Nana, ganz so "unsicher" ist das nicht. Der Kram, der auf den PC kommt, ist verschlüsselt. MiM funktionieren natürlich, das tun sie aber eh immer. Auch wenn das komisch ist. Man sollte meinen, diese Schlüssel werden nur via SSL ausgetauscht, bzw vergeben. Und SSL kannst du nicht per MiM angreifen. (Dafür isses ja da) Kommunikation zum einloggen etc. sollte immer via SSL gemacht werden. Wenn nicht, ist das natürlich eine große Sicherheitslücke, die man immer angreifen kann. Physikalischer oder digitaler Authentikator ist da egal.
Und ansonsten muss man die Verschlüsselung umgehen. Wenn dein PC SO verseucht ist, dass dieses Programm keinen Schutz mehr liefert, dann hast du noch GANZ andere Probleme. Denn dann ist nichts mehr sicher. Wenn du einen keylogger hast, dann wird auch das geloggt, was du für Diablo 3 eintippst. Wenn also das PW für den Authentikator gelesen wird, wird auch das PW etc. für deinen Account gelesen.
Um mal zu erklären, wie sowas im Optimalfall funktioniert:
Das Programm fordert einen Schlüssel vom BNET an. Das passiert, hoffentlich, via SSL. Dieser Schlüssel wird dann verschlüsselt auf dem PC gespeichert. (Man gibt selbst ein PW dafür an) Mit dem Schlüssel + Seriennummer wird nun der Schlüssel generiert, den man eintippen muss. Gibt man das falsche PW an, wird der falsche Schlüssel generiert.
100% sicher ist das natürlich nicht. 100% Sicherheit existiert nicht bei Computern. (Außer man hat ihn aus) Wovor das schützt ist einfach nur das "zusammen würfeln" von Passwörtern via anderen Seiten. Viele Nutzer haben einfach die selben Passwörter überall. Und wenn ein Forum geknackt wird und das PW herausgefunden wird, dann bringt das nun mit dem Authentikator nichts mehr. Hat man aber eh sichere Passwörter, die auch überall verschieden sind, dann braucht man dieses Programm im Prinzip nicht um sicher zu sein. Vorausgesetzt Blizzard ist sicher. Wenn Blizzard das aber nicht ist... bringt auch der Authentikator mitunter nichts. Denn man vertraut ja Blizzard, dass sie nur einem selbst einen bestimmten Schlüssel geben, mit dem sich der korrekte Schlüssel für den Account berechnen lässt. Den hat kein anderer zu sehen, unter keinen Umständen.
Das Prinzip ist eigentlich sogar ähnlich zu SSL. Blizzard funktioniert hier so in etwa wie die Zertifikat-Anbieter bei SSL. Der größte Schwachpunkt ist die Verschlüsselung. Ist die aber gut... naja. Ich glaube kaum, dass der Angreifer 1 Jahr lang brute force ausprobieren will, um die Verschlüsselung zu knacken. Vor allem wenn das Programm noch intelligent geschrieben ist und einem nicht sagt, wenn das PW falsch ist. Denn dann müsste der Angreifer für jeden Versuch bei Blizzard probieren. Und wenn da jemand 10mal schnell hintereinander Schlüssel ausprobiert.. dann ist ja wohl was im Argen.
edit: Wobei ein Angreifer wohl auch dieses Programm "beobachten" kann. (Wenn man es selbst benutzt) Dann ist aber, wie schon erwähnt, wirklich viel im Argen.
Zitieren
Stolzes Mitglied "der Fünf" (laut BG) 
