Seite 1 von 1

Wer erklärt mir TOTP?

Verfasst: Di 31. Jul 2018, 19:11
von Chefpraktikant
Wenn ich für einen neue angelegten Redakteur ein Time-based One-time Passwort (TOPT) anlege: Wie geht es dann weiter?

Braucht er zusätzlich ein Passwort? Gibt er das TOPT statt seinem Passwort ein!? Ich habe damit gerade rumgespielt, kann mir aber keinen Reim draus machen...

Re: Wer erklärt mir TOTP?

Verfasst: Fr 3. Aug 2018, 00:26
von mokraemer
Das hatten wir (kurz) auf den Intensivtagen besprochen. In 8.0.3 ist eine initiale Fassung enthalten, die aber funktioniert. Einzig sollte der Provider (WE) das "Passwort" vorschlagen, was in 8.0.3 jedoch noch nicht passiert. In 8.0.4 gibt es dazu dann einen Button der einen 2. Faktor generiert. Soviel zur Vorbemerkung.
TOTP setzt ein 2. "Passwort" als gemeinsames Geheimnis zwischen WE und einem weiteren Gerät idr. einem Handy. Mittels einer App (z.B. FreeOTP oder GoogleAuthenticator oder Authy, ...) kann dann der 2. Faktor beim Login erzeugt werden.
Man muß also zusätzlich zu dem Benutzernamen und Passwort eben vom Handy noch den 2. Faktor in der Anmeldemaske eintragen.
Da das gemeinsame Geheimnis nie wieder übertragen wird, ist es durch einfaches Mitlesen der Verbindung nicht möglich an Login-Daten zu kommen.

Re: Wer erklärt mir TOTP?

Verfasst: Do 6. Dez 2018, 13:14
von Luigii
Das verstehe ich noch nicht ganz. Wer legt denn das TOTP in Webedition an und wie kommt das dann aufs Handy? Ich habe mir Authy installiert, aber wie kommt denn die Verbindung zwischen Authy und webEdition zustande?

Re: Wer erklärt mir TOTP?

Verfasst: Do 6. Dez 2018, 16:21
von mokraemer
Ich würde empfehlen vorher erst mal einen 2. Admin anzulegen damit man sich nicht aussperrt, und dann zu testen, oder zumindest einen 2. Browser aufzumachen und darin die Anmeldung zu testen (wenn man in der Benutzerverwaltung arbeitet).

Grundsätzlich sollte man für jeden Dienst ein eigenes Token (shared Secret haben). WE kann über den Button in der Benutzerverwaltung ein Secret generieren und zeigt es an. Das muß dann in der App eingestellt werden.
Bei der nächsten Anmeldung fragt dann WE nach dem TOTP-Kode.

Wenn ein Benutzer das im Pwd-Ändern Dialog macht, wird von WE direkt auch der erste Folgekode gefragt, damit man sich hier nicht aussperrt.

Wie gesagt es ist ein Shared Secret das geheim gehalten werden soll. Der einzige "Vorteil" gegenüber einem Passwort ist, das außer der initialen Übertragung nie mehr das echte Passwort eingetragen wird, sondern immer nur der berechnete Wert aus dem sich das Passwort nicht ableiten läßt.

Re: Wer erklärt mir TOTP?

Verfasst: Fr 7. Dez 2018, 18:38
von Luigii
Ahhh, jetzt habe ich es glaube ich verstanden. Authy generiert aus dem Shared Secret einen 6-stelligen Code, der immer nur 30 Sekunden gültig ist und irgendwie weiß WE diesen Code oder kann ihn zumindest überprüfen. Setzt das nicht vorraus, dass für WE und Authy die gleiche Zeit ist?? Gibt es nicht Probleme wenn Authy und der WE Server in unterschiedlichen Zeitzonen stehen?

Re: Wer erklärt mir TOTP?

Verfasst: Mo 10. Dez 2018, 11:43
von mokraemer
Die Zeit muß gleich sein damit das richtig berechnet wird. Wg. Zeitzonen kann ich nicht aus dem Kopf beantworten - könnte sein, das alles auf UTC+0 zurückgerechnet wird (?).

Re: Wer erklärt mir TOTP?

Verfasst: Mo 10. Dez 2018, 13:52
von mokraemer
also das Token sollte von der Zeitzone unabhängig sein (wenn es korrekt implementiert ist).

Re: Wer erklärt mir TOTP?

Verfasst: Mo 18. Feb 2019, 11:52
von Luigii
Will hier noch mal abschließend sagen, dass ich fdas nun alles ausprobiert habe und dass es super funktioniert, danke für den Einbau und die Erläuterungen. Ich denke einige Benutzer können das sehr gut gebrauchen.