Google Authenticator, Authy, Microsoft Authenticator, oder was immer sonst so TOTP macht ist nützlich, wenn man ein Privatanwender ist und gegenüber seinem Privataccount 2FA machen möchte.
Auch der Sync ist nützlich, weil es enorm schwierig ist, eine Account zurück zu holen, auf dem 2FA aktiv ist und bei dem man das Paßwort oder den Authenticator Seed vergessen hat.
Das ist genau der Grund, warum Authy oder Google Authenticator die Seeds in die Cloud synchen – damit die Kosten für zum Beispiel
den Verlust eines Mobiltelefons oder eine gescheiterte Migration des Mobiltelefons geringer werden.
In einer Firmenumgebung besteht dieses Problem nie: Wenn ich mein Paßwort oder meinen 2. Faktor verbummele kann ich immer mit dem Helpdesk Kontakt aufnehmen – idealerweise gar physisch vorbei kommen – und meine Identität beweisen und so einen Account Reset verlangen.
Nur bei der eher schwachen Beziehung zwischen einem großen Dienst und einem Privatanwender geht das nicht.
Es ist daher nie notwendig, für einen Firmenaccount TOTP Seeds irgendwo hin zu synchen.
Eigentlich aber ist es auch nie notwendig, für einen Firmenaccount TOTP zu verwenden.
Weil TOTP Codes von allem und jedem erzeugt werden können, beweist die Eingabe eines TOTP-Codes in einer Firmenumgebung recht wenig.
Beispiel:
https://blog.koehntopp.info/2017/07/27/zero-factor-authentication.html
Hier hat eine Firma einen Host ssh.firma.de, in den man sich einloggen muß, um einen signierten 24-Stunden-Key für den Zugang zur Produktion zu bekommen.
Das Login erfordert Username, Paßwort und die Eingabe eines TOTP-Keys, ist also mit 2FA geschützt.
Was wir sehen ist ein Expect-Script, das diesen Dialog automatisiert. Es wartet auf Prompts, und antwortet automatisch mit dem Paßwort und dem TOTP-Seed, das es mit oath-toolkit's oathtool erzeugt hat.
Effektiv haben wir also Null-Faktor-Authentisierung.
Das Script wurde unter dem Namen $HOME/bin/good-morning installiert und hat den User so morgens einmal vollautmatisch geautht.
Für Prod.
Der Hauptzweck des Scriptes war, die betreffende Firma von der Schwäche von TOTP zu überzeugen und flächendeckend physische Yubikeys für Mitarbeiter mit Zugang zu Prod auszurollen.
Das eigentliche System – zeitbegrenzte beschränkte SSH-Keys, die nie persistiert werden – war gut. Der zweite Faktor im Firmenkontext schwach und ein Resultat falscher Pfennigfuchserei.
Der Autor des Scripts hat nach Einsendung des Programms an security@... einen Yubikey erhalten und TOTP wurde global abgeschaltet.
Der Report von Retool und der Kommentar von Golem haben Recht – TOTP ist kein adequates Werkzeug im Firmenkontext.
Das Problem ist aber weniger der Sync, wie Authy und Google Authenticator ihn machen. Das Problem ist, an der Sicherheit auf dem letzten Meter zu knausern und keine Yubikeys auszuteilen, weil jeder ja schon ein Handy hat.
@87c98d39 ich hab das leider schon häufig erlebt, dass Firmen glauben sie seien sicher vor Phishing, weil sie MFA haben. Aus irgendeinem Grund glauben die alle, dass der Nutzer seinen 2. Faktor nicht auf einer Seite eingeben würde, auf der er schon den Ersten eingegeben hat.
@87c98d39 bei uns gab es 2 (in Worten: zwei) Yubikeys für die IT. Die werden nun unter den Kollegen rumgereicht.
Und das auch nur nach endlosen Verhandlungen. Es ist zum Weinen.
Oddbean new post about login | logout