Discussion:
TOTP - eine feine Sache
(zu alt für eine Antwort)
Onion Courier
2025-02-21 17:12:57 UTC
Permalink
Viele Menschen benutzen TOTP (Time-based One-Time-Passwort)
für gängige Online Dienste. Weniger bekannt dürfte jedoch
sein das man TOTP auch zum gegenseitigen Identifizieren
unter Freunde, in (anonymen) Echtzeit Chats (unterwegs) nutzen
kann. Dazu nimmt man, anstatt eines Yubikey mit Authenticator,
mein kleines Go Programm:

https://github.com/706f6c6c7578/TOTP

Das Programm erlaubt es auch deterministische shared secrets,
anstatt random, zu erstellen und bei höheren Latenzzeiten einen
großen -skew Wert festzulegen.

https://www.rfc-editor.org/rfc/rfc6238

Hoffe das Programm ist für den ein oder anderen nützlich!

Grüße
Stefan
Wendelin Uez
2025-02-22 10:06:08 UTC
Permalink
Post by Onion Courier
Hoffe das Programm ist für den ein oder anderen nützlich!
Mag sein, aber wenn ich DAUs senibilisieren möchte, dann würde ich es auch
DAU-gerecht aufbereiten. Hätte dann vielleicht Aussicht auf Nutzung. So eher
nicht, denn wer imstande ist, daraus schlau zu werden, der braucht das
eigentlich gar nicht.
Stefan Claas
2025-02-22 18:58:08 UTC
Permalink
Post by Wendelin Uez
Post by Onion Courier
Hoffe das Programm ist für den ein oder anderen nützlich!
Mag sein, aber wenn ich DAUs senibilisieren möchte, dann würde ich es
auch DAU-gerecht aufbereiten. Hätte dann vielleicht Aussicht auf
Nutzung. So eher nicht, denn wer imstande ist, daraus schlau zu werden,
der braucht das eigentlich gar nicht.
Das Programm ist international in Englisch gehalten und wer bereits
TOTP für gängige Online-Dienste nutzt weiß worum es geht. Also ist
es Quatsch was du da sagst das man es nicht braucht. Es gibt immer
Anwendungen wofür man TOTP nutzen kann.

Grüße
Stefan
--
Onion Courier Home Server Mon-Fri 15:00-21:00 UTC Sat-Sun 11:00-21:00 UTC
ohpmsq5ypuw5nagt2jidfyq72jvgw3fdvq37txhnm5rfbhwuosftzuyd.onion:8080 inbox
age1yubikey1qv5z678j0apqhd4ng7p22g4da8vxy3q5uvthg6su76yj0y8v7wp5kvhstum
Wendelin Uez
2025-02-22 19:07:26 UTC
Permalink
Post by Stefan Claas
Post by Wendelin Uez
Mag sein, aber wenn ich DAUs senibilisieren möchte, dann würde ich es
auch DAU-gerecht aufbereiten. Hätte dann vielleicht Aussicht auf
Nutzung. So eher nicht, denn wer imstande ist, daraus schlau zu werden,
der braucht das eigentlich gar nicht.
Das Programm ist international in Englisch gehalten und wer bereits
TOTP für gängige Online-Dienste nutzt weiß worum es geht. Also ist
es Quatsch was du da sagst das man es nicht braucht. Es gibt immer
Anwendungen wofür man TOTP nutzen kann.
Du musst genauer lesen und nicht bestreiten, was niemand behauptet hat.

Deine Doku auf Github fand ich sogar selten gut. Nichtsdestotrotz ist sie
nicht für diejenigen geeignet, die sie am dringendsten benötigen, IMHO.
Stefan Claas
2025-02-22 19:24:14 UTC
Permalink
Post by Wendelin Uez
Deine Doku auf Github fand ich sogar selten gut. Nichtsdestotrotz ist
sie nicht für diejenigen geeignet, die sie am dringendsten benötigen,
IMHO.
Warum? Erkläre mir das bitte mal etwas genauer.

