WorkaholDec 18
PSA for those implementing #rfc6238: READ THE ERRATA! Maybe even before reading the RFC itself. I wasted an entire day chasing my tail because the RFC contained incorrect test vectors.
#IETF #RFC #openSource #programming #totp #hotp
Fedi:Tagestipp/trötDec 14

Die #Mastodon-Serversoftware (möglicherweise auch weitere fediversale Serversoftware) bietet die Möglichkeit, das eigene Login mit einem zweitem Faktor abzusichern.

Zur Sicherheit ein zweiter Faktor (neben dem Paßwort): Der Zugang zum eigenen Konto via Weboberfläche kann mit einem zweiten Faktor abgesichert werden, einem #TOTP (einem zeitbasierten Einmalpaßwort gemäß #RFC6238), was dann beim Login zusätzlich abgefragt wird.

Zu diesem Zweck muß einmalig ein Geheimnis zwischen Dir und Deiner Instanz ausgetauscht werden. Auf Basis dieses Geheimnisses und der aktuellen Zeit wird dann das Einmalpaßwort (eine Ziffernfolge) berechnet, die neben dem Paßwort beim Login eingegeben werden muß.

Hierzu braucht es ein separates Gerät zur Berechnung. Dies kann etwa ein Smartphone mit passender App sein. Gern aus dem Open-Source-Bereich. Außer der lokalen Berechnung des Einmalpaßworts sollte die App nichts im Hintergrund tun... Funktionen für Export und Import sind wichtig bei einem Gerätewechsel.

Beispiel:
Die App "FreeOTP+" für #Android via F-Droid:
https://f-droid.org/de/packages/org.liberty.android.freeotpplus/

FreeOTP+ | F-Droid - Free and Open Source Android App Repository

Verbesserter Fork von FreeOTP - Eine funktionsreiche App zur 2FA-Authentifikatio

Nikka SystemsJan 12, 2024

I veckans poddavsnitt pratar vi om hur tvåfaktorsautentiseringsappen ”2FAS” kan ersätta Authy lagom till när Authy pensionerar Windows- och Mac OS-stödet.

https://www.youtube.com/watch?v=6jwr_msuqrU

#BliSäker #2FA #2FAS #Authy #RFC6238 #TOTP

Podd 232 ”2FAS” börjar utmana Authy-appen

YouTube
Fedi:Tagestipp/trötDec 24, 2023
Die #Mastodon-Serversoftware (möglicherweise auch weitere fediversale Serversoftware) bietet die Möglichkeit, das eigene Login mit einem zweitem Faktor abzusichern.

Zur Sicherheit ein zweiter Faktor (neben dem Paßwort): Der Zugang zum eigenen Konto via Weboberfläche kann mit einem zweiten Faktor abgesichert werden, einem #TOTP (einem zeitbasierten Einmalpaßwort gemäß #RFC6238), was dann beim Login zusätzlich abgefragt wird.

Zu diesem Zweck muß einmalig ein Geheimnis zwischen Dir und Deiner Instanz ausgetauscht werden. Auf Basis dieses Geheimnisses und der aktuellen Zeit wird dann das Einmalpaßwort (eine Ziffernfolge) berechnet, die neben dem Paßwort beim Login eingegeben werden muß.

Hierzu braucht es ein separates Gerät zur Berechnung. Dies kann etwa ein Smartphone mit passender App sein. Gern aus dem Open-Source-Bereich. Außer der lokalen Berechnung des Einmalpaßworts sollte die App nichts im Hintergrund tun... Funktionen für Export und Import sind wichtig bei einem Gerätewechsel.

Beispiel:
Die App "FreeOTP+" für #Android via F-Droid:
https://f-droid.org/de/packages/org.liberty.android.freeotpplus/
FreeOTP+ | F-Droid - Free and Open Source Android App Repository

Verbesserter Fork von FreeOTP - Eine funktionsreiche App zur 2FA-Authentifikatio

Show threadKevin Karhan Apr 28, 2023

@mysk I'd rather recommend to avoid it at all costs and choose a non-proprietary #2FA method like #HOTP (#RFC4226) & #TOTP (#RFC6238)...

Like FreeOTP+ does:
https://f-droid.org/en/packages/org.liberty.android.freeotpplus/

FreeOTP+ | F-Droid - Free and Open Source Android App Repository

Verbesserter Fork von FreeOTP - Eine funktionsreiche App zur 2FA-Authentifikatio

Show threadLisPiFeb 6, 2023

@bhawthorne @0xabad1dea That's largely because they do.

https://www.rfc-editor.org/rfc/rfc6238

https://en.wikipedia.org/wiki/Time-based_one-time_password

#rfc6238 #rfc #TOTP #2FA #TOTP2FA

RFC 6238: TOTP: Time-Based One-Time Password Algorithm

Json DohJan 13, 2023
#TIL #2fa
I've been cautious about time left before it expires to enter a #TOTP trying to make sure it would make it to the server and get authenticated before the timer bar in my #authenticator runs out. Then I noticed that even if I'm a little late it still works. So I got curious and started experimenting. Turned out it still works even when I'm late quite a bit. Then I found #RFC6238 which recommends the servers to accept expired tokens within a time window. How clever! Now you know too.
Karl Emil NikkaDec 21, 2022

While Microsoft Authenticator removes support for Apple Watch, @bitwarden adds support for Apple Watch.

https://www.ghacks.net/2022/12/21/bitwarden-is-coming-to-apple-watch/

#authenticator #opensource #totp #rfc6238

Schenkl | 🏳️‍🌈🦄Sep 15, 2022

#TOTP, das NICHT nach #RFC6238 gemacht wird.

Dass Banken den Scheiß seit Jahren machen ist ja bekannt, aber es sind Banken, die laufen mit Cobol...

Aber waruuuum auch Firmen, die eigentlich weiter sein sollten...

Weiß man da schon genaueres?

Show threadisobelDec 22, 2020
@else It saddens me that RFC6238 was drafted more than ten years ago and banks are still making these sorts of obvious errors. #freeOTP #TOTP #RFC6238