2FA / Two Factor Authentication mit LINUX (debian/Ubuntu/...)

Moin,

für einen login auf eine Internetseite brauche ich eine Zwei-Faktor-Autorisierung die einen angezeigten QR-Code liest und daraus ein Token generiert.
Nachdem ich tagelang fast orientierungslos dran „rumgefummelt“ habe, " Authenticator" unter „snap“, erst installiert, dann alles inkl snap de- und wieder alles installiert hatte, zwischenzeitlich erst das Betriebssystem , dann wieder zurück gewechselt hatte und es schlussendlich unter einem neuen Benutzer funktionierte weil es unter meinem jedes mal abstützte frage ich mich:

Gibt es auch einen ganz normalen, vertrauenswürdigen Weg für so ein Problem wie man ihn tausendfach gewohnt ist? Also Installation der passenden Software von einer der bekannten Quellen, womöglich noch OpenSource? Dann starten…läuft? Liest den QR-Code vom Bildschirm und erzeugt den Token?

Ich habe einige Stunden gesucht. Lösungen gab es solche: Benutzen sie Windows. Installieren sie Irgendwas von Microsoft. Nehmen Sie Googlesoftware. Nehmen Sie gefälligst ihr Smartphone. Installieren Sie diesen TOLLEN Emulator aus unbekannter Quelle. Kaufen Sie Hardware.
Nee, will ich alles gerade nicht.
Geht das auch anders? Warum soll ich mich nur dafür ein zweites Softwaremanagementsystem wie snap holen?

Danke für Ideen

VG
J~

Hallo,

ich verwende diesen Passwort-Manager unter OSX, den gibt es aber auch für Linux:

Der kann auch 2FA, inkl. Screenshot.

Gruß,
Steve

Na, die Frage ist doch erstmal, was mit 2FA konkret gemeint ist, oder? 2FA heißt eigentlich ja erstmal nur, dass eine Aktion über einen getrennten Kommunikationsweg nochmal bestätigt wird.

Wenn ich am PC Online-Banking mache, und dann in der Bank-App auf dem Handy ne TAN dafür angezeigt wird, dann ist das 2FA. Allerdings braucht man zwingend die App, das kann man nicht umgeben.

Moin,

hmm, ja. Also um mich bei dieser Webseite einloggen zu können brauche ich neben dem Passwort noch diesen Token. Das ist doch dann eine Zwei-Faktor-Authorisierung, oder?

Allerdings braucht man zwingend die App, das kann man nicht umgeben.

wie gesagt, ich brauche nicht zwingen EINE bestimmte App oder Programm. Die Webseite hat mit einen QR-Code angezeigt der gescannt werden musste (per screendump). Dann erschien im Programm alle paar Sekunden eine neue Zahl und wenn man die schnell genug übertragen hatte, war man eingelogt. Die Male danach ging es ohne scan, die Zahl wurde dann nach Programmstart direkt erzeugt und konnte verwendet werden.

Ich hätte aber gerne etwas, dass ich beim nächsten Mal sauber installieren und auch verstehen kann. Nicht so ein Gewurschtel.

VG!
J~

Moin,

hmm, $3.-/Monat sind dafür aber auch nicht gerade ein Schnäppchen. Ich muss vielleicht nur alle paar Monate mal auf diese Webseite zugreifen, das lohnt sich eher nicht. Trotzdem danke!

VG
J~

Genau. Es gibt da so ganz grundsätzlich 2 Verfahren, bei denen man einmalig (!) ein Geheimnis per QR-Code austauscht und daraus werden dann die Codes erzeugt.

Am häufigsten trifft man TOTP an: https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus

Das ist höchst simpel und basiert auf der aktuellen Uhrzeit. Alle 30 Sekunden wird auf Basis des beidseitig bekannten Geheimnisses ein Token generiert. Den gibst du ein und die Gegenseite prüft, ob der richtig ist.

Dann schauen wir doch mal.

Erste Frage: QR-Code lesen.

Da finde ich auf die Schnelle zbarimg aus den zbar-tools. Damit liest du die Information aus dem QR-Code aus: zbarimg "image-file-name.jpg"

Der Inhalt vom QR-Code sieht irgendwie so aus:
otpauth://totp/BENUTZERNAME?secret=GEHEIMNIS&issuer=WEBSEITE

Dich interessiert der Parameter secret. Den muss du extrahieren.

Wenn du nach TOTP suchst, dann findest du das hier:

http://manpages.ubuntu.com/manpages/bionic/man1/oathtool.1.html

Den aktuellen Code kannst du dir damit berechnen.

oathtool --base32 --totp "GEHEIMNIS"

Obacht: der ist immer nur 30s gültig. Die Spec sagt zwar was von einstellbarer Zeit und auch das beschissene SHA1 kann man wegkonfigurieren. Aber das macht keiner, weil es dann mit der Google-Authenticator-App nicht mehr geht.

Klingt für mich jetzt nicht nach Gewurschtel. Das geht auch alles offline ohne irgendwelche Kosten.

Auf dem Smartphone würde ich übrigens die freie App Aegis empfehlen, die macht das auch offline auf dem Telefon. Damit kannst du dann auch prüfen, ob dein berechneter Code in Linux stimmt.

Dann solltest du das ganz schnell ändern:

KeyPass ist eine erheblich bessere Wahl:

„Wir haben die Hersteller der betroffenen Passwort-Manager über die Sicherheitslücken informiert. Alle haben reagiert und die Verwundbarkeiten geschlossen.“, erklärt Rasthofer.

Danke, aber es bleibt, wie es ist.

Hast du den dahinter liegenden Artikel inklusive dem von mir hervorgehobenen Zitat überhaupt gelesen? Scheinbar ja nicht.

Könnt ihr beiden euch vielleicht einfach ein Zimmer nehmen und danach wieder zur eigentlichen Frage zurückkehren?

Ich befasse mich seit ungefähr 40 Jahren mit Computersicherheit. Selbstverständlich habe ich den Artikel gelesen. Aber du vertraust jemandem, der bereits für fehlerhafte Software aufgefallen ist, weiterhin alle deine Passwörter an. Auf seinem Server. Und lässt dich dabei auch noch tracken (oder hast du gedacht, die könnten nicht nachverfolgen, wo du wann welches Passwort einträgst?). Und zahlst für etwas regelmäßig Geld, was du besser, sicherer, datengeschützt und kostenlos bekommen kannst.

Überleg dir mal, was das über mich und was das über dich aussagt.

Btw., „scheinbar“ war hier völlig richtig, obwohl du „anscheinend“ sagen wolltest.

@j_tilde gibts hierzu noch ne Rückmeldung? Hat das so funktioniert?

Moin,

bis jetzt habe ich das Projekt nicht weiter verfolgt, aber irgendwann werde ich mich damit noch mal beschäftigen (müssen)

VG
J~