stefankittel
Goto Top

Gibt es eine asymetrische Alternative zu TOTP die weit verbreitet ist?

Hallo,

gibt es eine asymetrische Alternative zu TOTP die weit verbreitet ist?

TOTP ist in den meisten Fällen schon ein deutlicher Sicherheitsgewin.
Aber es ist ein symetrisches Verfahren.

Der Schlüssel könnte am Endgerät, am Server oder in Cloud gestohlen werden.
Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.

Dinge wie USB-FIDO oder Reiner SCT Authenticator sind auch nur so sicher wie der Zugriff auf das Gerät.
Im Homeoffice bleibt der Fido dauerhaft im PC und der Reiner SCT liegt davor mit dem PIN draufgeschrieben.

Kennt Jemand eine asymetrische Alternative die vergleichbar zu benutzen ist?
Freie App für Android und IOS.

Viele Grüße

Stefan

Content-Key: 21163349624

Url: https://administrator.de/contentid/21163349624

Printed on: April 13, 2024 at 14:04 o'clock

Member: kpunkt
kpunkt Feb 06, 2024 at 12:07:24 (UTC)
Goto Top
Ist TOTP nicht auch asymmetrisch?

Wie wärs mit Zertifikat?
Member: StefanKittel
StefanKittel Feb 06, 2024 at 12:21:21 (UTC)
Goto Top
Zitat von @kpunkt:
Ist TOTP nicht auch asymmetrisch?
Nein, shareed Secret

Wie wärs mit Zertifikat?
Die Technik ist sekundär. Es muss, für meine Aufgabenstellung, etwas sein, was der DAU-Nutzer einfach auf seinem Handy installieren und einrichten kann.

Stefan
Member: Xerebus
Xerebus Feb 06, 2024 at 13:04:02 (UTC)
Goto Top
Die Aufgabenstellung wäre interessant.
Member: DerWoWusste
DerWoWusste Feb 06, 2024 at 13:08:00 (UTC)
Goto Top
Moin Stefan.

Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.
Musst Du erklären: TOTPs laufen doch nach 30 Sekunden ab, die Finder haben dann also was genau gewonnen?

Beschreib bitte auch genauer, was du suchst. Ist das für den lokalen Windows-Logon oder für Domänen-Logon?
Ich habe mich zur Genüge damit auseinandergesetzt in den letzten 2 Jahren.
Member: kpunkt
kpunkt Feb 06, 2024 at 13:09:57 (UTC)
Goto Top
Hm....kann man da nicht mit einem Yubikey Bio ein 3FA basteln? Password, Key und Fingerprint.
Bei Apps kann man die Biometrie IMHO jetzt nur zusätzlich, aber nicht ausschließlich wählen.
Mitglied: 11078840001
11078840001 Feb 06, 2024 updated at 13:39:32 (UTC)
Goto Top
Dinge wie USB-FIDO oder Reiner SCT Authenticator sind auch nur so sicher wie der Zugriff auf das Gerät.
Im Homeoffice bleibt der Fido dauerhaft im PC und der Reiner SCT liegt davor mit dem PIN draufgeschrieben.
Naja, wenn das Geheimnis für die 2FA überall liegen gelassen wird wird jede Methode irgendwie eine Lücke haben , ob nun symmetrisch oder asymmetrisch ist dann Jacke wie Hose.
Da ist so gut wie jede Methode anfällig für. Selbst die jetzt so hoch gepriesenen Passkeys (asymmetrisch) sind auch nur so sicher wieder Zugriff der sie wieder freigibt (Fingerabdruck/Pin/Stick/Whatever), das alles kann man verlieren oder kann ausgespäht werden.

Die Asymmetrie bietet hauptsächlich besseren Schutz auf dem Übertragungsweg also vor dem Ersniffen in ungeschützten Netzwerken.

