Auszahlung an andere Wallet nicht möglich? Gehts noch?

[falxter]

Da der Support offenbar meinen Anhang nicht bekommt, lade ich den hier mal hoch... Ach scheiße.. geht ja nicht...

Jedenfalls bräuchte ich geneuere Informationen zum OTP. Was ist es mOTP, HOTP, TOTP oder was ganz anderes? Welcher Hashalgorithmus wird verwendet? Im Falle von TOTP welcher Zeitinterwall? usw... Alles was ich bisher getestet habe führte zu keinem Erfolg..

 

TOTP, 30 Sekunden, siehe auch https://code.google.com/p/google-authenticator/ Man kann dort das „PAM Module” runter laden und kompilieren – das müsste tun. Hört sich allerdings so an, als wenn das nur auf Unixoiden rennt.

[Buh]

Mit hat grade der Support erzäjlt es wäre RFC 4226 also HOTP. Ich komm hier kein bisschen weiter...

Trotzdem Danke :-)

[falxter]

Mit hat grade der Support erzäjlt es wäre RFC 4226 also HOTP. Ich komm hier kein bisschen weiter...

Trotzdem Danke :-)

 

Hm … der Google Authenticator zeigt mir da definitiv alle 30 Sekunden einen anderen Wert an – was auf TOTP hindeutet. HOTP basiert auf einem counter, der wenn ich das richtig verstanden habe, nicht alle 30 Sekunden, sondern nach jedem erfolgreichen Login erhöht wird. Jetzt könnte man die Counter-Synchronisation auch Zeitgesteuert machen, aber von dieser Möglichkeit ist in https://tools.ietf.org/html/rfc4226 nicht die Rede. Allerdings ist https://tools.ietf.org/html/rfc6238 (TOTP) eine „extension“ von 4226, der auf einer “representation of the counter as a time factor” basiert. Ich denke du solltest bei Deinen Versuchen auf TOTP setzen.

[Buh]

Ich hab zwichen PC und Handy eine Zeitdifferenz von 10Sekunden wenn ich die Zeit automatich Syncronisiere.. wie groß die Differenz zum bitcoin.de Server ist weiß ich halt nicht. Evtl scheiterts ja daran. Ich weiß es halt nicht.

[falxter]

Ich hab’ mal ein bisschen rum probiert. Das Einmalpasswort wird selbst knappe 30 Sekunden nach Ablauf (also dann wenn das darauf folgende Passwort fast abgelaufen ist) noch akzeptiert (länger hab ich nicht probiert, vielleicht ist das PW auch 120 Sekunden gültig). Ein gewisser Puffer ist also vorhanden. Wie sieht’s mit Zeitzone und Sommerzeit aus? Du solltest effektiv GMT+2 eingestellt haben. Obwohl die Zeitzone egal sein sollte, wenn der Client ordentlich implementiert ist, da RFC6238 Unix time vorschreibt, also UTC. Es kann aber sicher nicht schaden, die Uhr mal 1 und 2 Stunden zurück zu stellen (oder vor? — am besten beides^^).

 

Was für Clients hast Du auf was für Geräten ausprobiert? Bist Du Dir sicher, dass Du das Secret richtig notiert hast?

[Buh]

Also ich habe verschiedene Clients mfür Android verwendet, die TOTP unterstützen. Nun habe ich mal mit einem Testaccount alles mögliche ausprobiert. Alle Generatoren zeigen das gleiche OTP an, nur nicht der von Google. Mit dem von Google hat es aber letztendlich geklappt. Ich möchte aber nicht den von google verwenden >.<

Es kann doch nicht sein, dass es da einen Unterschied gibt. Der Google Authenticator müsste sich ja genauso an die RCF Standards halten.

 

Edit:

Ich hab jetzt das Open-Source Java Tool et-otp entdeckt. http://ecki.github.io/et-otp/

Damit kann man unter Windows ein OTP generieren. Mit dem Tool kann ich leben, da es funktioniert!

Bearbeitet 28. April 2013 von Buh

[falxter]

Der Google-Authenticator hält sich an RFC 6238. Hab’s mit der Angehängeten Referenzimplementierung (https://tools.ietf.org/html/rfc6238#appendix-A) überprüft.

