Sichere Zwei-Faktor-Authentisierung (2FA) mit TOTP

[mrbird]

Vornweg .. ich bekomme kein Geld dafür und hab das Dingens auch selbst bezahlt. Aber das hält mich nicht ab es hier vorzustellen
Es geht um den REINER SCT Authenticator.

Ob es jemand nutzen möchte bleibt natürlich auch jedem selbst überlassen. Ich hab bisher auch nur ein paar Konten eingerichtet. Darunter auch die 2FA für einen meiner Server. Und genau aus diesem Grund schreib ich jetzt hier

Es funktioniert damit tadellos. Natürlich gibt es andere Lösungen. Aber hier mit dem Dingens (um nicht dauernd den Namen zu schreiben) ging es ratz fatz. Und sollte auch für relativ desinteressierte Leute geeignet sein. Auch wenn die Handhabung bspw für ein Firmware Update doch etwas gewöhnungsbedürftig ist.

Hier der Link zur Vorstellung (bei Amazon ist es etwas billiger :
https://shop.reiner-sct.com/authenticat ... henticator

Und da ich dabei auch ne Möglichkeit sehe Keyweb werbetechnisch mit ins Boot zu holen .. wäre vllt das Keyweb Logo auf der folgenden Seite sicher auch angebracht Was die Server betrifft auf jeden Fall. Und wer weiß .. vllt noch bei anderen Dingen.
https://authenticator.reiner-sct.com/de/apps/

[Jolinar]

Rein aus sportlicher Neugier...

Worin siehst du den Vorteil eines solchen Geräts gegenüber einer Auth-App auf einem Smartphone?

[mrbird]

Da mein Handy öfter außerhalb des Büros liegt und ich das Gerät mit im Schreibtisch rumliegen habe. Hab da zwar noch ein älteres Smartphone liegen .. was aber meist entladen ist Ich finde es auch bequemer die Sachen sozusagen zu trennen da es nur diesem Zweck dient.

Allerdings bin ich jetzt auf ein Manko gestoßen .. bzgl der Kontennamen im Gerät. Da ist der Hersteller irgendwie komisch. Es gibt zwar "Lösungen" die eher Not-OPs sind .. aber ich versuch mich da mal dran.

[ShortSnow]

Hi, ich benutze Yubikey in Verbindung mit dem YubikeyAuthentificator (Software für Desktop/Handy).

Da ist alles auf dem Key und ich brauche den nur per NFC ans Handy halten oder in den PC stecken.

Genial wäre noch wenn Keyhelp den direkt unterstützen würde.

Gruß Arne

[mrbird]

Ja. Ich denke auch .. es ist letztlich egal was man nutzt. Vielleicht kann man hier nochmal Off Topic die ganzen Möglichkeiten und Erfahrungen durchsprechen weil das Thema immer wichtiger wird.

[mrbird]

Hi, ich benutze Yubikey in Verbindung mit dem YubikeyAuthentificator (Software für Desktop/Handy).

Welchen Yubikey nutzt du?

[ShortSnow]

Hi, den YubiKey NEO von 2016. Immer am Schlüsselbund und läuft.

Ich würde jetzt einen aus der 5er Serie nehmen.

Gruß Arne

[Alexander]

Genial wäre noch wenn Keyhelp den direkt unterstützen würde.

Ich hab die Dinger schon hier rumliegen, wenn Debian 9 LTS nicht mehr unterstützt werden muss (das kommende Update ist voraussichtlich das Letzte für Debian 9), kann's losgehen. Wenn ich es auch noch für Debian 9 einbauen müsste, müsst ich diverse Verrenkungen im Code einbauen, das möchte ich nicht, von daher dauert's noch ein wenig.

(YubiKey 5 NFC + YubiKey 5Ci)

[ShortSnow]

Genial wäre noch wenn Keyhelp den direkt unterstützen würde.

Ich hab die Dinger schon hier rumliegen, wenn Debian 9 LTS nicht mehr unterstützt werden muss (das kommende Update ist voraussichtlich das Letzte für Debian 9), kann's losgehen. Wenn ich es auch noch für Debian 9 einbauen müsste, müsst ich diverse Verrenkungen im Code einbauen, das möchte ich nicht, von daher dauert's noch ein wenig.


