Special: Blizzard’s Authenticator


AutheniPhoneDas Thema Sicherheit ist gerade prominent, also nehme ich dies mal zum Anlass, einen Special über die Blizzard Authtenticators (auch liebevoll „Dingens“ genannt) zu schreiben. Die Grundidee: Neben dem Account-Name und Passwort muss einen Zahlencode eingegeben werden, der vom besagtem Authenticator alle 30 Sekunden neu erzeugt wird. Dies gilt genauso wenn man in die Account-Seite einloggt, um das Passwort zu ändern. Aber gehen wir es mal Schritt für Schritt an.

Bezugsquellen und Versionen

Es gibt zwei verschiedene Versionen, einmal den Blizzard Authenticator als Schlüsselanhänger, und einmal den Battle.Net Mobile Authenticator für das iPhone, welcher über den iTunes-Store bezogen werden kann. Meine Erfahrungen beruhen auf der iPhone Applikation, die sich aber im Wesentlichen gleich verhält wie der Schlüsselanhänger. Letzterer kann im Blizzard Shop bestellt werden, benötigt aber angeblich eine Kreditkarte (wird vielleicht Zeit über eine Pre-Paid-Kreditkarte nachzudenken). Kostenpunkt 6 € (ohne Versandkosten), ist die iPhone-Variante natürlich preisgünstiger, da kostenlos (iPhone vorausgesetzt). Aber Achtung: Die iPhone-Variante setzt ein Battle.net-Account voraus (damit ist einer der neuen Accounts gemeint, nicht die W3 oder Diablo Versionen); nur wenn man den bestehenden World of Warcraft Account zum neuem Battle.net zusammengeführt hat, wird man in der Lage sein, die iPhone-App zu benutzen. Es gibt immer wieder Berichte über Probleme bei der Zusammenführung der WoW-Accounts, ich selbst habe aber nichts dergleichen zu vermelden, ging alles reibungslos und schnell. Trotzdem, wer vorerst nicht mergen möchte, der muss sich den Schlüsselanhänger besorgen, denn dieser funktioniert mit allen Versionen der WoW-Accounts.

Update: Wie es sich herausgestellt hat (Danke unserem Gildenchef), benötigt man einen Battle-net Account, um einen Schlüsselanhänger zu bestellen. Der WoW-Account muss nicht verbunden sein; nach erhalt kann man den Authenticator mit dem WoW-Account verbinden, und Battle-net ignorieren.

Authenticator im Alltag

Wie geht es jetzt weiter? Zuerst muss in der Accountverwaltung der Authenticator mit dem Account verbunden werden, dafür wird die Seriennummer eingegeben (beim Schlüsselanhänger glaube ich auf der Rückseite, bei der App unter Eintellungen) plus einen oder zwei generierte Codes. Die Magie ist vollzogen, von nun an wird jeglicher Passwort-Abfrage im WoW Kontext eine Authenticator-Abfrage folgen. Dies gilt auch, wenn man den Authenticator trennen möchte; und ja, manchmal muss man es machen. Zum Beispiel wenn ein Betriebssystem-Update für das iPhone ansteht, sollte man vorsichtshalber den Authenticator trennen und später wieder anfügen. Sollte nämlich der Bereich des Speichers resettet werden, welcher für Passwörter und Sicherheit zuständig ist, verliert die App die eigene Identität und somit die Anbindung zum Account. Da hilft nix mehr als den Blizzard Billing Support anzurufen, und deren Hinweise zu befolgen. Ist mir passiert, nach ca. 4 Stunden (davon waren 90 Minuten in der Schleife warten) war der Spuk vorbei und der Account wieder in meinen Händen (an dieser Stelle ein Dankeschön an den äusserst netten Sachbearbeiter, war positiv überrascht). Sehr sorgfältig sollte man sein wenn an ein Jailbroken-Gerät verwendet, und neue Tools über Cydia oder ähnlichem (wem das jetzt nix sagt, das ist iPhone-Gebrabbel, also keine Sorge) installiert, denn da ist nicht immer ersichtlich, wann besagter Speicher resettet wird. Der Schlüsselanhänger ist dahingehend sicher pflegeleichter, kann mir nur vorstellen, dass es ähnliche Probleme gibt wenn die Batterie alle ist, aber ich hab darin keine Erfahrungen.

Grenzen des Authenticators

Wenn wir schon bei der Kritik sind, machen wir gleich weiter: Was passiert jetzt, wenn ein Keylogger oder eine Phishing-Seite erfolgreich Account-Name, Passwort und zusätzlich noch einen Authenticator Code ausgelesen haben? Ich beziehe mich jetzt auf einen Artikel auf der Seite wow.com, der die Funktionsweise und Grenzen des Authenticators näher erläutert. Der Generierte Code gilt für ca. 30 Sekunden und 1 Einlogvorgang seiner Art pro Account. Das bedeutet, ein Code ist während seine Lebensdauer für alle Accounts gültig, mit denen er verbunden ist, und kann sowohl zum einloggen in die Accountverwaltung und ins Spiel verwendet werden. Dann ist aber Schluss, den Athenticator zu trennen oder ein Passwort ändern geht nach diesem Zeitpunkt nicht mehr, denn der Code ist verbraucht und nicht mehr gültig. Man benötigt 3 verschieden Zahlencodes um einen Authenticator vom Account zu trennen. Vorausgesetzt also dass ein Hacker schnell genug ist sich mit den Daten einzuloggen, kann er nix anderes machen als die Bank im Spiel zu leeren und hoffen, dass der Spieler nicht wieder on kommt und ihn rausschmeisst, denn dann hat er keine weiteren Möglichkeiten mehr wieder auf den Account zuzugreifen. Dieses Beispiel ist aber sehr theoretisch, denn der Hacker müsste schon im Voraus wissen ob der Account mit einem Authenticator verbunden ist oder nicht, und dazu so schnell reagieren müssen, um die kurze Lebensdauer des Zahlencodes auszunutzen, dass der Erfolg sehr unwahrscheinlich erscheint. Also ja, der Authenticator ist tatsächlich ein Sicherheitsgewinn.

Fazit: Lohnt sich die Anschaffung? Ja, ich kann sie nur empfehlen. Zwar dauert das Reloggen ein bisschen länger, man muss sich angewöhnen entweder Handy oder Schlüsselbund immer bei sich zu haben und man muss gewisse Alltagsszenarios im Auge behalten, aber der Sicherheitsgewinn ist relevant! Wer schon einmal ein Opfer eines Diebstahles oder Einbruches war (egal ob virtuell oder im echtem Leben), der wird sich erinnern was man dabei fühlt. Setzt Euch mit dem Thema auseinander, es lohnt sich …

Hinterlasse einen Kommentar

Eingeordnet unter Special

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s