Skip to content

Abmeldung/Deaktivieren von OTP für mein.manitu.de

Ich möchte Euch gerne in die interne Entwicklung von OTP für mein.manitu.de, u.a. ausgelöst durch diesen Kommentar (danke Philipp!), einbeziehen.

Davon ausgehend, dass die Session (und damit der Login) zu mein.manitu.de endet, sobald der Browser geschlossen wird (der Tab genügt nicht!): Wie würdet Ihr es euch wünschen, was nötig ist, um OTP wieder zu deaktivieren:

1. nur, wenn man nochmal einen Code eingibt
2. auch ohne, dass man nochmal einen Code benötigt

Es gibt für beide Varianten Pro- und Contra-Argumente. Ich werfe bewusst nichts von unseren internen hier rein, um die Meinungsbildung nicht zu beeinflussen.

Über rege Kommentierung würde ich mich sehr freuen!

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

debe

Da man für den Login schon einmal OTP verwenden musste, sollte das Geraffel bereitliegen - die Hürde, es mit zweitem Token wieder abzuschalten (wenn es dafür einen Grund gibt) ist also nicht hoch.

Andersherum finde ich es eher gefährlich: Wenn jemand irgendwie eine Sitzung kapert (z.B. einen Laptop übernimmt, auf dem noch eine offene Browser-Sitzung existiert), kann er die Sicherheit reduzieren, ohne die Hürde einer zweiten Autorisierung im Weg zu haben. Das gefällt mir nicht so, das finde ich unlogisch.

Natürlich muss man die Kirche im Dorf lassen. Was passiert denn, wenn ein Kunde anruft und sagt, er hat keine Zugriff mehr auf den zweiten Faktor - oder sein Passwort vergessen? Ich vermute, dass Manitu hier interne Prozesse, Kontrollmassnahmen etc. hat, aber notwendigerweise gibt es hier die Möglichkeit, OTP-Pflicht zu deaktivieren, ohne dass OTP verwendet wird. Wenn diese Hürde nicht hoch (genug) ist, kann man auch auf OTP-zum-Deaktivieren verzichten...

Manuel Schmitt

Die Frage ist: Wenn jemand die Session kapert, würde er vermutlich als erstes Zugriff auf die Server oder das Webhosting haben wollen, und nicht das OTP deaktivieren - oder?

debe

Oder das OTP deaktivieren, ein neues Passwort vergeben (das geht dann auch nur per OTP-Bestätigung, wenn OTP aktiv ist, oder?) und in Zukunft in aller Ruhe Unfug treiben...

Natürlich ist es immer doof, wenn jemand eine Sitzung missbrauchen kann - noch blöder ist es aber, wenn er sich die Berechtigungen dann dauerhaft sicher kann, und gerade das sollte ja mit OTP ausgeschlossen sein.

Johannes

ich würde dem User zumindest eine eMAil schreiben, dass OTP ausgestellt wurde und es dafür ohne Code anbieten.

Andreas Krauß

Generell bin ich ein großer Freund von OTP. Die wichtigsten Funktionen, wie z.B. Passwort ändern, OTP deaktivieren, Server/Hosting löschen gerne nur mit OTP - auch wenn ich im Moment kein Kunde bin;)

Simon

Imho muss vor dem Abschalten von OTP ein Token abgefragt werden, weil sonst das Ziel von OTP nicht erreicht wird, evt. sollte man sogar sicherstellen, dass es kein Token ist, das bereits zum Login benutzt wurde.

Es geht ja vor allem darum vor Phishing und Man-in-the-middle-Angriffen zu schützen indem die Zugangsdaten alleine wertlos werden. Wenn jetzt ein Angreifer die Zugangsdaten sowie das zum Login genutzte Token kennt, ist es möglich, dass er auch die Möglichkeit hat die Session zu nutzen und OTP abzuschalten. Daher sollte unbedingt ein weiteres (späteres) Token abgefragt werden damit ein Angreifer den OTP-Schutz nicht unterlaufen kann.

P.S. Das Theme vom Blog ist sehr unfreundlich zu dunklen GTK-Themes, weil es für die Formularfelder nur eine dunkle Schriftfarbe festlegt, nicht aber den hellen Hintergrund. Und schwarz auf dunkelgrau ist schwee zu lesen. ;)

Simon

Was mir gerade noch so auffällt: eigentlich sollte das auch für das hinzufügen von neuen Telefonnummern gelten.

Wir werden wohl weiter SMS benutzen, das ist zwar nerviger aber funktioniert für Teams besser (schließlich gibt es ja nur einen Authenticator-Key während sich Handynummern einfach hinzufügen oder streichen lassen). Dazu noch eine Idee: wenn es möglich wäre zu jeder Handynummer eine Bezeichnung für die zu hinterlegen (also bspw. den Namen des Besitzers der Nummer) wäre das für die Verwaltung der Nummern sehr hilfreich.

Alphager

Ich hätte lieber U2F-Unterstützung als TOTP (und dann in der Variante mit mehreren gleichzeitig registrierten USB-Keys).

Was das Abfragen von 2FA angeht:

Ich finde die Variante, die Google anbietet, ziemlich gut: Beim ersten Einloggen auf einem Gerät muss man 2FA angeben und kann dabei auswählen, ob dem Gerät dauerhaft vertraut werden soll oder eben nicht. Wenn man dem Gerät vertraut benötigt man das 2FA nur noch bei sicherheitskritischen Usecases (ganz vorne mit dabei: 2FA abstellen, Passwort ändern). Für m.m.de würde ich alles, was nicht nur lesend passiert, als sicherheitskritisch einstufen und ein 2FA verlangen; ich tendiere aber auch eher zur Sicherheits-Seite bei der Usability vs. Sicherheit Debatte.

Manuel Schmitt

Das Dekativieren von OTP via Google Authenticator mit einem aktuellen Code ist seit heute implementiert, der hier in den Kommentaren vorgeschlagene "Rest" kommt demnächst.

Kommentar schreiben


Wichtiger Hinweis: Wer hier aus SEO- oder anderen Werbe-Gründen auf eine kommerzielle Seite verlinkt,
geht einen Vertrag über kostenpflichtige Werbung ein. Konditionen und weitere Hinweise.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen