15
Gibt es eine asymetrische Alternative zu TOTP die weit verbreitet ist?
Hallo,
gibt es eine asymetrische Alternative zu TOTP die weit verbreitet ist?
TOTP ist in den meisten Fällen schon ein deutlicher Sicherheitsgewin.
Aber es ist ein symetrisches Verfahren.
Der Schlüssel könnte am Endgerät, am Server oder in Cloud gestohlen werden.
Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.
Dinge wie USB-FIDO oder Reiner SCT Authenticator sind auch nur so sicher wie der Zugriff auf das Gerät.
Im Homeoffice bleibt der Fido dauerhaft im PC und der Reiner SCT liegt davor mit dem PIN draufgeschrieben.
Kennt Jemand eine asymetrische Alternative die vergleichbar zu benutzen ist?
Freie App für Android und IOS.
Viele Grüße
Stefan
gibt es eine asymetrische Alternative zu TOTP die weit verbreitet ist?
TOTP ist in den meisten Fällen schon ein deutlicher Sicherheitsgewin.
Aber es ist ein symetrisches Verfahren.
Der Schlüssel könnte am Endgerät, am Server oder in Cloud gestohlen werden.
Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.
Dinge wie USB-FIDO oder Reiner SCT Authenticator sind auch nur so sicher wie der Zugriff auf das Gerät.
Im Homeoffice bleibt der Fido dauerhaft im PC und der Reiner SCT liegt davor mit dem PIN draufgeschrieben.
Kennt Jemand eine asymetrische Alternative die vergleichbar zu benutzen ist?
Freie App für Android und IOS.
Viele Grüße
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21163349624
Url: https://administrator.de/contentid/21163349624
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
15 Kommentare
Neuester Kommentar
Ist TOTP nicht auch asymmetrisch?
Wie wärs mit Zertifikat?
Wie wärs mit Zertifikat?
Nein, shareed Secret
Stefan
Wie wärs mit Zertifikat?
Die Technik ist sekundär. Es muss, für meine Aufgabenstellung, etwas sein, was der DAU-Nutzer einfach auf seinem Handy installieren und einrichten kann.Stefan
Die Aufgabenstellung wäre interessant.
Moin Stefan.
Beschreib bitte auch genauer, was du suchst. Ist das für den lokalen Windows-Logon oder für Domänen-Logon?
Ich habe mich zur Genüge damit auseinandergesetzt in den letzten 2 Jahren.
Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.
Musst Du erklären: TOTPs laufen doch nach 30 Sekunden ab, die Finder haben dann also was genau gewonnen?Beschreib bitte auch genauer, was du suchst. Ist das für den lokalen Windows-Logon oder für Domänen-Logon?
Ich habe mich zur Genüge damit auseinandergesetzt in den letzten 2 Jahren.
Hm....kann man da nicht mit einem Yubikey Bio ein 3FA basteln? Password, Key und Fingerprint.
Bei Apps kann man die Biometrie IMHO jetzt nur zusätzlich, aber nicht ausschließlich wählen.
Bei Apps kann man die Biometrie IMHO jetzt nur zusätzlich, aber nicht ausschließlich wählen.
Dinge wie USB-FIDO oder Reiner SCT Authenticator sind auch nur so sicher wie der Zugriff auf das Gerät.
Im Homeoffice bleibt der Fido dauerhaft im PC und der Reiner SCT liegt davor mit dem PIN draufgeschrieben.
Naja, wenn das Geheimnis für die 2FA überall liegen gelassen wird wird jede Methode irgendwie eine Lücke haben , ob nun symmetrisch oder asymmetrisch ist dann Jacke wie Hose.Im Homeoffice bleibt der Fido dauerhaft im PC und der Reiner SCT liegt davor mit dem PIN draufgeschrieben.
Da ist so gut wie jede Methode anfällig für. Selbst die jetzt so hoch gepriesenen Passkeys (asymmetrisch) sind auch nur so sicher wieder Zugriff der sie wieder freigibt (Fingerabdruck/Pin/Stick/Whatever), das alles kann man verlieren oder kann ausgespäht werden.
Die Asymmetrie bietet hauptsächlich besseren Schutz auf dem Übertragungsweg also vor dem Ersniffen in ungeschützten Netzwerken.
Die eigentliche Frage wäre doch als erstes welche Verfahren unterstützt deine zu schützende Anwendung überhaupt?
Moin,
Freie App für Android und IOS.
Wenn es um Nextcloud oder ähnliche Anwendungen geht, dann vielleicht SkIDentity.
Gruß
Uwe
Freie App für Android und IOS.
Wenn es um Nextcloud oder ähnliche Anwendungen geht, dann vielleicht SkIDentity.
Gruß
Uwe
Moin,
mal etwas Grundlagenwissen:
Bei symmetrischen Verfahren müssen beide Seiten über den selben Schlüssel verfügen.
