Wer erklärt mir TOTP?

Fragen zu den Grundfunktionen der webEdition Oberfläche wie Backup, Import, ...
Fragen zu we:Tags bitte im Forum "Templates erstellen"
Benutzeravatar
Chefpraktikant
Senior Member
Beiträge: 302
Registriert: Do 1. Jan 1970, 02:00
Wohnort: Freising
Kontaktdaten:

Wer erklärt mir TOTP?

Beitragvon Chefpraktikant » Di 31. Jul 2018, 19:11

Wenn ich für einen neue angelegten Redakteur ein Time-based One-time Passwort (TOPT) anlege: Wie geht es dann weiter?

Braucht er zusätzlich ein Passwort? Gibt er das TOPT statt seinem Passwort ein!? Ich habe damit gerade rumgespielt, kann mir aber keinen Reim draus machen...
Internetagentur Aysberg • www.aysberg.dewebEdition Partner

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Wer erklärt mir TOTP?

Beitragvon mokraemer » Fr 3. Aug 2018, 00:26

Das hatten wir (kurz) auf den Intensivtagen besprochen. In 8.0.3 ist eine initiale Fassung enthalten, die aber funktioniert. Einzig sollte der Provider (WE) das "Passwort" vorschlagen, was in 8.0.3 jedoch noch nicht passiert. In 8.0.4 gibt es dazu dann einen Button der einen 2. Faktor generiert. Soviel zur Vorbemerkung.
TOTP setzt ein 2. "Passwort" als gemeinsames Geheimnis zwischen WE und einem weiteren Gerät idr. einem Handy. Mittels einer App (z.B. FreeOTP oder GoogleAuthenticator oder Authy, ...) kann dann der 2. Faktor beim Login erzeugt werden.
Man muß also zusätzlich zu dem Benutzernamen und Passwort eben vom Handy noch den 2. Faktor in der Anmeldemaske eintragen.
Da das gemeinsame Geheimnis nie wieder übertragen wird, ist es durch einfaches Mitlesen der Verbindung nicht möglich an Login-Daten zu kommen.
webEdition-Kern-Entwickler

Luigii
Senior Member
Beiträge: 454
Registriert: Mi 20. Jul 2005, 17:18

Re: Wer erklärt mir TOTP?

Beitragvon Luigii » Do 6. Dez 2018, 13:14

Das verstehe ich noch nicht ganz. Wer legt denn das TOTP in Webedition an und wie kommt das dann aufs Handy? Ich habe mir Authy installiert, aber wie kommt denn die Verbindung zwischen Authy und webEdition zustande?
Dinge von großer Bedeutung gehe man mit Leichtigkeit an, Dinge von geringer Bedeutung mit großem Ernst.

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Wer erklärt mir TOTP?

Beitragvon mokraemer » Do 6. Dez 2018, 16:21

Ich würde empfehlen vorher erst mal einen 2. Admin anzulegen damit man sich nicht aussperrt, und dann zu testen, oder zumindest einen 2. Browser aufzumachen und darin die Anmeldung zu testen (wenn man in der Benutzerverwaltung arbeitet).

Grundsätzlich sollte man für jeden Dienst ein eigenes Token (shared Secret haben). WE kann über den Button in der Benutzerverwaltung ein Secret generieren und zeigt es an. Das muß dann in der App eingestellt werden.
Bei der nächsten Anmeldung fragt dann WE nach dem TOTP-Kode.

Wenn ein Benutzer das im Pwd-Ändern Dialog macht, wird von WE direkt auch der erste Folgekode gefragt, damit man sich hier nicht aussperrt.

Wie gesagt es ist ein Shared Secret das geheim gehalten werden soll. Der einzige "Vorteil" gegenüber einem Passwort ist, das außer der initialen Übertragung nie mehr das echte Passwort eingetragen wird, sondern immer nur der berechnete Wert aus dem sich das Passwort nicht ableiten läßt.
webEdition-Kern-Entwickler

Luigii
Senior Member
Beiträge: 454
Registriert: Mi 20. Jul 2005, 17:18

Re: Wer erklärt mir TOTP?

Beitragvon Luigii » Fr 7. Dez 2018, 18:38

Ahhh, jetzt habe ich es glaube ich verstanden. Authy generiert aus dem Shared Secret einen 6-stelligen Code, der immer nur 30 Sekunden gültig ist und irgendwie weiß WE diesen Code oder kann ihn zumindest überprüfen. Setzt das nicht vorraus, dass für WE und Authy die gleiche Zeit ist?? Gibt es nicht Probleme wenn Authy und der WE Server in unterschiedlichen Zeitzonen stehen?
Dinge von großer Bedeutung gehe man mit Leichtigkeit an, Dinge von geringer Bedeutung mit großem Ernst.

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Wer erklärt mir TOTP?

Beitragvon mokraemer » Mo 10. Dez 2018, 11:43

Die Zeit muß gleich sein damit das richtig berechnet wird. Wg. Zeitzonen kann ich nicht aus dem Kopf beantworten - könnte sein, das alles auf UTC+0 zurückgerechnet wird (?).
webEdition-Kern-Entwickler

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Wer erklärt mir TOTP?

Beitragvon mokraemer » Mo 10. Dez 2018, 13:52

also das Token sollte von der Zeitzone unabhängig sein (wenn es korrekt implementiert ist).
webEdition-Kern-Entwickler

Luigii
Senior Member
Beiträge: 454
Registriert: Mi 20. Jul 2005, 17:18

Re: Wer erklärt mir TOTP?

Beitragvon Luigii » Mo 18. Feb 2019, 11:52

Will hier noch mal abschließend sagen, dass ich fdas nun alles ausprobiert habe und dass es super funktioniert, danke für den Einbau und die Erläuterungen. Ich denke einige Benutzer können das sehr gut gebrauchen.
Dinge von großer Bedeutung gehe man mit Leichtigkeit an, Dinge von geringer Bedeutung mit großem Ernst.


Zurück zu „Basisversion“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste