5
SOPHOS, OTP-Tokens auf Android ungültig
Hallo zusammen.
Ich versuche auf einer SOPHOS UTM 9 (FW: 9.720-5) die 2FA zum Laufen zu bekommen.
OTP-Dienste sind aktiviert, Benutzer sind eingerichtet. QR-Code wird angezeigt. auf den ersten Blick scheint es zu funktionieren.
Nun kommt das Problem, dass wenn ich auf meinem Smartphone (Samsung S21, aktuelle Updates installiert) mit dem Google Authenticator erzeugte OTP-Tokens prüfen bzw. für VPN nutzen will, erhalte ich die Meldung von SOPHOS, dass der Token unbekannt/ungültig ist. Beim Kollegen, der ein iPhone nutzt und dieselben Schritte einhällt, werden die Tokens akzeptiert. Er kann sich mit meinem Account anmelden. Seine unterscheiden sich auch immer von meinen.
Folgendes wurde schon versucht:
- M$ Authenticator anstatt dem von Google
- Google Authenticator komplett neu eingerichtet und den QR-Code neu eingelesen
- anstatt dem QR-Code, den Schlüssel über Copy/Paste manuel eingefügt
- 3 verschiedene Smartphones (2 SAMSUNG, 1 KEYENCE)
- auf allen drei die Uhrzeit, Zeitzone usw. mit der in der SOPHOS abgeglichen (max. 1,5 Sekunden Versatz)
- HASH256 und 512 ausprobiert
- Passcode-Offset und Token-Zeitschritt erhöht
Dass die App generell nur falsche Codes generiert kann ich mir nicht vorstellen. Nutze dieselbe App, um bei 4 weiteren Diensten die Tokens zu erzeugen. Da werden die akzeptiert.
Hat jemmand ne Idee, wo ich was prüfen/ändern soll?
Wie erwähnt, funktionieren die Tokens, die auf einem iPhone (ca.3 Jahre alt) erzeugt wurden problemlos.
Ich versuche auf einer SOPHOS UTM 9 (FW: 9.720-5) die 2FA zum Laufen zu bekommen.
OTP-Dienste sind aktiviert, Benutzer sind eingerichtet. QR-Code wird angezeigt. auf den ersten Blick scheint es zu funktionieren.
Nun kommt das Problem, dass wenn ich auf meinem Smartphone (Samsung S21, aktuelle Updates installiert) mit dem Google Authenticator erzeugte OTP-Tokens prüfen bzw. für VPN nutzen will, erhalte ich die Meldung von SOPHOS, dass der Token unbekannt/ungültig ist. Beim Kollegen, der ein iPhone nutzt und dieselben Schritte einhällt, werden die Tokens akzeptiert. Er kann sich mit meinem Account anmelden. Seine unterscheiden sich auch immer von meinen.
Folgendes wurde schon versucht:
- M$ Authenticator anstatt dem von Google
- Google Authenticator komplett neu eingerichtet und den QR-Code neu eingelesen
- anstatt dem QR-Code, den Schlüssel über Copy/Paste manuel eingefügt
- 3 verschiedene Smartphones (2 SAMSUNG, 1 KEYENCE)
- auf allen drei die Uhrzeit, Zeitzone usw. mit der in der SOPHOS abgeglichen (max. 1,5 Sekunden Versatz)
- HASH256 und 512 ausprobiert
- Passcode-Offset und Token-Zeitschritt erhöht
Dass die App generell nur falsche Codes generiert kann ich mir nicht vorstellen. Nutze dieselbe App, um bei 4 weiteren Diensten die Tokens zu erzeugen. Da werden die akzeptiert.
Hat jemmand ne Idee, wo ich was prüfen/ändern soll?
Wie erwähnt, funktionieren die Tokens, die auf einem iPhone (ca.3 Jahre alt) erzeugt wurden problemlos.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671030
Url: https://administrator.de/forum/sophos-otp-tokens-auf-android-ungueltig-671030.html
Ausgedruckt am: 30.01.2025 um 18:01 Uhr
5 Kommentare
Neuester Kommentar
Moin
- HASH256 und 512 ausprobiert
Das wird das Problem sein. Viele Apps unterstützen hohe Hashes nicht.
Das Problem kam bei mir auf, als es den Sophos Authenticator eingestellt wurde und die üblichen Alternativen dann ebenfalls falsche OTP auswarfen. Stell mal auf SHA1 und teste dann. Das sollte für einen OTP auch völlig ausreichen.
