Code-Generator gesucht

[katze123]

Ich suche einen Code-Generator für mein System, der mit dem Google Authenticator kompatibel ist, sodass ich 2FA auch ohne Handy nutzen kann. Kann mir da jemand ein Programm nennen?

[peschmae]

Ich benutze auf meinem Handy FreeOTP https://fedorahosted.org/freeotp/; das ist zwar handy-software aber schon mal open source.
Mit dem http://www.nongnu.org/oath-toolkit/ sollte das wohl irgendwie gehen.

Ich selber achte halt schon darauf dass das OTP Zeugs nicht auf dem gleichen Device läuft wie ich mich einlogge; von dem her kommt das mir nicht aufn Desktop

MfG Peschmä

[spiralnebelverdreher]

Ich hätte dazu auch eine Frage.
Ich bin Kunde beim Maildienstleister mailbox.org, der seit kurzem auch eine 2-Faktor Authorisierung abseits von Yubikey anbietet. Ich möchte für Reisen mein Tablet oder Internetcafes benutzen um meine Mails im Browser lesen zu können und würde dafür gerne vor der Reise einige Token generieren, die ich in schriftlicher Form mitnehme und dann zum Einloggen eingebe. Dann kann es mir egal sein, ob jemand in meinem Rücken meine Eingabe mitschreibt oder ein Keylogger da ist: Das Einmalpasswort taugt ja nur zum einmaligen Login.

Der Kundensupport des Mailproviders hat mir auf meine Anfrage mitgeteilt, ich solle a) den HOTP-Token generieren (zB. mit Google Authenticator oder FreeOTP ereignisbasiert), b) die App mit dem QR-Code konfigurieren und c) dann mehrere OTP erstellen und aufschreiben/ausdrucken. Ereignisbasierte HOTP-Token sind zeitlich unbegrenzt gültig.

Mein Frage an das Forum: Kann ich diese Token auch mit dem Kommandozeilentool oath-tool (Schritt b) erstellen? Der Mailprovider generiert mir einen QR-Code, der umgewandelt in Text folgende Struktur hat:

Code: Alles auswählen

otpauth://hotp/LSGO12345678?secret=TEXT_AUS_52_ALPHANUMERISCHREN_GROSBUCHSTABEN&counter=0

Ich nehme mal an, dass in secret eben der (geheime) symmetrische Schlüssel steckt und counter ist eben der Zähler, der dazu dient die einzelnen unterschiedlichen Token zu erzeugen.

Ich hab das mal mit oath-tool versucht, aber den secret-Text mit seinen 52 alphanumerischen Zeichen mag das Tool nicht, die Fehlermeldung lautet oathtool: base32 decoding failed: Base32 string is invalid

Was mache ich da falsch?

[spiralnebelverdreher]

Die obige Frage hat sich erledigt. Habe gerade selbst herausgefunden was ich falsch gemacht hatte: Ich hatte im Webinterface von mailbox.org das falsche Authentifizierungstool ausgewählt. HOTP stellte sich dann als die richtige Auswahl heraus und mit dem dann erzeugten Secret konnte ich das Kommandozeilenwerkzeug oathtool füttern. Ergebnis war dann die gewünschte Anzahl von Tokens.

Falls es jemand interessiert, hier die Skizze:

[*]oath-tool installieren

[*]im Webinterface von mailbox.org die 2-Faktor-Authentifizierung (Einstellungen - mailbox.org - One Time Passwörter ) die Methode OTP Generierung wählen, dann vierstellige Pin eingeben und dann HOTP auswählen. Dann wird das erzeugte Secret angezeigt.

[*]Mit dem Secret das Kommando oathtool füttern:

Code: Alles auswählen

oathtool -c 0 -d 6 -b -v -w 24 BASE32_SECRET_TEXT

und 24 sechsstellige Token werden sichtbar. Diese ausdrucken, aufschreiben oder auswendig lernen.

[*]Wenn mann dann im Webinterface die entsprechende Einlog-Methode auswählt, kann man sich mit der Kombination aus Pin und Token einmal einloggen. Bevor das letzte Token verbraucht ist sollte man sich neue generieren oder das Einloggen wieder auf das Passwortverfahren umstellen.

[katze123]

Ich benutze auf meinem Handy FreeOTP https://fedorahosted.org/freeotp/; das ist zwar handy-software aber schon mal open source.
Mit dem http://www.nongnu.org/oath-toolkit/ sollte das wohl irgendwie gehen.

Ich selber achte halt schon darauf dass das OTP Zeugs nicht auf dem gleichen Device läuft wie ich mich einlogge; von dem her kommt das mir nicht aufn Desktop

MfG Peschmä

Danke, mit dem oathtool geht es wunderbar!