Dipl.-Inform. Carsten Eilers

Die Token zum Erzeugen von Einmalpasswörtern sind sicher (wenn der Hersteller nicht falsch spielt), aber teuer. Die Smartphone-Apps sind eine gute Alternative, so lange es noch keine spezielle Schadsoftware gibt, die sie angreift. Warum sollte man also nicht zum Google Authenticator greifen? Immerhin ist der sogar Open Source und man kann ziemlich sicher sein, dass keine Hintertür enthalten ist.

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Carsten Eilers: "Passwörter speichern, aber richtig!", PHP Magazin 6.2013
• [2] Carsten Eilers: "Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA"
• [3] Carsten Eilers: "Gezielter Angriff auf RSA mit unabsehbaren Folgen"
• [4] Carsten Eilers: "RSA und die unsicheren SecurID Token"
• [5] Carsten Eilers: "Kryptographie im Zeitalter der NSA, Teil 3"; Entwickler Magazin 3.2014
• [6] Carsten Eilers: "Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN"
• [7] Carsten Eilers: "Die smsTAN ist tot, der SMS-Dieb schon da!"
• [8] Carsten Eilers: "Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr"
• [9] Google Authenticator
• [10] RFC 4226 - HOTP: An HMAC-Based One-Time Password Algorithm
• [11] RFC 6238 - TOTP: Time-Based One-Time Password Algorithm
• [12] Michael Kliewe: "2-Faktor-Authentifizierung mit dem Google Authenticator"
• [13] Michael Kliewe: PHPGangsta / GoogleAuthenticator auf GitHub
• [14] Kai Engert: kaie / otp-authenticator-android (OTP Authenticator) auf GitHub
• [15] FreeOTP

Carsten Eilers