Willkommen im User-Forum von mailbox.org
 

Zum Verständnis: Weblogin mit HOTP - Sicherheit?

3366258 hat dies geteilt, 56 Tage her
unbeantwortet

Hallo,

ich möchte für den Fall, dass ich keinen Zugriff auf meine OTP-App habe, HOTP-Codes als Backup erstellen.

Zum Login in den Webmailer brauche ich ja die 4-stellige selbstgewählte PIN + den 6-stelligen Code aus der App oder aus einer selbst erstellten HOTP-Liste.

Die Sicherheit bei der ersten Methode ist relativ gesichert durch den Zeitfaktor, ein Angreifer hätte nur 30 Sekunden um sich den passenden Code zu errechnen.

Bei der HOTP-Methode sehe ich aber nun ein großes Sicherheitsproblem, da der Angreifer unbegrenzt Zeit hat, ein nur 10-stelliges Passwort (4 Stellen PIN + 6 Stellen HOTP) zu errechnen. Nach meinem derzeitigen Verständnis wäre das also genauso unsicher wie jede andere Anmeldung ohne 2FA, und das bei einem wie o.g. "schwachen" Passwort.

Mache ich da einen Denkfehler?

Kommentare (1)

Foto
1

Ich hatte die Frage gesehen, aber gehofft, es meldet sich jemand, der sich damit auskennt. ;-)

Einen ähnlichen Gedankengang hatte ich auch, Absicherung bei Verlust des TOTP/Gerätes über zweiten Token.

HTOP ereignisbasiert, was i.R. über einen Zähler der auf beiden Seiten synchron laufen muss realisiert wird, ist in Verbindung mit dem generierten Passwortteil schon deutlich über einem "schwachen" Passwort. Es empfiehlt sich deshalb HTOP zur Initialisierung mal zu verwenden, bevor man es sich zum Backup weglegt. Falls man das überhaupt so machen möchte und dann nicht gleich den TOTP Token sich irgendwo sichert.

Folgendes fand ich dazu interessant:https://userforum.mailbox.org/topic/wie-lange-sind-hotp-tokens-gueltig

Dort ist auch das RFC4226 dazu verlinkt.