Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
OTP in wachtwoordmanager voor eindgebruikers
30-04-2024, 13:44 door Anoniem, 7 reacties
Hoi,
Wij hebben op ons werk een discussie. We hebben collega's/eindgebruikers die in de wachtwoordmanager ook de OTP willen hebben, er wordt gebruik van social media en daar willen ze tweestapsverificatie op aanzetten. Het idee is goed en je hebt natuurlijk een masterpassword nodig om in je wachtwoordmanager te komen. Alleen in mijn ogen vervalt het nut van een OTP als je deze naast je huidige wachtwoord hebt staan.
De reden dat ze dit willen is dat er onder andere stagiaires komen en gaan en ze dan alle sessies willen uitloggen, daarna moeten ze weer inloggen met een nieuw wachtwoord en de OTP.
Hoe gaan jullie hier mee om? En ter verduidelijking bij de ICT doen we dit niet. Daar hebben we op bijv. de telefoon alle OTP's staan of een fysieke hardware token.
Wij hebben op ons werk een discussie. We hebben collega's/eindgebruikers die in de wachtwoordmanager ook de OTP willen hebben, er wordt gebruik van social media en daar willen ze tweestapsverificatie op aanzetten. Het idee is goed en je hebt natuurlijk een masterpassword nodig om in je wachtwoordmanager te komen. Alleen in mijn ogen vervalt het nut van een OTP als je deze naast je huidige wachtwoord hebt staan.
De reden dat ze dit willen is dat er onder andere stagiaires komen en gaan en ze dan alle sessies willen uitloggen, daarna moeten ze weer inloggen met een nieuw wachtwoord en de OTP.
Hoe gaan jullie hier mee om? En ter verduidelijking bij de ICT doen we dit niet. Daar hebben we op bijv. de telefoon alle OTP's staan of een fysieke hardware token.
Reacties (7)
30-04-2024, 15:13 door
Anoniem
Afgezien van de wenselijkheid - hoe gaat het uberhaupt werken ?
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
30-04-2024, 15:32 door
Anoniem
Als het een OTP is ipv een wachtwoord: prima
Als het een OTP is als 2-factor authenticatie: waar is je 2e factor naar toe als je dat beide op dezelfde plek hebt. Slecht idee dan.
Als het een OTP is als 2-factor authenticatie: waar is je 2e factor naar toe als je dat beide op dezelfde plek hebt. Slecht idee dan.
30-04-2024, 15:47 door
Anoniem
Ik zie het een beetje dubbel. Aan de ene kant voegt het toch bij de inlog van het sociale media platform meer veiligheid toe.
Aan der ander kant heb je toch deze gegevens op dezelfde plek staan.
Toch lijkt het me een betere optie dan geen MFA / OTP.
Zolang je de toegang tot de wachtwoordmanager goed kan beperken lijkt het me mooi bijvoorbeeld door daar wel gebruik te maken van user account met eigen creds. Bijvoorbeeld bitwarden.
Aan der ander kant heb je toch deze gegevens op dezelfde plek staan.
Toch lijkt het me een betere optie dan geen MFA / OTP.
Zolang je de toegang tot de wachtwoordmanager goed kan beperken lijkt het me mooi bijvoorbeeld door daar wel gebruik te maken van user account met eigen creds. Bijvoorbeeld bitwarden.
30-04-2024, 15:49 door
Anoniem
Door Anoniem: Afgezien van de wenselijkheid - hoe gaat het uberhaupt werken ?
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
In password managers kan je wel OTP toevoegen neem KeePass bijvoorbeeld.
30-04-2024, 16:19 door
Anoniem
Door Anoniem:
In password managers kan je wel OTP toevoegen neem KeePass bijvoorbeeld.
Door Anoniem: Afgezien van de wenselijkheid - hoe gaat het uberhaupt werken ?
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
In password managers kan je wel OTP toevoegen neem KeePass bijvoorbeeld.
Ah, niet gezien. Thx.
Dan fungeert de password manager als authenticator . (duh, had ik kunnen bedenken, achteraf).
Afhankelijk van waar de password manager draait heb je dan weinig extra security , of toch nog steeds baat .
_Als_ het de password manager is die lekt ben je inderdaad ook de OTP-enabled accounts kwijt .
Aan de andere kant - het is nog steeds mogelijk dat (alleen) een password van een account lekt (hergebruikt, captured, lek van hashes aan de server kant) , en in dat geval heb je nog steeds baat dat OTP aan staat, ook al is de password manager ook de authenticator.
Ik zou dus zeggen dat - afhankelijk van toegankelijkheid van de password manager - OTP , ook indien gekoppeld aan de password manager - nog steeds toegevoegde waarde kan hebben.
Het is een mogelijkheid, maar het is niet ideaal, maar hangt ook een beetje van de Tool af.
Een KeePass(XC) database kan je namelijk kopiëren, maar ook als nadeel, je kunt vanuit die database heel gemakkelijk de seed er uithalen en dus kopiëren.
Het bied dus een mogelijkheid om centraal deze gegevens op te slaan, wat een voordeel is, maar het is verre van ideaal.
Wat een mogelijke oplossing zou zijn, vaultwarden zijn.
Dit is een selfhosted Password manager dat gebaseerd is op bitwarden. Hiermee kan je TOTP codes doen, maar je beheerd wel zelf, wie er toegang heeft hiertoe en ik heb een vermoeden, dat de TOTP seeds niet te exporteren zijn.
Hiermee limiteert je dus de copy/export mogelijkheden, maar heb je wel de mogelijkheid tot centraal opslaan/beheren van de wachtwoorden en TOTP.
https://github.com/dani-garcia/vaultwarden/wiki
Een KeePass(XC) database kan je namelijk kopiëren, maar ook als nadeel, je kunt vanuit die database heel gemakkelijk de seed er uithalen en dus kopiëren.
Het bied dus een mogelijkheid om centraal deze gegevens op te slaan, wat een voordeel is, maar het is verre van ideaal.
Wat een mogelijke oplossing zou zijn, vaultwarden zijn.
Dit is een selfhosted Password manager dat gebaseerd is op bitwarden. Hiermee kan je TOTP codes doen, maar je beheerd wel zelf, wie er toegang heeft hiertoe en ik heb een vermoeden, dat de TOTP seeds niet te exporteren zijn.
Hiermee limiteert je dus de copy/export mogelijkheden, maar heb je wel de mogelijkheid tot centraal opslaan/beheren van de wachtwoorden en TOTP.
https://github.com/dani-garcia/vaultwarden/wiki
30-04-2024, 23:16 door
Anoniem
Ik gebruik Bitwarden en kan o.a. OTP en passkeys gebruiken.
Als ik bijv. bij degiro of twitter inlog dan klik ik op het account in bitwarden en alles word ingevuld ook het otp.
Ik zie hier geen probleem in, of ik nu met een authenticator de otp genereer of bitwarden genereert de OTP is voor mij hetzelfde.
Als iemand het wil misbruiken moet je toch ook de key hebben van het specifieke otp.
Als ik bijv. bij degiro of twitter inlog dan klik ik op het account in bitwarden en alles word ingevuld ook het otp.
Ik zie hier geen probleem in, of ik nu met een authenticator de otp genereer of bitwarden genereert de OTP is voor mij hetzelfde.
Als iemand het wil misbruiken moet je toch ook de key hebben van het specifieke otp.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