IMG_20220317_170632.jpg
(YubiKey 5 NFC + YubiKey 5Ci)

Super. Das wäre klasse. Viel Erfolg

[24unix]

Da mein Handy öfter außerhalb des Büros liegt und ich das Gerät mit im Schreibtisch rumliegen habe.

Also ich habe dafür das in der Menüleiste:

https://apps.apple.com/de/app/otp-manager/id928941247

Für Sachen, wo ich es nutzen muss.

Ich käme nie auf die Idee, so etwas freiwillig zu verwenden, man muss sich das Leben doch nicht zusätzlich schwerer machen als nötig.

Wenn ich so eine LogIn-Paranoia hätte würde ich das WebInterface auf die IP meines LAN beschränken.

[mrbird]

Hi, den YubiKey NEO von 2016. Immer am Schlüsselbund und läuft.

Ich würde jetzt einen aus der 5er Serie nehmen.

Danke für den Tipp.

Ich hab noch so nen Yubico FIDO2 U2F Security Key ohne NFC. Weil ich als "alter" Mann immer an die Macht der Kabel geglaubt habe
Schau mir das Ding mal im Original an.

[mrbird]

Da mein Handy öfter außerhalb des Büros liegt und ich das Gerät mit im Schreibtisch rumliegen habe.

Also ich habe dafür das in der Menüleiste:

https://apps.apple.com/de/app/otp-manager/id928941247

Für Sachen, wo ich es nutzen muss.

Ich käme nie auf die Idee, so etwas freiwillig zu verwenden, man muss sich das Leben doch nicht zusätzlich schwerer machen als nötig.

Wenn ich so eine LogIn-Paranoia hätte würde ich das WebInterface auf die IP meines LAN beschränken.

Danke für den Tipp
Ich probier die App mal aus. Allerdings muss ich dabei schauen ob ich es dann auch mit dem Windows PC nutzen kann. Steht zwar da Desktop .. aber ich vermute da natürlich nen Apple. Mal sehen ob das mit der ICloud App unter Windows Sinn macht.

Naja. Ich geb ja zu. Nicht nur die beschriebene Notwendigkeit bringt mich dazu .. man(n) ist ja auch irgendwie immer ein Spielekind Schwerer wirds damit nur am Anfang. Für mich ist dabei auch wichtig Erfahrungen zu sammeln und bei gewissen Sachen dran zu bleiben.

Ich komme ja sonst über meinen Localhost Server auf dem ich einfach ein Formular liegen habe auf meine Server direkt rein. Server XYZ Login Button klicken und schon bin ich drin. Dh brauch da ohne 2FA normal auch nicht mal was einzugeben. Hatte aber wegen anderer Konten .. Paypal .. Office usw das Dingens eh getestet und da lag der Server ja nahe

Und wenn Keyweb mit unter verwendbare Apps stehen würde schadets natürlich auch niemand ...

[24unix]

Solange noch ein Windows im Netz ist würde ich mir über 2FA keine Gedanken machen … da gibt es wichtigere Baustellen.

[Jolinar]

Dann werfe ich mal noch eine ganz andere Option in den Raum...

Was wäre denn, wenn das Panel eine zertifikatbasierte Authentifizierung anbieten würde?
Wer früher mal Zertifikate von Startcom bezogen hat, wird sich sicher noch dran erinnern...Während der Registrierung bei denen wurde im Browser ein Auth Cert installiert und wenn man dann die Webseite aufgerufen hatte, war man ohne zusätzliches Login in seinem persönlichen Bereich.

Ich empfinde einen solchen Weg der Authentifizierung effizient und bequem und vom Programmieraufwand dürfte das auch überschaubar sein.
Bonus: Das wäre ein Alleinstellungsmerkmal, was AFAIK kein anderes Panel zu bieten hat.

[mrbird]

Solange noch ein Windows im Netz ist würde ich mir über 2FA keine Gedanken machen … da gibt es wichtigere Baustellen.

Ich hab das jetzt fast vorausgesehen
Arbeite aber auch daran. Mich hat ja nur jahrelang dieser Aufkleber an Autos von mir bekannten Deppen abgehalten mich mit dem angefressenen Apfel auseinander zu setzen Nachdem ich Smartphone und Tablet-technisch bereits den Sprung gemacht habe wird das andere sicher auch folgen. Mir gefällt zwar nicht alles .. aber es ist alles irgendwie "runder" vom Zusammenspiel. Was mich bei anderen Konstellationen schon viele Nerven gekostet hat.