uhr
von Heiko Schröder
Hallo,

aktuell ist keine 2.Faktor vorgesehen, da man ein weiteres Gerät bräuchte, um auf die Datenbank zuzugreifen. Da man aber das Mobiltelefon unterwegs verwendet, hat man keinen Zugriff auf ein anderes Gerät.

Meines Erachtens ist eine Fingerabdruck-Authentisierung unsicherer als das Eintippen des Passworts. Warum?

Aktuell ist es so, dass das Passwort aus Sicherheitsgründen nirgends hinterlegt ist. Erst wenn Sie es eingeben, wird es verschlüsselt und dann mit der gespeicherten Verschlüsselung innerhalb der Datenbank verglichen.

Wenn Sie jetzt den Fingerabdruck verwenden wollen, kann ich nicht den Fingerabdruck speichern, denn dieser wird an einem sicheren Ort im System gespeichert. Die App erhält von den Systemen nur die Nachricht, dass die Erkennung des Fingerabdrucks genehmigt wurde. Aber ich habe immer noch kein verschlüsseltes Passwort für das Öffnen der 1PW Datenbank.

Daher muss ich beim Einrichten des Entsperrens mittels Fingerabdruck in der Software, das vorher eingegebene Passwort irgendwo verschlüsselt speichern. Vermutlich als Binärdatei o.ä. Dies macht es natürlich wieder Angreifern einfacher, diese Binärdatei auszulesen und daher eine Verschlüsselung herzuleiten. Also muss diese Binärdatei, die nach dem korrekten Fingerabdruck ausgelesen wird, auch wieder speziell verschlüsselt gespeichert werden, aber so, dass keine Struktur erkennbar ist.

Sie sehen, die Problematik ist etwas umfangreicher, als nur den Fingerabdruck zu lesen und die Datenbank zu öffnen.

Re: Zwei-Faktor-Authentisierung Mobilphone

Verfasst: Mittwoch, 10. Februar 2021 - 11:19 Uhr
von udowh
Ich kann Ihre Antwort nachvollziehen. Vielen Dank dafür.