 

Folgender Code führt dann zum selben Ergebnis, wie beim Google Authenticator:

 

public class TOTP {
 /* Johan Rydells Referenzimplementierung
  [...]
  */

 public static void main(String[] args) {
   final String secret = "***"; // := base32->hex vom GAuth-Secret
   final int stepsize = 30000;
   final String timestep = Long.toHexString(System.currentTimeMillis() / stepsize);
   final String digits = "6";
   final String algo = "HmacSHA1";

   System.out.println(generateTOTP(secret, timestep, digits, algo));
 }
}

 

Der RFC macht halt nur keine strikten Vorgaben zu den Defaults der Parameter und in welchem Format das Secret zu übergeben ist. Ich schätze daran, an der Interpretation der Urzeit, oder der Implementierung der Intervalle wird es haken.

[falxter]

Falls Du noch was für’s Smartphone willst, was nicht von Google ist: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token (will keine Berechtigungen und ist open source https://code.google.com/p/androidtoken/) Auf den bin ich mal jetzt umgestiegen, da ich nicht einsehe, dass das Googleding ne Internetverbindung braucht.

[Buh]

Hmm Androidtoken habe ich auch ausprobiert.. Zeigte den gleichen Token wie die anderen Tokengeneratoren für Android an... nur leider gingen die nicht.. komisch....

 

Edit:Welche Token Seed Method hast du bei Android Token ausgewählt?

Bearbeitet 28. April 2013 von Buh

[falxter]

Ich hab’ eigentlich nur den QR-Code abgescannt.^^ In dem QR steckt ne URL (etwa so otpauth://totp/Buh@bitcoin.de?secret=QWERTZ234567WASD) und da das son Google-Ding ist, stellt Android Token gleich die richtigen Defaults ein.

 

Ich hab’s jetzt nochmal nachgespielt:

 

Token Type: Time Token

OTP Length: 6

Time Step: 30 Seconds

 

>>

 

Token Seed Method: Direct Seed Entry

Taken Seed Value: *** <- das Secret halt

"Base32" auswählen, standardmäßig steht da "HEX"

 

Jetzt noch die Warnung weg klicken und es sollte klappen.

 

Edit: Von dort kann man sich das ganz gut herleiten: https://code.google.com/p/google-authenticator/wiki/KeyUriFormat

Bearbeitet 28. April 2013 von falxter

[Buh]

Klappt nicht... "Token Seed is Invalid"

[falxter]

Ich vermute mal, Du hast das Secret immer eingetippt? Möglicher Weise hast Du Dich dabei irgendwie vertippt/verlesen?

 

1. Base32 auswählen, bevor Du anfängst das Secret einzugeben. (Andernfalls hab ich ne Fehlermeldung bekommen)

 

2. Verwechslung von Zeichen kann man vermeiden, wenn man die zulässigen Zeichen kennt:

Lediglich die Großbuchstaben A–Z und die Ziffern 2–7 können vorkommen. D.h. irgendwas rundes ist definitiv ein 'Oh' und keine 'Null'. Ein senkrechter Strich ist definitiv der Vokal 'I' wie Igel und kein kleines 'L' und keine Eins.

 

3. Wirklich Großbuchstaben verwenden. Kleinbuchstaben sind in Base32 eigentlich nicht zulässig. Bei mir nimmt Android Token die zwar an, aber was dabei raus kommt unterscheidet sich von dem, als hätte man Großbuchstaben eingegeben.

 

---

 

Falls das nicht klappt und Du den QR-Code noch hast, probier den abzuscannen. Android Token bietet das an, kann sein, dass dazu ein QR-Code-Scanner installiert sein muss.

 

Falls Du den QR-Code nicht mehr hast, sondern nur das Secret, probier mal folgendes:

 

Schreibe folgende URL auf:

 

otpauth://totp/Buh@bitcoin.de?secret=<SECRET>

 

<SECRET> ersetzt Du dabei vollständig durch Dein Secret. Jetzt generierst Du aus dieser URL einen QR-Code und scannst den mit Android Token ab.

 

Wenn’s jetzt noch nicht klappt, ist Dein Secret vielleicht ein Grenzfall, bei dem Android Token fehlerhaft arbeitet – hier hilft es vielleicht ein neues Secret zu holen. Wenn’s jetzt immer noch nicht klappt, haben wir vielleicht unterschiedliche Android-Versionen (ich hab 4.2.2) und Android Token verhält sich deshalb möglicher weise unterschiedlich (nutzt andere Bibliotheken etc.) Wenn’s das nicht ist, dann weiß ich auch langsam nicht mehr.^^

[fyahfox]

falxter, vielen Dank für die Beschreibung. Bei mir hats es so direkt funktioniert.