falxter Geschrieben 27. April 2013 Teilen Geschrieben 27. April 2013 Da der Support offenbar meinen Anhang nicht bekommt, lade ich den hier mal hoch... Ach scheiße.. geht ja nicht...Jedenfalls bräuchte ich geneuere Informationen zum OTP. Was ist es mOTP, HOTP, TOTP oder was ganz anderes? Welcher Hashalgorithmus wird verwendet? Im Falle von TOTP welcher Zeitinterwall? usw... Alles was ich bisher getestet habe führte zu keinem Erfolg.. TOTP, 30 Sekunden, siehe auch https://code.google.com/p/google-authenticator/ Man kann dort das „PAM Module” runter laden und kompilieren – das müsste tun. Hört sich allerdings so an, als wenn das nur auf Unixoiden rennt. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Buh Geschrieben 27. April 2013 Teilen Geschrieben 27. April 2013 Mit hat grade der Support erzäjlt es wäre RFC 4226 also HOTP. Ich komm hier kein bisschen weiter... Trotzdem Danke :-) Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
falxter Geschrieben 27. April 2013 Teilen Geschrieben 27. April 2013 Mit hat grade der Support erzäjlt es wäre RFC 4226 also HOTP. Ich komm hier kein bisschen weiter...Trotzdem Danke :-) Hm … der Google Authenticator zeigt mir da definitiv alle 30 Sekunden einen anderen Wert an – was auf TOTP hindeutet. HOTP basiert auf einem counter, der wenn ich das richtig verstanden habe, nicht alle 30 Sekunden, sondern nach jedem erfolgreichen Login erhöht wird. Jetzt könnte man die Counter-Synchronisation auch Zeitgesteuert machen, aber von dieser Möglichkeit ist in https://tools.ietf.org/html/rfc4226 nicht die Rede. Allerdings ist https://tools.ietf.org/html/rfc6238 (TOTP) eine „extension“ von 4226, der auf einer “representation of the counter as a time factor” basiert. Ich denke du solltest bei Deinen Versuchen auf TOTP setzen. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Buh Geschrieben 27. April 2013 Teilen Geschrieben 27. April 2013 Ich hab zwichen PC und Handy eine Zeitdifferenz von 10Sekunden wenn ich die Zeit automatich Syncronisiere.. wie groß die Differenz zum bitcoin.de Server ist weiß ich halt nicht. Evtl scheiterts ja daran. Ich weiß es halt nicht. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
falxter Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 Ich hab’ mal ein bisschen rum probiert. Das Einmalpasswort wird selbst knappe 30 Sekunden nach Ablauf (also dann wenn das darauf folgende Passwort fast abgelaufen ist) noch akzeptiert (länger hab ich nicht probiert, vielleicht ist das PW auch 120 Sekunden gültig). Ein gewisser Puffer ist also vorhanden. Wie sieht’s mit Zeitzone und Sommerzeit aus? Du solltest effektiv GMT+2 eingestellt haben. Obwohl die Zeitzone egal sein sollte, wenn der Client ordentlich implementiert ist, da RFC6238 Unix time vorschreibt, also UTC. Es kann aber sicher nicht schaden, die Uhr mal 1 und 2 Stunden zurück zu stellen (oder vor? — am besten beides^^). Was für Clients hast Du auf was für Geräten ausprobiert? Bist Du Dir sicher, dass Du das Secret richtig notiert hast? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Buh Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 (bearbeitet) Also ich habe verschiedene Clients mfür Android verwendet, die TOTP unterstützen. Nun habe ich mal mit einem Testaccount alles mögliche ausprobiert. Alle Generatoren zeigen das gleiche OTP an, nur nicht der von Google. Mit dem von Google hat es aber letztendlich geklappt. Ich möchte aber nicht den von google verwenden >.< Es kann doch nicht sein, dass es da einen Unterschied gibt. Der Google Authenticator müsste sich ja genauso an die RCF Standards halten. Edit: Ich hab jetzt das Open-Source Java Tool et-otp entdeckt. http://ecki.github.io/et-otp/ Damit kann man unter Windows ein OTP generieren. Mit dem Tool kann ich leben, da es funktioniert! Bearbeitet 28. April 2013 von Buh Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