Die eigentliche Frage wäre doch als erstes welche Verfahren unterstützt deine zu schützende Anwendung überhaupt?
Member: transocean
transocean Feb 06, 2024 at 14:38:17 (UTC)
Goto Top
Moin,

Freie App für Android und IOS.

Wenn es um Nextcloud oder ähnliche Anwendungen geht, dann vielleicht SkIDentity.

Gruß

Uwe
Member: Dawnbreaker
Dawnbreaker Feb 06, 2024 updated at 15:22:55 (UTC)
Goto Top
Moin,

mal etwas Grundlagenwissen:
Bei symmetrischen Verfahren müssen beide Seiten über den selben Schlüssel verfügen.
Bei asymmetrischen Verfahren wird der Schlüssel in einen öffentlichen und privaten Teil aufgeteilt. Der öffentliche Schlüssel ist für Jeden einsehbar, der private Schlüssel verbleibt beim Sender.

Gehen wir vom worst case aus und der Schlüssel wird vom Server, Cloud o.Ä. gestohlen, hilft dir weder symmetrisch noch asymmetrisch...

Sollte das für dich ein Sicherheitsproblem sein, solltest du über einen weiteren Faktor nachdenken (biometrischer Natur?)...

Edit: In der freien Wildbahn wird immer beides hybrid genutzt. Asymmetrische Verfahren, um das shared secret zu übertragen und symmetrische Verfahren für den eigentlichen Zweck.

LG
Member: StefanKittel
StefanKittel Feb 06, 2024 updated at 15:44:17 (UTC)
Goto Top
Zitat von @DerWoWusste:
Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.
Musst Du erklären: TOTPs laufen doch nach 30 Sekunden ab, die Finder haben dann also was genau gewonnen?

Beschreib bitte auch genauer, was du suchst. Ist das für den lokalen Windows-Logon oder für Domänen-Logon?
Ich habe mich zur Genüge damit auseinandergesetzt in den letzten 2 Jahren.

Moin,
es geht um einen Fehler den ich beinahe begangen hätte.
Ich habe für eine Web-App eine 2FA-Anmeldung mit SMS-TAN und TOTP programmiert.
Bei TOTP muss ich dem Nutzer einen QR-Code als Grafik anzeigen. Ich hätte den beinahe in "/qr/[zufälligeNummer].png" gespeichert. Einfach zu implementieren aber wenn man vergisst aufzuräumen ist man tot weil das Dinge ja ewig abzurufen ist.

Wer die Grafik hat, kann einen Eintrag in einem TOTP-Tool erstellen und gültige Codes erzeugen.

Dann dachte ich mir, dass bestimmt schon mal Jemand diesen Fehler gemacht hat.
Ich hatte letzte Jahr 2 Lieferanten-Portale wo man den QR-Code per Email zugeschickt bekommen hat. Einmal als Link und einmal als Grafik.

Die Grafik war ein Anhang in der Mail. Damit also 100 Jahre verfügbar wer auch immer Zugriff auf das Postfach bzw. diese Mail hat.

Der Link führte zu einer Seite wo der QR-Code zu sehen war.
Der Link war tot. Aber der QR, den den gleichen Namen wie der link hat, war noch da.

Ich habe das für mich nun so gelöst, dass der QR-Code nur im RAM liegt und gleich danach überschrieben wird.
Vermutlich machen sich aber nicht alle Programmierer so viel Aufwand.

Bei einem asymetrischen Verfahren wäre das kein Problem weil der private Schlüssel vom Handy fehlt.

Stefan
Member: StefanKittel
StefanKittel Feb 06, 2024 at 15:43:10 (UTC)
Goto Top
Zitat von @Dawnbreaker:
Gehen wir vom worst case aus und der Schlüssel wird vom Server, Cloud o.Ä. gestohlen, hilft dir weder symmetrisch noch asymmetrisch...

Ne, falscher Ansatz. Andersrum face-smile
Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.

Danach funktioniert die App wie TOTP.
Es werden Nummern pro Eintrag erstellt. Der Server kann überprüfen ob eine Nummer von dem Handy kommt, aber keine eigenen Erstellen.

