Jump to content

Fehlerhafte Implementierung der Spezifikation


Empfohlene Beiträge

Der Authenticator implementiert die Google-Spezifikation (https://github.com/google/google-authenticator/wiki/Key-Uri-Formatnur teilweise, auch werden URL-encodierte Zeichen nicht dekodiert dargestellt, z. B. das @ im Account (falls dieser eine E-Mail-Adresse ist). Die überaus wichtige Information über den Account (Teil des Label-Feldes in der Spezifikation) wird scheinbar nur dann dargestellt, falls der Issuer nur wenige Zeichen hat. Bei mehreren Accounts beim gleichen Issuer, z. B. Github, kann dann nicht zwischen den Accounts unterschieden werden. Die gesamte Darstellung ist, diplomatisch ausgedrückt, noch schwer verbesserungswürdig. 

Link zum Beitrag
Auf anderen Seiten teilen
vor 16 Stunden schrieb femto:

Der Authenticator implementiert die Google-Spezifikation (https://github.com/google/google-authenticator/wiki/Key-Uri-Formatnur teilweise, auch werden URL-encodierte Zeichen nicht dekodiert dargestellt, z. B. das @ im Account (falls dieser eine E-Mail-Adresse ist). Die überaus wichtige Information über den Account (Teil des Label-Feldes in der Spezifikation) wird scheinbar nur dann dargestellt, falls der Issuer nur wenige Zeichen hat. Bei mehreren Accounts beim gleichen Issuer, z. B. Github, kann dann nicht zwischen den Accounts unterschieden werden. Die gesamte Darstellung ist, diplomatisch ausgedrückt, noch schwer verbesserungswürdig. 

Der REINER SCT Authenticator wurde nach RFC 6238 für eine breite Endkundenmasse entwickelt, dabei können leider nicht immer alle Spezifika und Kombinationen berücksichtigt werden. Wir empfehlen in diesem speziellen Fall im String des QR-Codes den Issuer mit einem Offline-Tool so zu editieren, dass innerhalb der verfügbaren 14 Zeiten des Displays ein eindeutiger Accountname angezeigt werden kann.

Link zum Beitrag
Auf anderen Seiten teilen

Ok, mal zwei Beispiele:

  1. Issuer: Google
    Account: foobar@example.com
    OTP-URL: otpauth://totp/foobar%40example.com?secret=abcdef&issuer=Google
    Anzeige des Authenticators: Google:fooba
  2. Issuer: Google
    Account: foobar@example.dev
    OTP-URL. otpauth://totp/foobar%40example.dev?secret=abcdef&issuer=Google
    Anzeige des Authenticators: Google:dev

Warum bitte bekomme ich beim ersten Beispiel den Anfang des Accounts angezeigt und beim zweiten Beispiel das Ende des Accounts? Falls der Authenticator erkannt hat, dass die beiden Einträge bei der simplen Verwendung der ersten n Zeichen identisch dargestellt werden würde, dann sollte dieses Verhalten wenigstens dokumentiert sein, oder habe ich das vielleicht überlesen?

Die erzeugten QR-Codes bzw. OTP-URLs sind korrekt und wurden von mir in verschiedenen Authenticator-Apps mit identischem Ergebnis verifiziert.

Solange der Authenticator solche nicht nachvollziehbaren Ausgaben erzeugt, bleibe ich bei meinem zugegebenerweise harschen Urteil das der Authenticator im Moment nicht brauchbar ist.

Link zum Beitrag
Auf anderen Seiten teilen

Ich habe jetzt mal versucht das Problem nachzustellen. Das Anzeigeproblem tritt bei mir nicht auf, es wird bei beiden Varianten "Google:fooba" angezeigt. Egal ob ich den QR-Code offline (über Offline-Bibliotheken) oder online (Google Charts) erstelle. Da muss in Deinem QR-Code mehr drin stehen als drinstehen darf. Welche Firmware-Version hast Du auf Deinem Gerät? Es gibt auf dem Markt Geräte mit unterschiedlichen Firmware-Versionen, die erste FW-Version mit 10 Konten und die zweite FW-Version mit 60 Konten. Bei der aktuellen FW-Version sind ein paar Fehler behoben. Das Gerät mit der alten Firmware kann auf die FW-Version mit 60 Konten aktualisiert werden:

 

 

Link zum Beitrag
Auf anderen Seiten teilen
Am 6.4.2021 um 21:02 schrieb René:

Ich vermute mal, dass es an "dev' liegt, der Authenticator sich daran verschluckt. Was soll "dev" sein?

Ehrlich jetzt?

'.dev' ist genauso wie '.com' eine ofizielle Top-Level-Domain.