Bei asymmetrischen Verfahren wird der Schlüssel in einen öffentlichen und privaten Teil aufgeteilt. Der öffentliche Schlüssel ist für Jeden einsehbar, der private Schlüssel verbleibt beim Sender.
Gehen wir vom worst case aus und der Schlüssel wird vom Server, Cloud o.Ä. gestohlen, hilft dir weder symmetrisch noch asymmetrisch...
Sollte das für dich ein Sicherheitsproblem sein, solltest du über einen weiteren Faktor nachdenken (biometrischer Natur?)...
Edit: In der freien Wildbahn wird immer beides hybrid genutzt. Asymmetrische Verfahren, um das shared secret zu übertragen und symmetrische Verfahren für den eigentlichen Zweck.
LG
mal etwas Grundlagenwissen:
Bei symmetrischen Verfahren müssen beide Seiten über den selben Schlüssel verfügen.
Bei asymmetrischen Verfahren wird der Schlüssel in einen öffentlichen und privaten Teil aufgeteilt. Der öffentliche Schlüssel ist für Jeden einsehbar, der private Schlüssel verbleibt beim Sender.
Gehen wir vom worst case aus und der Schlüssel wird vom Server, Cloud o.Ä. gestohlen, hilft dir weder symmetrisch noch asymmetrisch...
Sollte das für dich ein Sicherheitsproblem sein, solltest du über einen weiteren Faktor nachdenken (biometrischer Natur?)...
Edit: In der freien Wildbahn wird immer beides hybrid genutzt. Asymmetrische Verfahren, um das shared secret zu übertragen und symmetrische Verfahren für den eigentlichen Zweck.
LG
Zitat von @DerWoWusste:
Beschreib bitte auch genauer, was du suchst. Ist das für den lokalen Windows-Logon oder für Domänen-Logon?
Ich habe mich zur Genüge damit auseinandergesetzt in den letzten 2 Jahren.
Auch fehlerhafte Implementierungen, bei welcher der QR-Code dauerhaft in einem Temp-Ordner oder einer Mail auf einen Finder wartet, können die Sicherheit kompromitieren.
Musst Du erklären: TOTPs laufen doch nach 30 Sekunden ab, die Finder haben dann also was genau gewonnen?Beschreib bitte auch genauer, was du suchst. Ist das für den lokalen Windows-Logon oder für Domänen-Logon?
Ich habe mich zur Genüge damit auseinandergesetzt in den letzten 2 Jahren.
Moin,
es geht um einen Fehler den ich beinahe begangen hätte.
Ich habe für eine Web-App eine 2FA-Anmeldung mit SMS-TAN und TOTP programmiert.
Bei TOTP muss ich dem Nutzer einen QR-Code als Grafik anzeigen. Ich hätte den beinahe in "/qr/[zufälligeNummer].png" gespeichert. Einfach zu implementieren aber wenn man vergisst aufzuräumen ist man tot weil das Dinge ja ewig abzurufen ist.
Wer die Grafik hat, kann einen Eintrag in einem TOTP-Tool erstellen und gültige Codes erzeugen.
Dann dachte ich mir, dass bestimmt schon mal Jemand diesen Fehler gemacht hat.
Ich hatte letzte Jahr 2 Lieferanten-Portale wo man den QR-Code per Email zugeschickt bekommen hat. Einmal als Link und einmal als Grafik.
Die Grafik war ein Anhang in der Mail. Damit also 100 Jahre verfügbar wer auch immer Zugriff auf das Postfach bzw. diese Mail hat.
Der Link führte zu einer Seite wo der QR-Code zu sehen war.
Der Link war tot. Aber der QR, den den gleichen Namen wie der link hat, war noch da.
Ich habe das für mich nun so gelöst, dass der QR-Code nur im RAM liegt und gleich danach überschrieben wird.
Vermutlich machen sich aber nicht alle Programmierer so viel Aufwand.
Bei einem asymetrischen Verfahren wäre das kein Problem weil der private Schlüssel vom Handy fehlt.
Stefan
Zitat von @Dawnbreaker:
Gehen wir vom worst case aus und der Schlüssel wird vom Server, Cloud o.Ä. gestohlen, hilft dir weder symmetrisch noch asymmetrisch...
Gehen wir vom worst case aus und der Schlüssel wird vom Server, Cloud o.Ä. gestohlen, hilft dir weder symmetrisch noch asymmetrisch...
Ne, falscher Ansatz. Andersrum
Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Danach funktioniert die App wie TOTP.
Es werden Nummern pro Eintrag erstellt. Der Server kann überprüfen ob eine Nummer von dem Handy kommt, aber keine eigenen Erstellen.
Stefan
Noch dazugesagt, die Sicherheit von TOTP hängt weiterhin vom Nutzer ab.
Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert und weil die Leute auf Ihr Handy mehr aufpassen als so ein Token. Oder auch einen Hardware-TOTP-Authenticator der am besten noch ohne PIN auf dem Schreibtisch liegt.