Stefan
Member: StefanKittel
StefanKittel Feb 06, 2024 at 15:45:47 (UTC)
Goto Top
Noch dazugesagt, die Sicherheit von TOTP hängt weiterhin vom Nutzer ab.

Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert und weil die Leute auf Ihr Handy mehr aufpassen als so ein Token. Oder auch einen Hardware-TOTP-Authenticator der am besten noch ohne PIN auf dem Schreibtisch liegt.

Sicherheit ist ein Biest.

Stefan
Member: em-pie
em-pie Feb 06, 2024 at 19:37:47 (UTC)
Goto Top
Moin,

Wer die Grafik hat, kann einen Eintrag in einem TOTP-Tool erstellen und gültige Codes erzeugen.
Also das ist mit Gemaltos MobilePass++ nicht möglich.
Der Dienst versendet einen 48h lang gültigen Zugang, welcher einen QR-Code beinhaltet. Sobald irgendeiner den Code in der App gescannt und damit den Zugang registriert hat, ist das virtuelle Token fest zugewiesen. Andere können den QR-Code dann nicht mehr nutzen.

Der Server/ Dienst läuft aber nur auf Windows-Basis…

Aber das sollte mit anderen Anbietern auch klappen…
Member: StefanKittel
StefanKittel Feb 06, 2024 at 23:00:33 (UTC)
Goto Top
Zitat von @em-pie:

Moin,

Wer die Grafik hat, kann einen Eintrag in einem TOTP-Tool erstellen und gültige Codes erzeugen.
Also das ist mit Gemaltos MobilePass++ nicht möglich.
Der Dienst versendet einen 48h lang gültigen Zugang, welcher einen QR-Code beinhaltet. Sobald irgendeiner den Code in der App gescannt und damit den Zugang registriert hat, ist das virtuelle Token fest zugewiesen. Andere können den QR-Code dann nicht mehr nutzen.

Der Server/ Dienst läuft aber nur auf Windows-Basis…

Aber das sollte mit anderen Anbietern auch klappen…

Das ist ja schon eine Impletierung als SaaS.

Das schöne an TOTP ist ja, dass es viele (kostenfreie) Clients gibt und man auch die Serverseite vollständig selbstständig aufbauen kann.
Member: kpunkt
kpunkt Feb 07, 2024 at 05:42:22 (UTC)
Goto Top
Zitat von @StefanKittel:
Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Aber hebelst du da den Vorteil der Asymmetrie nicht wieder aus, wenn du dann doch wieder einen Schlüssel verschickst?


Zitat von @StefanKittel:
Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert
In den meisten Fällen wird die Biometrie aber doch als ein ODER verwendet (Pin oder Fingerprint). Brauchbar für 3FA wärs ja nur, wenn die Biometrie ein MUSS ist.
Member: StefanKittel
StefanKittel Feb 07, 2024 at 07:48:29 (UTC)
Goto Top
Main

Zitat von @kpunkt:
Zitat von @StefanKittel:
Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Aber hebelst du da den Vorteil der Asymmetrie nicht wieder aus, wenn du dann doch wieder einen Schlüssel verschickst?
Der öffentliche Schlüssel ist, wie der Name schon sagt, öffentlich. Den darf jeder haben.
Wichtig ist der private Schlüssel und der verbleibt auf dem Endgerät.
https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

Zitat von @StefanKittel:
Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert
In den meisten Fällen wird die Biometrie aber doch als ein ODER verwendet (Pin oder Fingerprint). Brauchbar für 3FA wärs ja nur, wenn die Biometrie ein MUSS ist.
Ich würde ja gerne Windows-Hello verwenden.
Aber Webseitig kann man Biometrie nicht erzwingen.
Ich bekomme nur ein "OK" zurück. Das kann aber auch der PIN gewesen sein. Das entscheidet Microsoft.

Stefan