PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheit vom Steam Guard Mobile Authenticator


da.phreak
2015-12-17, 16:38:13
Ich überlege nun schon eine Weile, ob ich den Mobile Authenticator aktivieren soll, da Steam ja halbwegs aufdringlich damit wirbt.

Mein Problem ist, daß das nach meinem Verständnis weniger sicher ist, als Steam Guard über email. Two-factor-authentication hat zwei Methoden zur Authentifizierung (daher der Name). Oft ein Passwort und dazu eine App auf einem Handy. Soweit so gut, das trifft auch für Steam zu. Allerdings muß ich mich bei Steam - wenn ich es richtig verstanden habe - auf dem Handy mit meinem Passwort einloggen. Sprich ich habe beide Authorisierungsmethoden auf einem Gerät. Das ist doch widersinnig ...

Hat also ein Angreifer mein Telefon unter Kontrolle, kann er sowohl mein Passwort abfangen, als auch die Steam App zum authentifizieren nutzen, und schwups ist mein Account weg.

Was meinen Verdacht stüzt, sind diverse Authenticator-Apps, die anders arbeiten, wie z. B. Google, Microsoft, Azure. Alle verknüpfen die App über einen Zahlencode bzw. einen QR-Code mit dem Handy.


Habe ich da einen Denkfehler?

Birdman
2015-12-17, 19:46:34
Der Authenticator braucht deine Accountdaten (Username/Passwort) nicht.
Nur die korrekte Zeit und eine Passphrase die bei Steam für deinen Account hinterlegt ist.

da.phreak
2015-12-17, 21:11:54
OK danke. Dann ist die Anleitung verwirrend ... habe es so verstanden, daß man sich einloggen muß.

Rechner-Tester
2015-12-18, 01:55:21
Aber die Frage bleibt bestehen: Warum nutzt Valve keinen Standard wie TOTP oder U2F? Google Authenticator und Co haben doch schon viele auf ihrem Smartphone.

Trunk
2015-12-21, 10:56:10
@Rechner-Tester: Weil 2FA für bestehende Kunden von Valve ist, und die binden die Kunden dann lieber an die eigenen Produkte als dass sie noch Software von Dritten installieren müssen ;)

Oder deren 2FA ist inkompatibel mit anderen Authentifikatoren, und es gibt noch keinen fix dafür, weil "real men test in production"...

Rechner-Tester
2015-12-23, 16:46:38
Hier ist eine Erklärung wie und warum Valve es abweichend implementiert hat: https://winauth.com/2015/06/11/steam-guard-mobile/