falxter Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 Der Google-Authenticator hält sich an RFC 6238. Hab’s mit der Angehängeten Referenzimplementierung (https://tools.ietf.org/html/rfc6238#appendix-A) überprüft. Folgender Code führt dann zum selben Ergebnis, wie beim Google Authenticator: public class TOTP { /* Johan Rydells Referenzimplementierung [...] */ public static void main(String[] args) { final String secret = "***"; // := base32->hex vom GAuth-Secret final int stepsize = 30000; final String timestep = Long.toHexString(System.currentTimeMillis() / stepsize); final String digits = "6"; final String algo = "HmacSHA1"; System.out.println(generateTOTP(secret, timestep, digits, algo)); } } Der RFC macht halt nur keine strikten Vorgaben zu den Defaults der Parameter und in welchem Format das Secret zu übergeben ist. Ich schätze daran, an der Interpretation der Urzeit, oder der Implementierung der Intervalle wird es haken. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
falxter Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 Falls Du noch was für’s Smartphone willst, was nicht von Google ist: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token (will keine Berechtigungen und ist open source https://code.google.com/p/androidtoken/) Auf den bin ich mal jetzt umgestiegen, da ich nicht einsehe, dass das Googleding ne Internetverbindung braucht. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Buh Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 (bearbeitet) Hmm Androidtoken habe ich auch ausprobiert.. Zeigte den gleichen Token wie die anderen Tokengeneratoren für Android an... nur leider gingen die nicht.. komisch.... Edit:Welche Token Seed Method hast du bei Android Token ausgewählt? Bearbeitet 28. April 2013 von Buh Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
falxter Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 (bearbeitet) Ich hab’ eigentlich nur den QR-Code abgescannt.^^ In dem QR steckt ne URL (etwa so otpauth://totp/Buh@bitcoin.de?secret=QWERTZ234567WASD) und da das son Google-Ding ist, stellt Android Token gleich die richtigen Defaults ein. Ich hab’s jetzt nochmal nachgespielt: Token Type: Time Token OTP Length: 6 Time Step: 30 Seconds >> Token Seed Method: Direct Seed Entry Taken Seed Value: *** <- das Secret halt "Base32" auswählen, standardmäßig steht da "HEX" Jetzt noch die Warnung weg klicken und es sollte klappen. Edit: Von dort kann man sich das ganz gut herleiten: https://code.google.com/p/google-authenticator/wiki/KeyUriFormat Bearbeitet 28. April 2013 von falxter Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Buh Geschrieben 29. April 2013 Teilen Geschrieben 29. April 2013 Klappt nicht... "Token Seed is Invalid" Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
falxter Geschrieben 29. April 2013 Teilen Geschrieben 29. April 2013 Ich vermute mal, Du hast das Secret immer eingetippt? Möglicher Weise hast Du Dich dabei irgendwie vertippt/verlesen? 1. Base32 auswählen, bevor Du anfängst das Secret einzugeben. (Andernfalls hab ich ne Fehlermeldung bekommen) 2. Verwechslung von Zeichen kann man vermeiden, wenn man die zulässigen Zeichen kennt: Lediglich die Großbuchstaben A–Z und die Ziffern 2–7 können vorkommen. D.h. irgendwas rundes ist definitiv ein 'Oh' und keine 'Null'. Ein senkrechter Strich ist definitiv der Vokal 'I' wie Igel und kein kleines 'L' und keine Eins. 3. Wirklich Großbuchstaben verwenden. Kleinbuchstaben sind in Base32 eigentlich nicht zulässig. Bei mir nimmt Android Token die zwar an, aber was dabei raus kommt unterscheidet sich von dem, als hätte man Großbuchstaben eingegeben. --- Falls das nicht klappt und Du den QR-Code noch hast, probier den abzuscannen. Android Token bietet das an, kann sein, dass dazu ein QR-Code-Scanner installiert sein muss. Falls Du den QR-Code nicht mehr hast, sondern nur das Secret, probier mal folgendes: Schreibe folgende URL auf: otpauth://totp/Buh@bitcoin.de?secret=<SECRET> <SECRET> ersetzt Du dabei vollständig durch Dein Secret. Jetzt generierst Du aus dieser URL einen QR-Code und scannst den mit Android Token ab. Wenn’s jetzt noch nicht klappt, ist Dein Secret vielleicht ein Grenzfall, bei dem Android Token fehlerhaft arbeitet – hier hilft es vielleicht ein neues Secret zu holen. Wenn’s jetzt immer noch nicht klappt, haben wir vielleicht unterschiedliche Android-Versionen (ich hab 4.2.2) und Android Token verhält sich deshalb möglicher weise unterschiedlich (nutzt andere Bibliotheken etc.) Wenn’s das nicht ist, dann weiß ich auch langsam nicht mehr.^^ Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
fyahfox Geschrieben 8. Mai 2013 Teilen Geschrieben 8. Mai 2013 falxter, vielen Dank für die Beschreibung. Bei mir hats es so direkt funktioniert. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden