Willkommen im User-Forum von mailbox.org
 

2 Faktor Authentifizierung generierter Code nutzbar trotz neuem Code

Andre hat dies geteilt, 11 Monaten her
veröffentlicht

Hallo,


ich habe folgendes Problem. Ich habe die 2 Faktor Authentifizierung aktiviert und alles eingerichtet bei FreeOTP, Google Authenticator usw. alles durchprobiert. Es klappt wunderbar mit dem einloggen und nachdem ich den generierten Code verwendet habe kann ich den selben Code ja logischerweise nicht nocheinmal benutzen. Soweit so gut. Jetzt habe ich es aber getestet und habe mehrere Codes bis zu 10 Stück generieren lassen nacheinander da es ja Zeitbasiert läuft und habe mir die Codes notiert. Dann habe ich versucht mich mit den 10 alten Codes einzuloggen nachdem diese ja abgelaufen waren und theoretisch eigentlich ja nichtmehr funktionieren sollten, leider taten sie es aber alle samt...habe ich etwas falsch gemacht? Normalerweise sollte doch jeder Code nur nutzbar sein solang er mir in der App angezeigt wird und nichtmehr Minuten danach?


Auch ereignisbasiert habe ich ausprobiert und das selbe Problem gehabt.


Lieben Gruß

Andre

Kommentare (13)

Foto
1

Hi,


ich habe mich eben per 2Auth angemeldet, wieder abgemeldet und versucht, mich mit gleichem Schlüssel wieder anzumelden - geht nicht.

Foto
1

Hey,


ja das funktioniert ja bei mir auch nicht, einmal benutzt und er ist benutzt und geht kein zweites mal. Aber wenn mir sagen wir 123456 angezeigt wird und ich 5 codes abwarte die dann innerhalb 30 sek ablaufen und ich dann wieder den ersten code 123456 eingebe ohne ihn vorher schon einmal benutzt zu haben komme ich noch immer mit dem code rein.

Foto
1

Ah, ok, probiere ich aus...

Foto
1

Stimmt, kann ich bestätigen.

Foto
1

Das sollte doch so normalerweise nicht sein, oder irre ich mich da?

Foto
1

Ich denke, nicht. Funktioniert z.B. bei Posteo auch nicht.

Foto
1

Was machen wir da jetzt? Warten bis jemand von Mailbox.org aufmerksam wird?

Foto
1

Ich unterstelle jetzt mal, dass die Jungs hier ganz genau mitlesen, also nichts, von wegen "sporadisch" ;-)

Foto
1

Okey :)

Foto
1

Ich habs auch mal probiert, hatte auch mit ein paar'n Erfolg, aber die nummern gehen so nach etwa 10min nicht mehr. Ist wahrscheinlich einfach die grace-period etwas zu lang

Foto
2

Zeitbasierte Token (TOTP) haben einen Gültigkeitszeitraum, in dem sie benutzt werden können. Dabei können auch viele Tokens gleichzeitig erzeugt und in ihrem individuellen Gültigkeitszeitraum verwandt werden. Dieser Gültigkeitszeitraum überlappt sich logischerweise/zwingenderweise auch mit den nachfolgenden Zeiträumen, da zwischen Erzeugung und Eingabe durch den Nutzer natürlich Zeit vergeht. Außerdem sind Uhren (gerade in Desktop-User-PCs) nicht unbedingt immer exakt.


Insofern ist es völlig natürlich und richtig, daß man 10 Tokens nacheinander erzeugen und dann auch noch gesammelt verwenden kann.


Die hier geschilderte Situation ist völlig normal, kein Sicherheitsproblem, kein Fehlverhalten sondern liegt in der Natur der Sache von (zeitbasierten!) Token.

Foto
1

Worin besteht lt. o.g. Aussage dann der Sinn, dass diese Codes in der App ablaufen, aber noch länger aktiv sind?

Foto
1

Die Uhr im server und im Token generator muss nicht auf die sekunde genau gleich gehen. Deswegen gelten die codes für ein paar Minuten statt nur der paar sekunden die sie in der Token app angezeigt werden, sonst würden sie ggf gar nicht passen