Sicherheit ist ein Biest.
Stefan
Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert und weil die Leute auf Ihr Handy mehr aufpassen als so ein Token. Oder auch einen Hardware-TOTP-Authenticator der am besten noch ohne PIN auf dem Schreibtisch liegt.
Sicherheit ist ein Biest.
Stefan
Moin,
Der Dienst versendet einen 48h lang gültigen Zugang, welcher einen QR-Code beinhaltet. Sobald irgendeiner den Code in der App gescannt und damit den Zugang registriert hat, ist das virtuelle Token fest zugewiesen. Andere können den QR-Code dann nicht mehr nutzen.
Der Server/ Dienst läuft aber nur auf Windows-Basis…
Aber das sollte mit anderen Anbietern auch klappen…
Wer die Grafik hat, kann einen Eintrag in einem TOTP-Tool erstellen und gültige Codes erzeugen.
Also das ist mit Gemaltos MobilePass++ nicht möglich.Der Dienst versendet einen 48h lang gültigen Zugang, welcher einen QR-Code beinhaltet. Sobald irgendeiner den Code in der App gescannt und damit den Zugang registriert hat, ist das virtuelle Token fest zugewiesen. Andere können den QR-Code dann nicht mehr nutzen.
Der Server/ Dienst läuft aber nur auf Windows-Basis…
Aber das sollte mit anderen Anbietern auch klappen…
1Zitat von @em-pie:
Moin,
Der Dienst versendet einen 48h lang gültigen Zugang, welcher einen QR-Code beinhaltet. Sobald irgendeiner den Code in der App gescannt und damit den Zugang registriert hat, ist das virtuelle Token fest zugewiesen. Andere können den QR-Code dann nicht mehr nutzen.
Der Server/ Dienst läuft aber nur auf Windows-Basis…
Aber das sollte mit anderen Anbietern auch klappen…
Moin,
Wer die Grafik hat, kann einen Eintrag in einem TOTP-Tool erstellen und gültige Codes erzeugen.
Also das ist mit Gemaltos MobilePass++ nicht möglich.Der Dienst versendet einen 48h lang gültigen Zugang, welcher einen QR-Code beinhaltet. Sobald irgendeiner den Code in der App gescannt und damit den Zugang registriert hat, ist das virtuelle Token fest zugewiesen. Andere können den QR-Code dann nicht mehr nutzen.
Der Server/ Dienst läuft aber nur auf Windows-Basis…
Aber das sollte mit anderen Anbietern auch klappen…
Das ist ja schon eine Impletierung als SaaS.
Das schöne an TOTP ist ja, dass es viele (kostenfreie) Clients gibt und man auch die Serverseite vollständig selbstständig aufbauen kann.
Zitat von @StefanKittel:
Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Aber hebelst du da den Vorteil der Asymmetrie nicht wieder aus, wenn du dann doch wieder einen Schlüssel verschickst?Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Zitat von @StefanKittel:
Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert
In den meisten Fällen wird die Biometrie aber doch als ein ODER verwendet (Pin oder Fingerprint). Brauchbar für 3FA wärs ja nur, wenn die Biometrie ein MUSS ist.Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert
Main
Wichtig ist der private Schlüssel und der verbleibt auf dem Endgerät.
https://de.wikipedia.org/wiki/Public-Key-Infrastruktur
Ich würde ja gerne Windows-Hello verwenden.
Aber Webseitig kann man Biometrie nicht erzwingen.
Ich bekomme nur ein "OK" zurück. Das kann aber auch der PIN gewesen sein. Das entscheidet Microsoft.
Stefan
Zitat von @kpunkt:
Der öffentliche Schlüssel ist, wie der Name schon sagt, öffentlich. Den darf jeder haben.Zitat von @StefanKittel:
Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Aber hebelst du da den Vorteil der Asymmetrie nicht wieder aus, wenn du dann doch wieder einen Schlüssel verschickst?Die App auf dem Handy erstellt den privaten und öffentlichen Schlüssel. Danach lädt sie den öffentlichen Schlüssel auf den Server hoch.
Wichtig ist der private Schlüssel und der verbleibt auf dem Endgerät.
https://de.wikipedia.org/wiki/Public-Key-Infrastruktur
Zitat von @StefanKittel:
Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert
In den meisten Fällen wird die Biometrie aber doch als ein ODER verwendet (Pin oder Fingerprint). Brauchbar für 3FA wärs ja nur, wenn die Biometrie ein MUSS ist.Ein Smartphone mit TOTP ist viel sicherer als ein "richtiger" Token weil meist biometrisch gesichert
Aber Webseitig kann man Biometrie nicht erzwingen.
Ich bekomme nur ein "OK" zurück. Das kann aber auch der PIN gewesen sein. Das entscheidet Microsoft.
Stefan
