Willkommen im User-Forum von mailbox.org
 

Zum Verständnis: Weblogin mit HOTP - Sicherheit?

3366258 hat dies geteilt, 5 Monaten her
unbeantwortet

Hallo,

ich möchte für den Fall, dass ich keinen Zugriff auf meine OTP-App habe, HOTP-Codes als Backup erstellen.

Zum Login in den Webmailer brauche ich ja die 4-stellige selbstgewählte PIN + den 6-stelligen Code aus der App oder aus einer selbst erstellten HOTP-Liste.

Die Sicherheit bei der ersten Methode ist relativ gesichert durch den Zeitfaktor, ein Angreifer hätte nur 30 Sekunden um sich den passenden Code zu errechnen.

Bei der HOTP-Methode sehe ich aber nun ein großes Sicherheitsproblem, da der Angreifer unbegrenzt Zeit hat, ein nur 10-stelliges Passwort (4 Stellen PIN + 6 Stellen HOTP) zu errechnen. Nach meinem derzeitigen Verständnis wäre das also genauso unsicher wie jede andere Anmeldung ohne 2FA, und das bei einem wie o.g. "schwachen" Passwort.

Mache ich da einen Denkfehler?

Kommentare (3)

Foto
1

Ich hatte die Frage gesehen, aber gehofft, es meldet sich jemand, der sich damit auskennt. ;-)

Einen ähnlichen Gedankengang hatte ich auch, Absicherung bei Verlust des TOTP/Gerätes über zweiten Token.

HTOP ereignisbasiert, was i.R. über einen Zähler der auf beiden Seiten synchron laufen muss realisiert wird, ist in Verbindung mit dem generierten Passwortteil schon deutlich über einem "schwachen" Passwort. Es empfiehlt sich deshalb HTOP zur Initialisierung mal zu verwenden, bevor man es sich zum Backup weglegt. Falls man das überhaupt so machen möchte und dann nicht gleich den TOTP Token sich irgendwo sichert.

Folgendes fand ich dazu interessant:https://userforum.mailbox.org/topic/wie-lange-sind-hotp-tokens-gueltig

Dort ist auch das RFC4226 dazu verlinkt.

Foto
1

Ja, das ist doch sehr seltsam. Ich verstehe das Prinzip nicht.

So hat man doch eigentlich nur ein Passwort aus 10 Zahlen. Sicher, dieses Passwort ändert sich nach jedem Login, aber wenn die Logins nicht alle paar Minuten passieren, dann wäre eine Bruteforceattacke hier sehr schnell erfolgreich. Wo ist der Denkfehler?

Ich habe so zwanzig absichtlich falsche Passwörter eingegeben und dann das OTP, das eben dran ist. Funktioniert.

Vielleicht ist die maximale Anzahl der Fehlversuche pro Ereignisnummer des OTP Grundlage?

Ratlos...

Foto
1

Wenn Bruteforce möglich wäre, was ich nicht glaube, nach 100 Requests in einer Sekunde oder so wird da sicher der Server zu machen, dann halte ich beide Methoden für unsicher mit 4 Stelliger Pin + 6 Zahlen. Die Zahlen werden bei OTP zwar alles 30 Sekunden neu erstellt, aber es kann ja trotzdem zur zufälligen Kollision kommen.

In der Praxis wird das daher alles passen bei Mailbox.

Ich bin selbst mit der 4 stelligen Pin + 6 Stellen 2fa aber auch extrem unzufrieden und denke langsam ans wechseln. Denn wenn der zweite Faktor kompromittiert ist, schützt nur noch ein 4 stelliger Pin.

Auch das wird in der Praxis reichen. Aber warum soll man das Risiko nicht noch um einige Potenzen weiter senken? Gerade ausreichend finde ich einfach unbefriedigend wenn man ein hohes Sicherheitsbedürfnis hat.