Am 6.4.2021 um 22:35 schrieb René:

Ich habe jetzt mal versucht das Problem nachzustellen. Das Anzeigeproblem tritt bei mir nicht auf, es wird bei beiden Varianten "Google:fooba" angezeigt. Egal ob ich den QR-Code offline (über Offline-Bibliotheken) oder online (Google Charts) erstelle. Da muss in Deinem QR-Code mehr drin stehen als drinstehen darf. Welche Firmware-Version hast Du auf Deinem Gerät? Es gibt auf dem Markt Geräte mit unterschiedlichen Firmware-Versionen, die erste FW-Version mit 10 Konten und die zweite FW-Version mit 60 Konten. Bei der aktuellen FW-Version sind ein paar Fehler behoben. Das Gerät mit der alten Firmware kann auf die FW-Version mit 60 Konten aktualisiert werden:

  1. Die QR-Codes habe ich selbstverständlich ebenfalls überprüft, bei allen Tests wurde exakt nur die eigegebene OTP-URL angezeigt.
  2. Das Update des Authenticators war eine meiner ersten Tätigkeiten vor dem ersten Einsatz. Da ich inzwischen mehr als 10 Einträge gespeichert habe, dürfte ich also die zweite FW-Version installiert haben. Aber leider gibt der Authenticator zwar alle möglichen Informationen von sich, aber darunter ist leider nicht die installierte FW-Version.
Link zum Beitrag
Auf anderen Seiten teilen

Hi zusammen,

ich hänge mich mal hier an, da mein Problem in die gleiche Richtung geht. Vorweg hier noch die Infos zu meiner Hardware:

  • ReinerSCT Authenticator mit gerade aktualisierter Firmware V2.06

Mit der alten Firmware (Auslieferungszustand) wurde mir bei den meisten Konten einfach nur "Konto" in der Liste angezeigt, was bei mehr als einem Eintrag natürlich "suboptimal" ist (z. B. beim automatisch generierten QR-Code für meinen Samsung-Account). Welche FW-Version genau im Auslieferungszustand installiert war, kann ich nicht sagen, da - wie von @femto schon angemerkt - die Version ja nicht auf Anhieb für den User ersichtlich ist (vielleicht gibt es einen "Trick"?).

Anschließend habe ich das Update auf V2.06 durchgeführt, in der Hoffnung, dass neben den 60 Accounts vielleicht auch noch weitere Probleme behoben wurden (und dieses unterschiedliche Verhalten bei diversen Accounts sah für mich halt erstmal nach "Bug" aus). Tatsächlich hat sich etwas getan, denn jetzt steht selbst bei den Einträgen, die vorher korrekt angezeigt wurden, noch "Konto:" davor, was die Anzahl der sichtbaren Zeichen stark einschränkt.

Hier wurde auf ein Offline-Tool zum Editieren der Daten/QR-Codes hingewiesen - leider ohne Namen zu nennen. Was könnte man dafür denn nutzen (Windows oder Linux wäre für mich erstmal egal)? Tools zum generieren von QR-Codes gibt es wie Sand am Meer - aber es sollte ja denke ich speziell für 2FA-Codes sein und da bin ich auf Anhieb erstmal nicht fündig geworden. :-(

Aegis-Authenticator zum Editieren
In einem anderen Thread wurde bereits die App "Aegis Authenticator" erwähnt. Auch die habe ich heruntergeladen und bei meinem oben bereits erwähnten Samsung-Account war es dann so, dass ich dort als Name "Samsung-Account" eingegeben habe (das Feld "Herausgeber" war leer) - nach dem Scan des neuen QR-Codes war im ReinerSCT Athenticator dann aber nur besagter "Konto"-Eintrag in der Liste zu sehen. :-(

Ein kleiner Teilerfolg: Füllen des "Herausgeber"-Felds
Jetzt habe ich testweise mal das "Herausgeber"-Feld in Aegis Authenticator mit dem String "Issuer" gefüllt und daraufhin wird auch im ReinerSCT Authenticator in der Konten-Übersicht "Issuer" angezeigt - der eigentliche Konto-Name "Samsung-Account" hingegen ist nicht sichtbar. Dieser taucht nur im "Löschen"-Modus auf. Dort sehe ich im ReinerSCT dann:

Zitat

Löschung
Issuer
Issuer%3ASamsung-Account
C   OK

Generiert die Aegis App jetzt "falsche" QR-Codes, oder wird das Konto-Name Feld vom ReinerSCT nicht korrekt interpretiert? Und welches Tool kann ich verwenden, um selbst mir anhand der OTP-URL anzuschauen, bzw. damit weiter zu "experimentieren"?

Danke im Voraus & Gruß, Erik

Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.