RE: Binance - welche der Zwei Faktor Identifizierung (2-FA) Methoden sollte man verwenden?
Zu deinen Fragen bzgl. Binance muss ich leider komplett passen, da ich aus dem Laden raus bin. Und ich verstehe sehr gut, dass es dir allein beim Begriff "Google Authenticator" die Haare aufstellt.
Falls du dich dennoch für das Teil entscheiden solltest, empfehle ich dir zu jeder Anmeldung einen Screenshot vom angezeigten QR-Code zu machen und sicher zu speichern, auf einem USB-Stick oder als Anhang zu einem Eintrag bei KeePass oder so. Auf die Art kannst du bei Verlust/Defekt des Handys die Codes mit jedem anderen Handy einscannen und hast so wieder Zugriff. Das geht natürlich auch mit mehreren Handys. Wie das mit der Online-Sicherung funktioniert, weiß ich nicht, will ich auch nicht. Hab alles was Cloud-Sicherung betrifft bei mir deaktiviert und so konnte Google auch meine Auth-Codes nicht wiederherstellen, deshalb die manuelle Sicherung. Ist allerdings schon eine Weile her, evtl. sichert Google jetzt automatisch. Würde mich jedenfalls nicht darauf verlassen.
Würde ich nochmal frisch beginnen, würde ich mit den Open Source Auth. FreeOTP näher ansehen. Der ist mir nach kurzer Suche gerade eben über den Weg gelaufen, sehr spartanisch, aber wie es aussieht macht er auch was er soll.
EDIT: Hab mir kurz FreeOTP installiert und einen gesicherten QR-Code eingescannt, die angezeigte sechsstellige 2FA-Zahl und die Sanduhr stimmen wie erwartet mit der vom Google-Authenticator überein. Da dieses Teil OpenSource ist, würde ich es einer ersten Einschätzung nach dem Google-Teil vorziehen.
Keepaas sagt mir nix, auch die FreeOTP Variante ist mir völlig unbekannt.
Ich will einfach nur mein SMS Verfahren wieder haben. Bei allen anderen Varianten gebe ich die Kontrolle noch mehr über die Accounts an Dritte ab, was mir zuwider ist.
Das mit den Screenshots mache ich eigentlich stets für jeden wichtigen Vorgang - allein schon zu Dokumentationszwecken - gilt auch für das Deutschland Ticket...
Danke für Deine Hinweise - ich bin mir aber noch nicht im klaren wie ich es machen werde.
Auf jeden Fall mag ich diese Änderungen bei Binance nicht - allein schon wegen des damit verbundenen Risikos die Kontrolle über den Zugang zu verlieren, so wie beim Online Banking meiner Hausbank dass seit Monaten nicht mehr funzt.
Beste Grüße.
Alles halb so wild, wirst sehen. Der Vorteil bei einer Auth-App ist halt, du musst keine Handynummer hinterlegen und die Apps sind, so wie ich das sehe, untereinander kompatibel. (Lieg ich da richtig, @moecki?) D.h. der QR-Code ist der Schlüssel und den kannst ja sichern. Mit welcher App du den 2FA Code generierst ist Nebensache.
KeePass ist nur ein Passwort-Manager, eine von X Möglichkeiten vertrauliche Daten zu speichern.
So, jetzt wünsch ich dir gutes Gelingen bei der Auswahl der Möglichen. Ach ja, die Auth-Apps, gleich ob FreeOTP oder der von Google funktionieren auch offline, Hauptsache die Systemzeit stimmt.
Naja, untereinander kompatibel würde ich so direkt nicht unterschreiben. Das würde ja implizieren, dass du die Daten von einer App auf eine andere übertragen kannst.
Indirekt würde ich dir aber zustimmen, denn wie du auch geschrieben hast, ist es egal, welche App du verwendest, alle geben den selben Einmalcode aus, wenn sie gefragt werden.
Die Idee mit dem Scan des QR-Codes finde ich klasse... und wenn du es getestet hast, wird das auch im Notfall klappen.
Die technische Seite von diesen Apps habe ich noch nicht genauer betrachtet. Wahrscheinlich wird mit dem QR-Code der App das genaue Berechnungsverfahren der Codes oder vielleicht auch eine Art Seed mitgeteilt. Der Code muss ja deterministisch berechenbar sein, damit die Übereinstimmung auf beiden Seiten gewährleistet ist... BTW: Interessante Materie, wie ich finde :-)
Oh, schon fünf Tage her, dein Kommentar, die Zeit fliegt. Ich stöpstle gerade mit Javascript, jQuery und Ajax rum, kenn das zwar schon, aber ist halt zäh die Geschichte, weil ich das nur selten brauche. Neues ausprobieren macht Spaß und ich hab dann (fast) nix anderes mehr im Schädel, daher die Verspätung ;-) - aber ich denke, du kennst das.
Im QR-Code ist schon mal die E-Mail mit drin, die hat es mir nach dem Einscannen angezeigt. Und der Schlüssel der bei manchen Seiten auch zusätzlich zum QR angezeigt wird. Hier ist das einfach erklärt.
Dass die Mail im QR verbaut ist, fand ich gar nicht toll, ist ja ein Teil der Logindaten. Aber da muss ich noch andere QR's testen, ich vermute das liegt an der Seite die den QR generiert hat. Für die Berechnung sollte der Schlüssel reichen.
Und ja, interessante Materie, ich will schon immer gerne wissen, wie etwas funktioniert, dass man verwendet.
Leider nur zu gut :-)
Danke für den Link. Ist ja doch noch einfacher als ich dachte. Kann insofern nachvollziehen, dass Passkeys empfohlen wird, wenn die Einmal-Passwort-Variante nicht phishing-resistent ist.