Das Ding funktioniert in etwa so, wie das Tan Verfahren bei der Sparkasse. ^^
Du hast da in dem Authenticator ein Programm drin, welches durch einen bestimmten ((noch) unbekannten) Algorithmus eine Zahlenfolge generiert, die scheinbar zufaellig ist, aber zu 100% vorbestimmt und sich nach endlicher Zahl (vielleicht nach 100 Millionen mal benutzen) wiederholt. Jetzt musst du dem Kasten also nur sagen, wo er anfangen soll. Gleiches sagst du deinem Spiel, also wo es anfangen soll die Zahlenfolge zu generieren. Die Zahl, die dein Athenticator dann ausspuckt gibst du beim Login ein. Wichtig ist also die Reihenfolge, mit der die Zahlen eingegeben werden.
Da keiner den Algorithmus kennt und keiner weiss, an welcher Stelle der Zahlenfolge du bist, wird es dadurch fuer jemanden, der deinen Account kompromittieren will, schwer. Sollte da Blizzard einen guten Algorithmus benutzt haben, kann dieser sogar oeffentlich sein und das Verfahren ist trotzdem sicher. 100%ige Sicherheit wird es nie geben (siehe Sparkasse und Pentagon usw.). Allerdings muss man den Aufwand, den das Knacken der Passwoerter benoetigt mit dem Nutzen verrechnen.
Es gab in der Geschichte schon sehr schlechte Schutzmassnahmen (siehe DVD Kopierschutz). Ich denke, dass auch Blizzard daraus gelernt hat, denn eigentlich sind die schwachen Verfahren in der Informatik und in der Industrie bekannt. Es gibt sicher Leute, die gegenteiliges behaupten und die Fortschritte der theoretischen Informatik auf dem Gebiet durch den Kakau ziehen, aber die sollen erst mal zeigen, dass sie das Ding geknackt kriegen.
Benutzt hab ich den Authenticator noch nicht, aber ich denke irgendwann leg ich mir den zu, oder halt nen Smartphone. xD Wuerde das Teil aber auf jeden Fall empfehlen. Und zum Thema Geldmache bei Blizzard: ich denke das Ding ist sowas von billig, da kost ja der Tangenerator bei der Sparkasse mehr und dort bin ich aufgrund des Preises nicht mehr Kunde. Bei der Sparkasse haette ich erwartet, dass ich das Ding fuer lau kriege, bei Blizzard find ich den Preis total angemessen, zumal du es ja auch kostenlos fuer Handy kriegen kannst.
offtopic: btw. mag ich den Begriff des Hackens garnicht ^^
edit: ach nochwas: die Sicherheit wird schon allein dadurch drastisch erhoet, dass du einen Teil der Zugangsdaten von einer dritten Maschine beziehst, zu der keiner Zugang hat, der auf deinen Account scharf ist. Wer also auf die clevere Idee kommt sich Android auf ner VM zu installieren und den Authenticator dann dadrueber laufen laesst, der hat es zwar sicherer als jemand ohne Authenticator, aber dadurch hat z.B. jemand, der durch nen Trojaner Zugang auf den Rechner hat auch die Moeglichkeit den Authenticator zu benutzen. ^^
Tip fuer Paranoide: wer den Authenticator auf seinem Smartphone nutzt sollte damit nicht in das WLAN gehen, in dem auch der Rechner mit D3 drinhaengt. ;]
