l+f: 2FA-Codes führen zu Leistenbruch bei Dieben
Ein Bastler nutzt einen Commodore SX-64, um sich sicher bei Facebook & Co. anzumelden.
Um die Sicherheit von Online-Konten zu steigern, sollte man überall, wo es geht, Zwei-Faktor-Authentifizierung (2FA) nutzen. Ist diese Funktion aktiv, benötigt man zum Einloggen neben seinem Passwort noch Einmalpasswörter (Time-based One-Time TOTP). Diese bekommt man etwa via SMS oder über eine Authenticator-App. Doch ersteres lässt sich abfangen und ein Smartphone mit der App kann man verlieren.
Deswegen hat sich der Entwickler Cameron Kaiser eine ungewöhnliche Alternative überlegt: Er erzeugt die Codes mit einem Commodore SX-64, der "portablen" Version des C64. Augenzwinkernd schreibt er, dass Diebe sich beim Klau seines TOTP-Generators einen Leistenbruch heben.
Funktioniert trotz Hardwareeinschränkungen
In einem Beitrag beschreibt es ausführlich, wie sein Projekt funktioniert und welche Hürden er dabei nehmen musste. Ihm zufolge soll das Ganze auch auf einem C64 oder mit dem Emulator Vice funktionieren.
Als Basis dient ihm die Erweiterung des TOTP-Algorithmus RFC 6238. Ihm gelang es, trotz des leistungsschwachen 8-Bit-Mikroprozessors MOS 6510 mit 1 MHz den SHA-1-Hash-Algorithmus und einen HMAC-Generator zu implementieren. Seine Passwörter hat er eigenen Angaben zufolge auf verschiedenen farbigen Disketten gespeichert. Schiebt er eine in den SX-64, erscheint auf dem Bildschirm der TOTP-Code und ein Balken, der leerläuft und somit die Gültigkeitsdauer des Codes symbolisiert.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)