RSA ist einer der größten Vertriebe für so genannte SecurID Produkte. Dieses System findet u.a. bei Blizzards Authenticatorn, die zusätzlichen Schutz für Euren Account bieten sollen, Anwendung und könnte bald zu möglichen Problemen führen. Der Riese musste mit stand einem Angriff gegenüber, bei dem eine Vielzahl von Daten geraubt werden konnten. Mit den entsprechenden Quelltexten und den Seeds könnte man so also den Algorythmus der Erzeugten Passwörter ausspähen, sowie alle jemals erzeugten Passwörter. So berichtet heise online.
In wie weit nun Gefahr für alle Authenticator Nutzer besteht ist unklar. Vielen Dank an Werner für den Hinweis.
Update: Im offiziellen Forum meldet sich JonD zu Wort und gibt Entwarnung. Der Blizzard Authenticator bunutzt so genannte „Modifizierte Vasco Tokens“, demnach hat der RSA-Hack keinerlei Auswirkungen auf eure Authenticator-Daten.
Klingt meiner Meinung nach, nach einer gewollten PR Aktion.
Das Problem scheint, da lasse ich mich natürlich sehr gerne eines besseren belehren, folgendes zu sein:
Username und Passwort zu WoW können, mit einem geeigneten Trojaner aufm Rechner, locker ausgelesen werden. Genau deshalb haben wir uns ja das kleine Ding mit den lustigen Zahlen gekauft. Damit wäre dann auch schon die erste Hürde genommen, die Bösen haben 50% der nötigen Information.
Gleichzeitig kann der Trojaner natürlich auch die Tatstureingabe des Authentikator-Codes (die 6 lustigen Zahlen) mitlesen. Auch interessant, weil dies sind ja ehemals funktionierende Zugangs-Codes.
Wenn man jetzt die Seeds, die mathematische Basis (ok, sehr vereinfacht) der Berechnung der lustigen 6 Zahlen kennt, kann man eine statistisch relevante Wahrscheinlichkeit errechnen, welche Zahl möglicherweise akzeptiert wird und ein paar mal testen. Irgendwann wird es dann klappen.
Und schon ist Euer Gold und Eure Ausrüstung über alle Berge.
Ich persönlich würde das ja anders machen:
Ein Authentikator kann ja angeblich durch Eingabe zweier aufeinanderfolgender Authentikatorzahlen vom Account entfernt werden.
Wir nehmen einen Trojaner mit der Möglichkeit einer „Man in the Middle-Attack“ Funktion. Gibts schon lange um Bankkonten auszuräumen.
Ihr wollt spielen und gebt Username, Passwort und Authentikator-Code ein, der Trojaner sendet diese an die Blizzard Webseite, die für die Authentikator Löschung zuständig ist und sendet dem Spiel selber ein falsches Passwort.
Der Launcher meckert, ihr denkt „Scheiße, vertippt“ und macht einen zweites Versuch – möglicherweise innerhalb 2 Minuten. Schon fängt sich der Trojaner den 2. Code, sendet ihn an die Blizzard Seite, entfernt den Authentikator vom Account und setzt ein neues Passwort.
Ja, solche Dinge sind automatisierbar.
Und in China blinkt ein rotes Lämpchen auf und jemand transferriert Euer Gold sonst wohin, während ihr noch mit den GM´s palavert um euren Account zurückzubekommen.
Müsste eigentlich klappen, oder?