2FA im CCP

  • Hallo alle,


    ich habe gestern eine Supportanfrage gestellt, und die Umsetzung von 2FA im CCP kritisiert.

    Was mir konkret nicht gefällt sind folgende Punkte:

    • Einrichtung eines alternativen zweiten Faktors nicht möglich
    • Keine U2F (z.B. Yubikey) unterstützung
    • Keine (sonst bei OTP üblich) "Backupcodes" bei

    Als Antwort kam, dass ich (was ich auch vorher schon getan hatte) das OTP-Secret irgendwo aufheben soll um im Falle eines Verlustes des zweiten Faktors OTP neu einrichten zu können.


    Mich stellt die Antwort nicht wirklich zufrieden, ich finde dass es 2021 durchaus angemessen ist zumindest U2F oder SMS für die 2FA anzubieten.


    Gibt es hier vielleicht Leute die eine Ähnliche Meinung haben?


    Den Mailthread hänge ich mal an.


    Cheers

    Felix

  • Noch behäbiger ist eigentlich nur, dass sich die Session nicht gemerkt wird, wenn man einen neuen Tab aufmacht und das CCP aufruft. Wenn das anders wäre, müsste man den 2. Faktor vielleicht wenigstens nicht so oft eingeben. Man darf dann aber immer neu den Login füttern.


    Wenn ich mich im besagten neuen Tab aber mit Account B einlogge, bin ich danach trotzdem mit Account A drin (!), mit dem ich bereits vorher in dem älteren Tab eingeloggt war...

  • Als Antwort kam, dass ich (was ich auch vorher schon getan hatte) das OTP-Secret irgendwo aufheben soll um im Falle eines Verlustes des zweiten Faktors OTP neu einrichten zu können.

    Das ist in der Regel der Weg, ein Backup für OATH-TOTP anzulegen. Bei TOTP kennen Client und Server dasselbe Geheimnis, von dem (mit ein paar anderen Parametern wie der aktuelle Zeiten) das Einmalpasswort abgeleitet wird. Wenn man sich ein Backup erstellen will, muss man „nur“ dieses Geheimnis aufbewahren, was oft als QR-Code präsentiert wird.


    "Backup-Codes" müssen eben auch wieder im Klartext auf dem Server gespeichert werden. Das ist keine schöne Variante.


    Keine U2F (z.B. Yubikey) unterstützung

    U2F gilt bei Webapplikationen bereits als veraltet. WebAuthn (aka FIDO2) ist der aktuelle Stand. Das hat diverse Vorteile, unter anderem muss im Gegensatz zu OATH-TOTP kein Geheimnis auf Serverseite gespeichert werden. Aber auch bei WebAuthn gibt es keinen standardisierten Ansatz, Backups zu erstellen (siehe https://github.com/Yubico/webauthn-recovery-extension).


    SMS-basierte Einmalpasswörter sind grundsätzlich unsicherer, aufgrund verschiedener Angriffsszenarien, die es so bei OATH-TOTP nicht gibt. Meiner Meinung nach sollte man das nicht anstreben.

  • Als Antwort kam, dass ich (was ich auch vorher schon getan hatte) das OTP-Secret irgendwo aufheben soll um im Falle eines Verlustes des zweiten Faktors OTP neu einrichten zu können.

    lol das sollte man normal idealerweise eben NICHT machen, da man zwischen einem geklauten secret und dem main nicht unterscheiden kann. wenn ein backupcode bspw genutzt wird, kann man eine mail oder so rauswerfen um den user zu informieren


    und ja ich wäre auf für U2F oder noch besser FIDO2. kundennummer und dann halt stick mit FP oder PIN (und für die faulen gern optional RKs aber nicht pflicht)


    U2F gilt bei Webapplikationen bereits als veraltet. WebAuthn (aka FIDO2) ist der aktuelle Stand. Das hat diverse Vorteile, unter anderem muss im Gegensatz zu OATH-TOTP kein Geheimnis auf Serverseite gespeichert werden. Aber auch bei WebAuthn gibt es keinen standardisierten Ansatz, Backups zu erstellen (siehe https://github.com/Yubico/webauthn-recovery-extension).

    ich denke man muss das jetzt nicht ganz so sehen. ich verstehe modernerweise U2F im sinne von "WebAuthn ohne UV" und damit kompatibel zu U2F sticks, webauthn kann viel und deswegen ist der begriff allein etwas undeutlich und ja U2F-JS sollte man nicht unbedingt nutzen.


    Aber auch bei WebAuthn gibt es keinen standardisierten Ansatz, Backups zu erstellen

    inzwischen kann man selbst bei twitter mehrere sticks registrieren. und ansonssten codes zum ausdrucken als backup.