Grüße
Stefan
--
Onion Courier Home Server Mon-Fri 15:00-21:00 UTC Sat-Sun 11:00-21:00 UTC
ohpmsq5ypuw5nagt2jidfyq72jvgw3fdvq37txhnm5rfbhwuosftzuyd.onion:8080 inbox
age1yubikey1qv5z678j0apqhd4ng7p22g4da8vxy3q5uvthg6su76yj0y8v7wp5kvhstum
Stefan Claas
2025-02-22 20:11:33 UTC
Permalink
Post by Stefan Claas
Post by Wendelin Uez
Deine Doku auf Github fand ich sogar selten gut. Nichtsdestotrotz ist
sie nicht für diejenigen geeignet, die sie am dringendsten benötigen,
IMHO.
Warum? Erkläre mir das bitte mal etwas genauer.
Nun gut, vielleicht sollte ich in das README einen Probelauf einfügen,
wie diesen hier:

$ totp -account "de.comp.security.misc" -issuer "Usenet Gemeinschaft" -skew 200

TOTP Authentication Tool
1. Generate a new shared secret
2. Generate a passcode
3. Validate a passcode
4. Exit
Enter your choice: 1

Choose secret generation method:
a. Random (standard)
b. Deterministic (using password and salt)
Enter your choice (a/b): a
Issuer: Usenet Gemeinschaft
Account Name: de.comp.security.misc
Secret: PBIVXGJMHANMAX6CGLSNFSTOPV55C2VP
Share this secret with the other party.

Press Enter to continue...


TOTP Authentication Tool
1. Generate a new shared secret
2. Generate a passcode
3. Validate a passcode
4. Exit
Enter your choice: 2
Enter the shared secret: PBIVXGJMHANMAX6CGLSNFSTOPV55C2VP
Current Passcode: 641198

Press Enter to continue...


TOTP Authentication Tool
1. Generate a new shared secret
2. Generate a passcode
3. Validate a passcode
4. Exit
Enter your choice: 3
Enter the shared secret: PBIVXGJMHANMAX6CGLSNFSTOPV55C2VP
Enter the passcode to validate: 641198
Valid passcode!

Press Enter to continue...


TOTP Authentication Tool
1. Generate a new shared secret
2. Generate a passcode
3. Validate a passcode
4. Exit
Enter your choice: 4
Exiting...

-skew auf 200 bedeutet das der passcode von jetzt an 200x30 Sekunden
gültig ist, also 100 Minuten. Wenn jemand jetzt das posting liest und
den passcode später überprüft ist er ungültig, wie es sein soll.

Grüße
Stefan
--
Onion Courier Home Server Mon-Fri 15:00-21:00 UTC Sat-Sun 11:00-21:00 UTC
ohpmsq5ypuw5nagt2jidfyq72jvgw3fdvq37txhnm5rfbhwuosftzuyd.onion:8080 inbox
age1yubikey1qv5z678j0apqhd4ng7p22g4da8vxy3q5uvthg6su76yj0y8v7wp5kvhstum
Wendelin Uez
2025-02-24 13:16:15 UTC
Permalink
Post by Stefan Claas
Post by Wendelin Uez
Deine Doku auf Github fand ich sogar selten gut. Nichtsdestotrotz ist
sie nicht für diejenigen geeignet, die sie am dringendsten benötigen,
IMHO.
Warum? Erkläre mir das bitte mal etwas genauer.
Sie ist zu technisch.

Die meisten Leute sind keine Fachleute, sondern nur mehr oder weniger
versierte Anwender. Ganz selten Programmierer, die sich unter Quellcode noch
was vorstellen können, und noch seltener Spezialisten, die den Quellcode
lesen können und wissen, wo sie nach was wie suchen müssen.

