Willkommen im User-Forum von mailbox.org
 

Nitrokey Pro (firmware 8) und Mailboxorg: 2 factor mit TOTP gehtleider nicht.

9133442 hat dies geteilt, 2 Wochen her
veröffentlicht

Es wurden mehrere Beiträge geschrieben, ich habe allerdings ein Problem mit TOTP und Nitrokey Pro.

Erst mal Infos für Leidensgenossen. Ihr müsst den Secret Key in der App (seed bei mailbox.org) auf Hexadezimal umstellen. Dann könnt ihr aber trotzdem nicht den Pro für mailboxorg zum erstellen des Seeds benutzen, denn der erstellt eine 80 stelligen Seed, zu lang für mailboxorg. Also müsst ihr den Seen in mailboxorg erstellen.

Und nun kommt das Problem:

wenn ich diese tue e.g. TOTP mit 8 bit 30 sec sha256 dann kann ich Problemlos den Token erstellen, den Seed exportieren und im nitrokey pro speichern.

Ich speichere den Token auch auf mailbox org und nun

PIN festlegen, dann den Token aktivieren und "andere generatoren" für den Rest OTP Webinterface und andere Service Password.

Nun, ausloggen und .... du bist ausgesperrt.

Denn wenn ich nun meine Hauptadresse eingebe und als Password den Pin, müsste die Webseite wenn ich das richtig verstehe, mich weiterleiten und den 2 Faktor (das einmal Password erstellt von meinem Nitrokey pro) erfragen, ich gebe den ein und bin autorisiert. Tut sie aber nicht.

Der Nitrokey liefert das einmal Password auch korrekt, kopiert es in die Ablage, aber:

mit PIN kommt: Password falsch

Also mache ich es vielleicht verkehrt herum? Erst das Einmalpassword, dann den PIN? Aber wenn ich das Einmalpassword eingebe kommt: password falsch.

Finde den Fehler?

Kommentare (6)

Foto
1

Mit 2FA musst du in das Passwort Feld zuerst die PIN und direkt danach das Einmalpasswort eigenen. Also wenn deine Pin 4711 und das generierte Passwort 123456 ist, musst du 4711123456 eingeben.

Das ganze ist hier beschrieben:

https://userforum.mailbox.org/knowledge-base/article/zwei-faktor-authentifizierung

Zugegebenermaßen habe ich das zuerst auch falsch verstanden und musste die Suche bemühen :)

Foto
1

Ich kann bestätigen: mit Nitrokey Pro und auch mit genau dieser Vorgehensweise funktioniert F2A NICHT. Token TOTP 8, 256, 30 sec, Seed kopiert in den nitrokey (als TOTP) (Hexadecimal) und gespeichert. One time password wird vom key geliefert. Toke IST aktiviert in mailbox.org. Die Emailaddresse IST die Primäradresse. Der Pin ist gesetzt.

Probe mit anderem browser in dem keine passwörter gespeichert sind:

a) PIN - ohne Leerzeichen gleich das OTP. Als Adresse die pimäradresse@mailbox.org

Falsches Passwort (geht nicht)

b) PIN - ohne Leerzeichen, dann das OTP. Als Adresse die pimäradresse (ohne @mailbox.org)

Falsches Passwort (geht nicht)

Es bleibt nur das zurücksetzen. Also die 2FA mit Nitrokey Pro geht weder mit selbst hergestellten Schlüssel (zu lang) noch mit in mailbox org hergestellten und importierten Schlüssel. Die Kombination von PIN2FA wird nicht erkannt. Jedenfalls nicht mit Nitrokey pro.

Foto
1

Das ist nicht das was ich erwartet habe, als ich im September den Nitrokey Pro gekauft habe!

Es war zu lesen, das dieser Key unterstützt wird. Das ich nun den Seed von mailbox.org verwenden muss um die 54 Euro nicht verbrannt zu haben finde ich sehr schade.

Foto
2

Wir schauen uns das gerne alsbald an.

Ich bitte um Verständnis, daß wir zum jetzigen Zeitpunkt drei Tage vor dem Relaunch keine Zeit haben, uns damit zu befassen und wir auch nach dem Relaunch einige Zeit benötigen, bis alle Nacharbeiten erledigt sind und wir wieder Grundsatzfragen klären können.

Foto
1

Lieber Peer.

Ich verstehe das! Wenn ich nicht an euch glauben würde, würde ich kein Geld bezahlen um bei euch Kunde zu sein.

In diesem Sinne: gutes gelingen!

Foto
1

Ich habe eine Lösung des Problems (gefunden mit den Machern von Nitrokey).

Grundlage: der Import des Seeds von mailboxorg funktioniert mit dem Nitrokey Pro zwars, das TOTP password das er liefert erlaubt aber kein Login.

Der Token den der Nitrokey pro erstellt, ist zwar 8 bit und 30 Sekunden, der Nitrokey Pro stellt aber einen TOTP her, der in der Länge 80 hexdezimale Stellen hat, und Mailboxorg akzeptiert (wahrscheinlich wegen der Hardwarelimitierung des Yubikeys) nur 64 Stellen. Folglich kommt dann eine Fehlermeldung.

Lösung:

Den Token erstellt man im Nitrokey Pro. Einstellung der App TOTP Hexadecimal 8 Ziffern, 30 Sekunden.

Noch NICHT speichern. Das Password auf Hexadecimal einstellen und von vorne anfangend, 64 Stellen zählen. Den Rest einfach "händisch" löschen.

Diesen Seed kopieren (Knopf in der App) und dann speichern. In Mailboxorg in Einstellungen:

OTP

Auswählen OTP yubikey und andere Generatoren,

PIN vergeben, TOTP unten auswählen, dort Seed importieren wählen, hier einfach Paste des vorher in die Ablage kopierten seeds. (Nicht vergessen am Ende des Vorgangs auch die Ablage ganz zu löschen!)

OK drücken, der Seed ist jetzt gespeichert und der Token erscheint in der Liste.

Jetzt noch nicht(!) beenden sondern:

Token aktivieren drücken, den Token auswählen und OK.

Jetzt ist der Token aktiviert, der PIN ist ja gesetzt, jetzt "Anfrage absenden".

Ausloggen, jetzt spätestens die Ablage löschen.

Beim Menue des Nitrokey erscheint die Stimme e.g. Mailboxorgtotp (euer vergebener Name um klar zu sein, was immer er auch ist).

Auswählen und das TOTP wird in die Ablage kopiert.

Mailboxorg aufmachen.

Als Adresse die Hauptadresse.

Jetzt im Password Feld: PINUNDOHNELEERSTELLEHIERDASTOTPGLEICHDRANHÄNGEN.

Return und ihr seid drin.

In einer zukünftigen Version wird man die Länge des Token die der Nitrokey erstellt wählen können.