AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Passworte: eierlegende Wollmilchsau gesucht

Ein Thema von Rainer Wolff · begonnen am 10. Aug 2022 · letzter Beitrag vom 13. Aug 2022
Antwort Antwort
Edelfix

Registriert seit: 6. Feb 2015
Ort: Stadtoldendorf
251 Beiträge
 
Delphi 12 Athens
 
#1

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 11. Aug 2022, 11:40
Wenn es simpel bleiben soll dann das Normale Passwort mit aktuellem Datum kombinieren.

Zum Beispiel Tag + Passwort Teil 1 + Monat + Passwort Teil 2 + Jahr.

Oder Das Datum mit fixen Zahlen kombinieren damit das nicht als Datum erkannt wird.
  Mit Zitat antworten Zitat
rabatscher

Registriert seit: 13. Dez 2007
Ort: Bruck an der Mur
77 Beiträge
 
#2

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 11. Aug 2022, 12:25
Fido2 und WebAuthn könnten hier auch ins Spiel gebracht werden.
Ich hab mal kleinere Projekte mit dem Webauthn interface von Microsoft bzw. auch die Fido2.dll von Yubico
gemacht..


check https://github.com/mikerabat/DelphiFido2
  Mit Zitat antworten Zitat
EdAdvokat

Registriert seit: 1. Mai 2016
Ort: Berlin
419 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#3

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 11. Aug 2022, 15:18
in den Beispielen von cnpack findet man ebenfalls ein OTP-Beispiel ähnlich dem von Phoenix

https://github.com/cnpack/cnvcl
Norbert
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.240 Beiträge
 
Delphi 12 Athens
 
#4

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 12. Aug 2022, 08:40
TOTP mit Timestamp ist eine schöne Idee, das stimmt.
Ich gehe aber davon das die "Anlage" nicht unbedingt am Netz hängt oder sonstwie eine genaue Zeit bekommt.

Wie ist in dem TOTP-Standard denn die "Genauigkeit" der Uhrzeit/Datum definiert ?
Ich vermute mal die Uhrzeit kann in einem freilaufenden Windows mal ziemlich abweichen, ich habe sowas hier schon gesehen aber nie getestet.
  Mit Zitat antworten Zitat
rabatscher

Registriert seit: 13. Dez 2007
Ort: Bruck an der Mur
77 Beiträge
 
#5

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 12. Aug 2022, 10:21
Zitat:
Wie ist in dem TOTP-Standard denn die "Genauigkeit" der Uhrzeit/Datum definiert ?
Ich vermute mal die Uhrzeit kann in einem freilaufenden Windows mal ziemlich abweichen, ich habe sowas hier schon gesehen aber nie getestet.
Hier ist eine Beschreibung des "URL" formats - der Url kann
dann in einen QR Code gesteckt werden und der wiederum kann von den Authenticator Apps (goolge oder Microsoft) gelesen werden.

Die Periode lässt sich im URL angeben - Standard ist 30 Sekunden - und soweit ich gesehen habe machen das so ziemlich alle so.
Ausserdem kann man die Anzahl der Digits angeben - Standard ist 6 - auch hier sollte nicht unbedingt am Standard gerüttelt werden.
Diese Periode gibt eigentlich nur an in welchem Inervall sich der Code ändert. Clientseitig kannst du noch definieren welchen "Overlap" du zulässt.
Wir erlauben da ein Window von +- 2min . D.h ein Code ist schlimmstenfalls 5 minuten gültig.

Und... zu beachten gilt noch, dass die Authenticator aps die UTC time zone verwenden

Wenn es jemanden interessiert kann ich einen Teil unseres Sourcodes beisteuern. Er hat allerdings einige 3rd Party Abhängigkeiten (DEC, Indy, Dec, ZXingQR),
die noch hinzugefügt werden müssten.

Geändert von rabatscher (12. Aug 2022 um 10:30 Uhr)
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.240 Beiträge
 
Delphi 12 Athens
 
#6

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 12. Aug 2022, 13:24
Ja danke für die Links, da gibt es auch das schöne Live-Demo.

Die Frage bleibt bei mir aber offen, was wenn kein Internet und Anlage und Handy komplett andere Datetime gesetzt haben ( Offline-Betrieb ).
Z.B. Anlage 11.06.22 14:00 und Handy 12.08.22 17:00

Ich habe das TOTP nicht im Detail gecheckt, aber ich bin aber immer davon ausgegangen das ein Timeserver oder zumindest eine einigermaßen verlässliche, gemeinsame Uhrzeit vorhanden sein muss.
Siehe auch hier mal in einfachen Worten

Vermutlich kann man dann nur noch HOTP mit einem Zähler benutzen, was aber auch Nachteile hat.

Eine Idee wäre der URI einfach die aktuelle Datetime der Anlage mitzusenden, welche dann der Authenticator nutzen kann.
Ich vermute mal mit der offenen Parameterbeschreibung wäre es möglich weitere, kundenspezifische Parameter anzuhängen.

Oder braucht das Handy zum Entschlüsseln die Datetime gar nicht zu wissen ?
  Mit Zitat antworten Zitat
rabatscher

Registriert seit: 13. Dez 2007
Ort: Bruck an der Mur
77 Beiträge
 
#7

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 12. Aug 2022, 13:42
TOTP ist ja Zeitbasiert und naja es ist ja das Ziel den SHA-1 hash mit key und counter zu errechnen wobei counter
Zeitbasiert ist - konkret die Unix UTC Zeit modulo der Periode.
Die "Windowsize" ist ja dazu da um nicht ganz gleich laufende Systeme zu unterstützen aber bei
Stunden wenn nicht Tagen macht das Verfahren ja wenig Sinn.

Also entweder den counter selbst immer um eins hochzählen wenn die Eingabe gemacht wurde oder
evt. noch besser: Einen Fido Key nehmen das ist grad das so ziemlich Sicherste was es gibt.
Das Funktioniert dann auch ganz ohne Passwort bzw. man muss es nur beim Erstellen angeben wenn gewünscht
-> also einstecken, draufdrücken, fertig

Geändert von rabatscher (12. Aug 2022 um 13:44 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.562 Beiträge
 
Delphi 12 Athens
 
#8

AW: Passworte: eierlegende Wollmilchsau gesucht

  Alt 12. Aug 2022, 13:45
Dann kann aber auch ein böser Junge*innen einfach "irgendeine" Zeit mitgeben ... vorzugsweise Die, von der er den Code bereits kennt.

Das ist ja grade der Grund, warum dafür eine externe, nicht beeinflussbare, Zeit verwendet wird.



Andersrum ginge es, also die Authentificator-App bekommt die Zeit vom Server (nicht der Server die Zeit von der App), so lange man den Server als sicher betrachten kann.



Wenn dein Rechner also kein "Internet" hat, dann gib ihm doch einfach eine andere Uhr?
DCF77
Ein Therapeut entspricht 1024 Gigapeut.

Geändert von himitsu (12. Aug 2022 um 13:54 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:06 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz