OPNsense Forum

International Forums => German - Deutsch => Topic started by: theq86 on July 07, 2017, 01:02:15 pm

Title: [GELÖST] 2FA OTP + Passwort Reihenfolge
Post by: theq86 on July 07, 2017, 01:02:15 pm
Hallo,

mich würde mal interessieren, warum entschieden wurde, dass das OTP vor das eigentliche Passwort kommt.
Cool wäre eine Option, das OTP auch nach dem Passwort eingeben zu können. Das wäre vom Workflow her bequemer und auch semantisch passender.

So muss ich immer erst das PW eingeben, Pos1 oder Mausklick an den Anfang der Textbox und danach den OTP.
Gebe ich erst das OTP an und dann das PW kann in der Zeit schlechtestenfalls das OTP schon wieder ungültig sein.
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: Oxygen61 on July 11, 2017, 10:37:29 pm
Fand ich persönlich auch extrem ungewöhnlich. Besonders, weil oft (wie du auch schon meintest) das ganze Prozedere auch besonders mit einem langen Passwort und einem Passwortmanager dann doch etwas länger dauert und ab und zu dann der OTP abläuft.
In eigentlich allen anderen "WebGUI Oberflächen" geht dann sonst ein zweites Fenster auf und erfragt den 2FA noch einmal extra separat ab.
Ob das nun Plesk ist oder Facebook/Amazon und und und ist ja egal.

Vielleicht gibt es da einen Security Aspekt den wir übersehen?
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: JeGr on July 12, 2017, 11:16:54 am
Zumindest bei Keepass(2) kann man das ja scripten, in welcher Reihenfolge was eingetragen wird beim AutoType (oder ob man bspw. auch den OTP eintragen lassen möchte ;)) aber die Reihenfolge ist im Normalfall wirklich so, dass entweder auf einer Maske User/Pass/OTP gefragt wird oder User/Pass und dann als neues Fenster oder Popup eine OTP Abfrage kommt.

Gruß
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: theq86 on July 12, 2017, 05:55:34 pm
Technisch ist die Konkatenierung notwendig um die 2FA durchs gesamte System schleifen zu können. Ich finde es super, dass mein OpenVPN Zugang dadurch auch zweifaktor-geschützt ist. Die Reihenfolge ist für mich das "unnatürliche"
Bei Sophos zB. kommt das OTP auch ans Passwortende. Andere machen es auch wieder wie opnSense. Aber am Ende ist es halt einfach sinnvoller.

PS:
Zumindest bei Keepass(2) kann man das ja scripten, in welcher Reihenfolge was eingetragen wird beim AutoType (oder ob man bspw. auch den OTP eintragen lassen möchte ;))

Also mir persönlich käme es nie in den Sinn Passwort nebst OTP Generator im selben Programm/Store zu haben. Dann ist die 2-faktor Authentifizierung mMn. fast ausgehebelt. Die 2 Faktoren sind ja laut Sicherheitstheorie Haben und Wissen. Wenn das Masterpasswort meines Passwortmanagers auch noch den Weg für die OTP Secrets ebnet dann kann ich auch gleich drauf verzichten.
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: franco on July 12, 2017, 08:05:26 pm
Hallöchen,

Ist schwierig zu sagen was besser ist. Aber erstmal zum Test:

Edit: SCHNIPP-SCHNIPP, siehe unten.

Wie wäre es mit einem Setting für den TOTP-Server, eine Checkbox in der man die Reihenfolge umkehren kann?

Dann hätten wir beide Seiten abgedeckt.  :)


Grüsse
Franco
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: franco on July 12, 2017, 08:59:30 pm
So... https://github.com/opnsense/core/commit/20ec899

# opnsense-patch 20ec899


Grüsse
Franco
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: Oxygen61 on July 12, 2017, 11:07:27 pm
Quote
Zumindest bei Keepass(2) kann man das ja scripten, in welcher Reihenfolge was eingetragen wird beim AutoType (oder ob man bspw. auch den OTP eintragen lassen möchte ;))
Verrückt... wusste nicht, dass man selbst das auch noch automatisieren kann.  :o
Bin da aber der selben Meinung wie nasq im Sinne von "Haben und Wissen".
Da ich leider nich viel weiß, liegt mein Wissen aufm Handy *hust* ::) aber beides an den selben Ort abspeichern zu lassen, ist glaube wirklich nicht ganz sinnvoll, denn KeePass muss ja das Geheimnis für den OTP kennen, weiß daher also beide FA.

Quote
Wie wäre es mit einem Setting für den TOTP-Server, eine Checkbox in der man die Reihenfolge umkehren kann?
Viel besser. Dann kann ich bis zur Eingabe des 2FA mir doch noch nen Kaffee holen gehen ohne alles bereits Eingetragene über Bord werfen zu müssen :D
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: theq86 on July 13, 2017, 09:27:42 am
So... https://github.com/opnsense/core/commit/20ec899

# opnsense-patch 20ec899


Grüsse
Franco

Sehr schön! Wie kann ich das testen (also den Patch anwenden)? Ist dieser Commit auf eine bestimmte Version beschränkt? Und da es MVC-Layer code ist - funktioniert das nur in der Webgui oder auch zB. bei VPN?
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: franco on July 13, 2017, 01:07:19 pm
Einfach das opnsense-patch Kommando auf der Root-Shell ausführen. Das läd den Patch (Hash) von GitHub und packt es auf das System. Funktioniert denke ich mit allen 17.1.x Versionen. Mit 17.1.9 auf jeden Fall. Wenn nicht, dann sagt das Kommando das.

Zum Entfernen einfach ein zweites Mal ausführen.

Und ja, funktioniert überall. :)


Grüsse
Franco
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: theq86 on July 15, 2017, 01:48:14 pm
Ich habe den Patch gerade eingespielt und es funktioniert. Klasse, dass mal eben ein - wenn auch wenig aufwendiges Feature implementiert und als Patch zur Verfügung gestellt wird.

Danke!
Title: Re: 2FA OTP + Passwort Reihenfolge
Post by: franco on July 16, 2017, 10:21:51 am
Cool, ich hole noch die Erlaubnis ein für 17.1.10, dann kommt das hoffentlich nächste Woche als neues Gimmick mit für alle.


Grüsse
Franco
Title: Re: [GELÖST] 2FA OTP + Passwort Reihenfolge
Post by: franco on July 16, 2017, 01:27:02 pm
Jupp, bestätigt für 17.1.10.


Grüsse
Franco