femto

Sorry, aber in dem RFC 6238 ist schlicht und einfach nur der TOTP-Algorithmus beschrieben, vom Format der otpauth-URL steht da kein Wort drin. Dieses wurde nämlich von Google erstmals 2010 definiert, wie hier nachzulesen. Der ständige Verweis auf den RFC 6238 ist IMHO nur eine Art Nebelkerze um von dem Fakt abzulenken, dass die "breite" Endkundenmasse nicht allzu breit sein darf. Ehrlich, wer kauft sich den so ein Teil wie den Authenticator? Die "breite" Masse der Normalbürger sicherlich nicht, das Teil ist eher was für IT-Profis & DevOps mit Zugriff auf eine ganze Menge Accounts mit 2FA.

Anderes Problem: Issuer leer, Label 'Amazon:Jane Doe' => 'Amazon' => ok, erstes Amazon-Konto Issuer leer, Label 'Amazon:John Doe' => 'Amazon:John%' => nicht ok, das '%' ist wohl der Anfang von '%20', also einem URL-encodiertem Leerzeichen.

Wenn ich als Account z.B. meinen Namen verwende, dann nimmt der Authenticator auch brav die ersten x Buchstaben dafür.

Jein! Was mir fehlt ist, wie oben bereits angemerkt, die Beschreibung nach welchen Regeln er die Accounts abkürzt.

Sorry, aber das ist dann trotzdem nur ein Workaround. Im Prinzip kann der Authenticator ja darstellen, dass es für einen Issuer mehrere Accounts gibt ('Issuer:Account'), nur ist nicht klar nach welchen Regeln er den Account abkürzt um ihn noch auf dem Display anzeigen zu können.

Ein weiterer Punkt dem ich, zumindestens teilsweise, widersprechen muss: Issuer 'Google', Label 'foobar@example.com' => 'Google:com' Issuer 'Google', Label 'foobar@example.dev' => 'Google:dev' Issuer 'Google', Label 'foobar@example.email' => 'Google:com' Laut Spezifikation kann der Label alles Mögliche sein z.B. auch nur ein Accountname. Wird in obigem Testfall aber als Label eine E-Mail-Adresse verwendet, so scheint der Authenticator dies durchaus zu erkennen und verwendet dann die TLD zur Unterscheidung der verschiedenen Accounts des gleichen Issuers ('Google').

Sorry, aber dem muss ich widersprechen. Alle Anbieter die ich überprüft habe, verwenden ausnahmslos auch den issuer: Amazon, GitHub, Microsoft, um nur ein paar zu nennen. Verständlich, da der issuer eigentlich 'strongly recommended' ist. Der QR-Code von GitHub selbst ist eigentlich nicht korrekt aufgebaut, da dort der issuer ('authenticator') und der Label Prefix ('Github') nicht übereinstimmen. In diesem Fall sollte eigentlich dem Label Prefix ('Github') Vorzug gegeben werden, der Authenticator verwendet aber wohl den issuer ('authenticator').

Ehrlich jetzt? '.dev' ist genauso wie '.com' eine ofizielle Top-Level-Domain. Die QR-Codes habe ich selbstverständlich ebenfalls überprüft, bei allen Tests wurde exakt nur die eigegebene OTP-URL angezeigt. Das Update des Authenticators war eine meiner ersten Tätigkeiten vor dem ersten Einsatz. Da ich inzwischen mehr als 10 Einträge gespeichert habe, dürfte ich also die zweite FW-Version installiert haben. Aber leider gibt der Authenticator zwar alle möglichen Informationen von sich, aber darunter ist leider nicht die installierte FW-Version.

Ok, mal zwei Beispiele: Issuer: Google Account: foobar@example.com OTP-URL: otpauth://totp/foobar%40example.com?secret=abcdef&issuer=Google Anzeige des Authenticators: Google:fooba Issuer: Google Account: foobar@example.dev OTP-URL. otpauth://totp/foobar%40example.dev?secret=abcdef&issuer=Google Anzeige des Authenticators: Google:dev Warum bitte bekomme ich beim ersten Beispiel den Anfang des Accounts angezeigt und beim zweiten Beispiel das Ende des Accounts? Falls der Authenticator erkannt hat, dass die beiden Einträge bei der simplen Verwendung der ersten n Zeichen identisch dargestellt werden würde, dann sollte dieses Verhalten wenigstens dokumentiert sein, oder habe ich das vielleicht überlesen? Die erzeugten QR-Codes bzw. OTP-URLs sind korrekt und wurden von mir in verschiedenen Authenticator-Apps mit identischem Ergebnis verifiziert. Solange der Authenticator solche nicht nachvollziehbaren Ausgaben erzeugt, bleibe ich bei meinem zugegebenerweise harschen Urteil das der Authenticator im Moment nicht brauchbar ist.

Der Authenticator implementiert die Google-Spezifikation (https://github.com/google/google-authenticator/wiki/Key-Uri-Format) nur teilweise, auch werden URL-encodierte Zeichen nicht dekodiert dargestellt, z. B. das @ im Account (falls dieser eine E-Mail-Adresse ist). Die überaus wichtige Information über den Account (Teil des Label-Feldes in der Spezifikation) wird scheinbar nur dann dargestellt, falls der Issuer nur wenige Zeichen hat. Bei mehreren Accounts beim gleichen Issuer, z. B. Github, kann dann nicht zwischen den Accounts unterschieden werden. Die gesamte Darstellung ist, diplomatisch ausgedrückt, noch schwer verbesserungswürdig.