Von einer Software, die eine breite Masse interessieren soll, erwarte ich
folgendes:

- zuerst eine allgemeinverständliche Information, was die Software macht und
welche meiner Probleme sie lösen kann

- einen klar erkennbaren Download-Link, der mir in einem Rutsch alle
erforderlichen Dateien zum Installieren und Ausprobieren herunterlädt

- die build-Dateien interessieren mich dabei nicht die Bohne, meist ist es
eh in einer mir unbekannten Programmiersprache geschrieben, und selbst wenn
ich in so einer Sprache fit bin sind die Codes meist nur zusammengerotzt und
voller proprietärer Eigenheiten, sprich nicht ohne weiteres wiederverwendbar

- ein Exe, das ich starte und dessen UI weitgehend selbsterklärend ist, weil
ich für Ratespiele keine Zeit habe

Wenn ich so ein übliches Github-Projekt angucke, dann graust mir in aller
Regel davor, und ich beschäftige mich in aller Regel nur dann damit, wenn
ich dafür bezahlt werde. Nicht, daß man damit nicht irgendwie schlau werden
könnte, aber Appetit macht so ein Durcheinander selten, und meine Zeit ist
mir zu schade, anderem nur hinterher zu hecheln.
Onion Courier
2025-02-24 16:37:39 UTC
Permalink
Post by Wendelin Uez
Von einer Software, die eine breite Masse interessieren soll, erwarte ich
- zuerst eine allgemeinverständliche Information, was die Software macht und
welche meiner Probleme sie lösen kann
Keines dieser Programme soll ein Problem der breiten Masse lösen. Es sind Gedankenspiele.
Stefan Claas
2025-02-24 18:49:37 UTC
Permalink
Post by Wendelin Uez
Post by Stefan Claas
Post by Wendelin Uez
Deine Doku auf Github fand ich sogar selten gut. Nichtsdestotrotz ist
sie nicht für diejenigen geeignet, die sie am dringendsten benötigen,
IMHO.
Warum? Erkläre mir das bitte mal etwas genauer.
Sie ist zu technisch.
Die meisten Leute sind keine Fachleute, sondern nur mehr oder weniger
versierte Anwender. Ganz selten Programmierer, die sich unter Quellcode
noch was vorstellen können, und noch seltener Spezialisten, die den
Quellcode lesen können und wissen, wo sie nach was wie suchen müssen.
Von einer Software, die eine breite Masse interessieren soll, erwarte
- zuerst eine allgemeinverständliche Information, was die Software macht
und welche meiner Probleme sie lösen kann
- einen klar erkennbaren Download-Link, der mir in einem Rutsch alle
erforderlichen Dateien zum Installieren und Ausprobieren herunterlädt
- die build-Dateien interessieren mich dabei nicht die Bohne, meist ist
es eh in einer mir unbekannten Programmiersprache geschrieben, und
selbst wenn ich in so einer Sprache fit bin sind die Codes meist nur
zusammengerotzt und voller proprietärer Eigenheiten, sprich nicht ohne
weiteres wiederverwendbar
- ein Exe, das ich starte und dessen UI weitgehend selbsterklärend ist,
weil ich für Ratespiele keine Zeit habe
Wenn ich so ein übliches Github-Projekt angucke, dann graust mir in
aller Regel davor, und ich beschäftige mich in aller Regel nur dann
damit, wenn ich dafür bezahlt werde. Nicht, daß man damit nicht
irgendwie schlau werden könnte, aber Appetit macht so ein Durcheinander
selten, und meine Zeit ist mir zu schade, anderem nur hinterher zu
hecheln.
Vielen Dank für deine Rückmeldung! Ich habe das Programm hier vorgestellt,
was interessierte und fachkundige Leser einer Usenet Group sich ggf. ansehen
können, also nicht der breiten Masse vorgestellt.

Grüße
Stefan
--
Onion Courier Home Server Mon-Fri 15:00-21:00 UTC Sat-Sun 11:00-21:00 UTC
ohpmsq5ypuw5nagt2jidfyq72jvgw3fdvq37txhnm5rfbhwuosftzuyd.onion:8080 inbox
age1yubikey1qv5z678j0apqhd4ng7p22g4da8vxy3q5uvthg6su76yj0y8v7wp5kvhstum
Loading...