Diskussion:Time-based One-time Password Algorithmus

aus Wikipedia, der freien Enzyklopädie

"auf eine Länge von 31 Bit abgeschnitten"

Was bedeutet "auf eine Länge von 31 Bit abgeschnitten"? Von vorne oder von hinten? Vom MSB oder vom LSB her, bzw. was bleibt übrig? Dies müsste genauer spezifiert werden, am besten mit Pseudo-Code. --165.222.56.136 11:34, 8. Nov. 2017 (CET)

Naja, die Wikipedia ist keine Webseite für detailierte Spezifikationen. Genaue Details findest du in den Spezifikationen RFC 4226 und RFC 6238. Auf "31 Bit abgeschnitten" bedeutet, dass vom binären Hash zuerst ein Offset extrahiert wurde (das wird im Artikel nicht erwähnt) und dann vom Hash von der Offset Position 4 Bytes extrahiert werden, wobei das höchstwertige Bit maskiert wird (damit der dezimale Wert immer positiv ist - negative Werte könnten bei der späteren Modulo-Operation zur Verwirrung führen). Einen Pseudocode findest du im RFC 4226. --Very hungry Yeti (Diskussion) 04:35, 4. Sep. 2022 (CEST)

Schreibweise

Time-based One-time Password Algorithmus ist eine seltsame Schreibweise. Sinnvoller erscheint mir einer dieser beiden Varianten:

  • Time-based-One-time-Password-Algorithmus als deutsches Wort mit dann notwendiger Durchkopplung.
  • Time-based One-time Password Algorithm als englischer Begriff.

--O0TsRVi7 (Diskussion) 01:51, 23. Nov. 2018 (CET)

Ziemlich dünne Beschreibung

Wer definiert den geheimen Schlüssel ?

Wie kommt der zur anderen Seite ? Bzw. wie kann das angesprochene Abgreifen des Schlüssels passieren ?

Wie synchronisieren sich die abgebildeten TOTP Geräte ? Haben die mehr als den optischen QR Code Kontakt zum Rechner ?

Neben den gezeigten Authentikatoren gibt's ja anscheinend auch Softwarelösungen für iOS bzw. Android. Ist das TOTP Geräte sicherheitstechnisch im Vorteil ?

Wie sortiert sich das Verfahren relativ zu anderen, z.B. WebAuthN ein ? (nicht signierter Beitrag von 2A00:6020:439A:9E00:687C:4242:823C:330 (Diskussion) 20:23, 19. Apr. 2022 (CEST))

Ebenfalls eine wichtige Info wären Angriffstaktiken. Bei TOTP und besonders HOTP sind Brute-Force Angriffe am effektivsten. Weniger auf den geheimen Schlüssel, sondern auf die PIN selbst, die standardmäßig auf nur 6 Ziffern begrenzt wird. Eine Million automatisierte PIN-Prüfungen innerhalb von 30 Sekunden sind bei latenzarmen Übertragungen absolut kein Problem. Besonders weil das auch nur das Worst-Case Szenario wäre. Im Grunde genommen, muss man einfach nur solange versuchen, bis eine "niedrige" PIN (z. B. 073251) generiert wird, sodass dann nur noch 73251 Versuche unternommen werden müssen, anstatt einer Million. Daher sollten Systeme unbedingt einen Brute-Force Schutz einbauen, indem man z. B. die Anzahl von PIN-Versuchen pro 30 Sekunden stark beschränkt. --Very hungry Yeti (Diskussion) 04:49, 4. Sep. 2022 (CEST)