local+OTP Unsicher?

[jacolani]

Hallo,

habe die Authentifizierung laut Doku mittles lokaler und OTP erstellt. Das ging auch, und ich konnte mich mittels Google Auth. anmelden. Aber ich konnte mich auch weiterhin nur mit dem Passwort anmelden, also ohne OTP.
Das ist natürlich blöd wenn man das normale anmelden nicht deaktivieren kann, weil ich ja sonst keinen Sicherheitsgewinn habe.

[franco]

Gleichzeitig TOTP+Local und Local Database auswählen ist natürlich suboptimal. Zu ändern über System: Settings: Administration (ganz unten Authentication Server), sofern die GUI gemeint war.

Es fehlt ein Schritt in https://docs.opnsense.org/manual/how-tos/two_factor.html für die Klarheit darüber.


Grüsse
Franco

[jacolani]

Es fehlt ein Schritt in https://docs.opnsense.org/manual/how-tos/two_factor.html für die Klarheit darüber.

Ich schaue nach ob es nun klappt.
Ja genau, danke.

[jacolani]

Also es funtkioniert damit. Aber wie kann ich, falls ich mein Passwort vergessen habe etc., und mich nicht mehr über die WebGui einlogen kann, mein Passwort zurück setzen bzw. ändern. In die Konsole kann ich mich ja weiterhin mit meinem root Passwort anmelden?

[fabian]

direkt die Funktion gibt's nicht. Wenn du dein Passwort vergisst, hilft entweder ein 2. User oder das Ändern der config.xml von hand, indem man einen entsprechenden Passwort-Hash generiert.

[franco]

Meine Empfehlung wäre Console Passwort ausstellen oder noch besser SSH mit SSH Key...


Grüsse
Franco