Működhet / Használja valaki az F-Droidon elérhető FreeOTP alkalmazással?
Hozzászólások
Az Ügyfélkapu plusz bármilyen TOTP authentikátorral használható.
Maga a TOTP nem egy űrtechnológia, nekem sikerült kb. húsz-harminc sor programkódban implementálnom. A FreeOTP-t nem ismerem, de mivel azt mondják magukról, hogy tudnak TOTP-t, ezért igen erősen merem feltételezni azt, hogy működni fog.
Olyannyira nem, hogy RFC6238, és az "A" melléklete tartalmaz egy referencia implementációt is. Egyébként a TOTP-s alkalmazásokban nem az időfüggő kód generálása a trükkös/problémás, hanem a generáláshoz használt secret tárolása, illetve védelme - amit az alap totp motyók az OS-re/szoftverkörnyezetre bíznak - azaz semmi sem garantálja, hogy 3. fél nem fér hozzá/nem tudja lemásolni...
Működik, csak fikázza a tokent (valószínűleg jogosan :)):
Token is unsafe!
The token you are attempting to add contains
weak cryptographic parameters.
Use of this token is strongly discouraged!
Please alert your token provider.
Cancel
Add anyway
Google: A FreeOTP akkor mondja ezt, ha 128 bitesnél gyengébb (esetünkben: 80 bites) tokent adsz neki. Kompatibilitás: a régebbi authenticator programok nem tudtak 80 bitesnél nagyobbat.
oauthtool csinál ilyen tokeneket Linuxon parancssorból. A lényege az, hogy egy kiinduló kulcstól és a pontos időtől függ, hogy mit ad, és a szerver ellenőrizni tudja, hogy tudtad a kulcsot, de a token az idő lejárta után nem lesz használható. Csak a privát kulcs, az idő és számolási képesség kell hozzá (Esetleg random source? Nem tudom.), bármire meg lehet írni és van is 1000 féle implementáció.
Az oauthtool-t szerintem valahogy lehet a jelszókezelőkbe is integrálni, talán úgy a legegyszerűbb használni. Valaki biztos csinált belőle online alkalmazást is, bepasztázod a kulcsot és ad egy aktuális tokent. Ezzel adhatunk egy nagy pofont a biztonságnak.
> Csak a privát kulcs, az idő és számolási képesség kell hozzá (Esetleg random source? Nem tudom.)
csak a shared secret (sajnos nem asszimetrikus, nincs privat es publikus kulcs kulon) es a timestamp kell neki, semmi mas. szamolni se kell sokat, nem attol lesz biztonsagos, hanem kell DoS vedelem az oldalon, hogy percenkent max 3-5 probalkozast engedjen ugyanazzal az userrel. igy a 6 szamjegyu otp-t kitallani 3 probalkozasa van (ez kb ugyanannyira biztonsagos mint a telefon feloldo pin kodja) utana valtozik a kod es kezdheti elolrol a probalgatast.
> Valaki biztos csinált belőle online alkalmazást is
mindenhol a totp.app websiteot ajanlgatjak hozza, en meg nem probaltam, nem biznek ilyet senki masra
Hozzászólások
Az Ügyfélkapu plusz bármilyen TOTP authentikátorral használható.
Maga a TOTP nem egy űrtechnológia, nekem sikerült kb. húsz-harminc sor programkódban implementálnom. A FreeOTP-t nem ismerem, de mivel azt mondják magukról, hogy tudnak TOTP-t, ezért igen erősen merem feltételezni azt, hogy működni fog.
"Maga a TOTP nem egy űrtechnológia"
Olyannyira nem, hogy RFC6238, és az "A" melléklete tartalmaz egy referencia implementációt is. Egyébként a TOTP-s alkalmazásokban nem az időfüggő kód generálása a trükkös/problémás, hanem a generáláshoz használt secret tárolása, illetve védelme - amit az alap totp motyók az OS-re/szoftverkörnyezetre bíznak - azaz semmi sem garantálja, hogy 3. fél nem fér hozzá/nem tudja lemásolni...
Aegis-szel használom, szintén F-Droidról. Működik, és a FreeOTP-nek is kell, ahogy minden IETF RFC 6238 képes alkalmazásnak.
Az Aegis a legjobb totp app androidra.
Működik, csak fikázza a tokent (valószínűleg jogosan :)):
De tovább lehet nyomni és megy.
Wut, az ügyfélkapu gyenge tokent ad? (Még nem álltam neki, hol van még a határidő?)
Google: A FreeOTP akkor mondja ezt, ha 128 bitesnél gyengébb (esetünkben: 80 bites) tokent adsz neki. Kompatibilitás: a régebbi authenticator programok nem tudtak 80 bitesnél nagyobbat.
Az SHA1 sem segít rajta szerintem :)
Egy 80 bites hash-en, amit második faktorhoz használsz?
oauthtool csinál ilyen tokeneket Linuxon parancssorból. A lényege az, hogy egy kiinduló kulcstól és a pontos időtől függ, hogy mit ad, és a szerver ellenőrizni tudja, hogy tudtad a kulcsot, de a token az idő lejárta után nem lesz használható. Csak a privát kulcs, az idő és számolási képesség kell hozzá (Esetleg random source? Nem tudom.), bármire meg lehet írni és van is 1000 féle implementáció.
Az oauthtool-t szerintem valahogy lehet a jelszókezelőkbe is integrálni, talán úgy a legegyszerűbb használni. Valaki biztos csinált belőle online alkalmazást is, bepasztázod a kulcsot és ad egy aktuális tokent. Ezzel adhatunk egy nagy pofont a biztonságnak.
KeePass tudja. 2 factor, minek is az...
> Csak a privát kulcs, az idő és számolási képesség kell hozzá (Esetleg random source? Nem tudom.)
csak a shared secret (sajnos nem asszimetrikus, nincs privat es publikus kulcs kulon) es a timestamp kell neki, semmi mas. szamolni se kell sokat, nem attol lesz biztonsagos, hanem kell DoS vedelem az oldalon, hogy percenkent max 3-5 probalkozast engedjen ugyanazzal az userrel. igy a 6 szamjegyu otp-t kitallani 3 probalkozasa van (ez kb ugyanannyira biztonsagos mint a telefon feloldo pin kodja) utana valtozik a kod es kezdheti elolrol a probalgatast.
> Valaki biztos csinált belőle online alkalmazást is
mindenhol a totp.app websiteot ajanlgatjak hozza, en meg nem probaltam, nem biznek ilyet senki masra
A FreeOTP-vel vigyázz, mert visszaállíthatatlan mentést csinál. A fejlesztőket nem érdekli.
https://forum.f-droid.org/t/freeotp-ignores-a-critical-known-issue-with-backup-and-restore/2723
https://github.com/freeotp/freeotp-android/issues/410
Én Enpass-t használok, de próbáltam már a totp nevű Firefox kiegészítővel is ...