Freitag, 24. August 2018, 11:43
Abmeldung/Deaktivieren von OTP für mein.manitu.de
Ich möchte Euch gerne in die interne Entwicklung von OTP für mein.manitu.de, u.a. ausgelöst durch diesen Kommentar (danke Philipp!), einbeziehen.
Davon ausgehend, dass die Session (und damit der Login) zu mein.manitu.de endet, sobald der Browser geschlossen wird (der Tab genügt nicht!): Wie würdet Ihr es euch wünschen, was nötig ist, um OTP wieder zu deaktivieren:
1. nur, wenn man nochmal einen Code eingibt
2. auch ohne, dass man nochmal einen Code benötigt
Es gibt für beide Varianten Pro- und Contra-Argumente. Ich werfe bewusst nichts von unseren internen hier rein, um die Meinungsbildung nicht zu beeinflussen.
Über rege Kommentierung würde ich mich sehr freuen!
Davon ausgehend, dass die Session (und damit der Login) zu mein.manitu.de endet, sobald der Browser geschlossen wird (der Tab genügt nicht!): Wie würdet Ihr es euch wünschen, was nötig ist, um OTP wieder zu deaktivieren:
1. nur, wenn man nochmal einen Code eingibt
2. auch ohne, dass man nochmal einen Code benötigt
Es gibt für beide Varianten Pro- und Contra-Argumente. Ich werfe bewusst nichts von unseren internen hier rein, um die Meinungsbildung nicht zu beeinflussen.
Über rege Kommentierung würde ich mich sehr freuen!
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
debe
Andersherum finde ich es eher gefährlich: Wenn jemand irgendwie eine Sitzung kapert (z.B. einen Laptop übernimmt, auf dem noch eine offene Browser-Sitzung existiert), kann er die Sicherheit reduzieren, ohne die Hürde einer zweiten Autorisierung im Weg zu haben. Das gefällt mir nicht so, das finde ich unlogisch.
Natürlich muss man die Kirche im Dorf lassen. Was passiert denn, wenn ein Kunde anruft und sagt, er hat keine Zugriff mehr auf den zweiten Faktor - oder sein Passwort vergessen? Ich vermute, dass Manitu hier interne Prozesse, Kontrollmassnahmen etc. hat, aber notwendigerweise gibt es hier die Möglichkeit, OTP-Pflicht zu deaktivieren, ohne dass OTP verwendet wird. Wenn diese Hürde nicht hoch (genug) ist, kann man auch auf OTP-zum-Deaktivieren verzichten...
Manuel Schmitt
debe
Natürlich ist es immer doof, wenn jemand eine Sitzung missbrauchen kann - noch blöder ist es aber, wenn er sich die Berechtigungen dann dauerhaft sicher kann, und gerade das sollte ja mit OTP ausgeschlossen sein.
Johannes
Andreas Krauß
Simon
Es geht ja vor allem darum vor Phishing und Man-in-the-middle-Angriffen zu schützen indem die Zugangsdaten alleine wertlos werden. Wenn jetzt ein Angreifer die Zugangsdaten sowie das zum Login genutzte Token kennt, ist es möglich, dass er auch die Möglichkeit hat die Session zu nutzen und OTP abzuschalten. Daher sollte unbedingt ein weiteres (späteres) Token abgefragt werden damit ein Angreifer den OTP-Schutz nicht unterlaufen kann.
P.S. Das Theme vom Blog ist sehr unfreundlich zu dunklen GTK-Themes, weil es für die Formularfelder nur eine dunkle Schriftfarbe festlegt, nicht aber den hellen Hintergrund. Und schwarz auf dunkelgrau ist schwee zu lesen.
Simon
Wir werden wohl weiter SMS benutzen, das ist zwar nerviger aber funktioniert für Teams besser (schließlich gibt es ja nur einen Authenticator-Key während sich Handynummern einfach hinzufügen oder streichen lassen). Dazu noch eine Idee: wenn es möglich wäre zu jeder Handynummer eine Bezeichnung für die zu hinterlegen (also bspw. den Namen des Besitzers der Nummer) wäre das für die Verwaltung der Nummern sehr hilfreich.
Alphager
Was das Abfragen von 2FA angeht:
Ich finde die Variante, die Google anbietet, ziemlich gut: Beim ersten Einloggen auf einem Gerät muss man 2FA angeben und kann dabei auswählen, ob dem Gerät dauerhaft vertraut werden soll oder eben nicht. Wenn man dem Gerät vertraut benötigt man das 2FA nur noch bei sicherheitskritischen Usecases (ganz vorne mit dabei: 2FA abstellen, Passwort ändern). Für m.m.de würde ich alles, was nicht nur lesend passiert, als sicherheitskritisch einstufen und ein 2FA verlangen; ich tendiere aber auch eher zur Sicherheits-Seite bei der Usability vs. Sicherheit Debatte.
Manuel Schmitt