Gruß
M$ Authenticator anstatt dem von Google
Und mit welchem Ergebnis? Gene auch mal die FreeOTP Authenticator testen.
1
Ich hatte diese Probleme auch mit der SG, weil die Google & Microsoft Authenticator damals kein SHA256 hashing konnten sondern nur SHA1. Mittlerweile sind wir auf die XGS umgestiegen.
Ich würde auch nicht empfehlen besagte Apps zu nutzen, sondern Open Source Software.
Welche Apps ich empfehlen kann sind folgende. Beide Apps sind Datensparsam, kostenlos, Open Source und funktionieren mit SG/XGS und allen anderen Diensten:
Android -> https://play.google.com/store/apps/details?id=com.stratumauth.app
iOS -> https://apps.apple.com/de/app/otp-auth/id659877384
Ich würde auch nicht empfehlen besagte Apps zu nutzen, sondern Open Source Software.
Welche Apps ich empfehlen kann sind folgende. Beide Apps sind Datensparsam, kostenlos, Open Source und funktionieren mit SG/XGS und allen anderen Diensten:
Android -> https://play.google.com/store/apps/details?id=com.stratumauth.app
iOS -> https://apps.apple.com/de/app/otp-auth/id659877384
1
@arno...
Hatte vergesseen zu erwähnen, dass SHA1 als erstes (default) verwendet wurde.
@michi
wenns mit dem von M$ geklappt hätte, wäre ich glücklich und hätte hier nicht gefragt.
Dein Vorschlag gehte auf Anhieb. Danke.
@FUHSSrfe
dein Vorschlag hat wie der von Michi sofort geklappt. Auch mit SHA256
Danke allen für die Vorschläge !!!
Bin davon ausgegangen, dass die "Großen" es hätten richtig machen können.
Hatte vergesseen zu erwähnen, dass SHA1 als erstes (default) verwendet wurde.
@michi
wenns mit dem von M$ geklappt hätte, wäre ich glücklich und hätte hier nicht gefragt.
Dein Vorschlag gehte auf Anhieb. Danke.
@FUHSSrfe
dein Vorschlag hat wie der von Michi sofort geklappt. Auch mit SHA256
Danke allen für die Vorschläge !!!
Bin davon ausgegangen, dass die "Großen" es hätten richtig machen können.
OFF TOPIC
Jup, OPNsense z.B. müsste auf der alten Sophos UTM laufen, mit wesentlich mehr (kostenlosen) Features. Je nach Umfang braucht es nicht einmal die Business Edition, welche aber nur 10€/Monat kostet. Ich berichte aus persönlicher Erfahrung als jahrelanger Sophos Kunde, schon zu Astaro Zeiten.
Bis Mitte 2026 hat man noch Zeit, solange gibt es noch Support auf die Sophos SG, falls jemand die verdoppelten Lizenzkosten bezahlt hatte.
OPNsense 2FA: https://docs.opnsense.org/manual/two_factor.html
EDIT
Irgendjemand hatte mal behauptet, Sophos sei so gut weil die quasi nie Sicherheitslücken hätten. Dabei verstehe ich ein CVE einfach als Info und weiß, warum ich immer brav meine Updates fahre, Hersteller egal.
https://app.opencve.io/cve/?cvss=critical&search=sophos
https://app.opencve.io/cve/?cvss=critical&search=opnsense
Jup, OPNsense z.B. müsste auf der alten Sophos UTM laufen, mit wesentlich mehr (kostenlosen) Features. Je nach Umfang braucht es nicht einmal die Business Edition, welche aber nur 10€/Monat kostet. Ich berichte aus persönlicher Erfahrung als jahrelanger Sophos Kunde, schon zu Astaro Zeiten.
Bis Mitte 2026 hat man noch Zeit, solange gibt es noch Support auf die Sophos SG, falls jemand die verdoppelten Lizenzkosten bezahlt hatte.
OPNsense 2FA: https://docs.opnsense.org/manual/two_factor.html
EDIT
Irgendjemand hatte mal behauptet, Sophos sei so gut weil die quasi nie Sicherheitslücken hätten. Dabei verstehe ich ein CVE einfach als Info und weiß, warum ich immer brav meine Updates fahre, Hersteller egal.
https://app.opencve.io/cve/?cvss=critical&search=sophos
https://app.opencve.io/cve/?cvss=critical&search=opnsense
