Wäre es möglich, die Kodierung der Zeit- und Zeitzoneneinstellung zu veröffentlichen, also den Algorithmus mit dem die QR-Codes erstellt werden?
De Factor ist das Gerät ja nicht mehr nutzbar wenn die Zeit nicht mehr synchron ist (was bei mir schon vorgekommen ist), und falls irgendwann die Herstellerseite nicht mehr existiert wäre es gut, das zur Not selbst machen zu können.
0 Votes
7 Comments
Sorted by
R
René Holtzposted
almost 2 years ago
Und eine Sicherung sollte man eh haben. Ich habe alle Codes gesichert. Zudem nutze ich auf dem Smartphone zusätzlich den Aegis-Authenticator, den ich im Secure-Folder meines Samsung-Smartphones abgelegt habe. Ich habe auch eine Excel-Datei, in der ich die QR-Codes auslesen und mit den Daten neue QR-Codes erstellen kann (sogar als svg-Datei). Informationen inkl. Link zu meiner Excel-Datei gibt es im alten Forum (Dieses wird aber in Kürze geschlossen, also noch schnell rein und die Datei testen).
0 Votes
R
René Holtzposted
almost 2 years ago
Da bräuchte der Angreifer aber auch die 6-stellige PIN, die hat er aber i.d.R. nicht.
Reiner-SCT gibt es seit 25 Jahren. Es ist also nicht davon auszugehen, dass die Zeitsynchronisation so schnell verschwindet. Zudem ist Reiner derzeit der einzige Hersteller, der Klasse 3 Geräte anbietet. All die anderen Hersteller bieten nur Klasse 1 oder 2. Gemalto z.B. ist seit der Übernahme durch die Thales-Group garkeine Lesegeräte mehr, die Supportseiten sind irgendwo in den Untiefen des Internet versunken. Cherry und Orga bieten nur Klasse3 eHealth-Geräte für die Gesundheitsindustrie. Also bestehen derzeit keine Bedenken, Reiner würde die Sync-Funktion deaktivieren, und wenn könnte es ein Firmwareupdate für nanuelle Uhrzeiteinstellung geben (das wäre m.E. auch schon jetzt eine gute Idee).
0 Votes
M
Michael Borgwardtposted
almost 2 years ago
Der Javascript-Code bringt leider nichts, der macht jede Sekunde einen Aufruf nach /synchTime, und im QR-Code landet der erste Teil der Anfrage. Ich fürchte, dass der Synch-Code verschlüsselt ist, damit hat man praktisch keine Chance.
Bzgl. "Sicherheitsproblem": wenn ein Angreifer den Authenticator mit deinem Secret drin in der Hand hat ist das schon so ziemlich der worst case. OK, man kann sich jetzt Szenarien vorstellen wo das in einer Situation der Fall ist wo der Angreifer aber keine Möglichkeit hat den aktuellen Code zu nutzen (z.B. kein Internetzugriff), aber den Authenticator auch nicht unbemerkt mitnehmen kann.
Aber das ist dann schon mehr Material für einen Spionagethriller als ein echtes Bedrohungsszenario. Im Vergleich ist mir das Szenario "Der Hersteller geht pleite oder baut in 10 Jahren wenn es das Produkt nicht mehr gibt seine Webseite um" ein deutlich realistischeres Problem.
Naja, man muss ja eh irgendwie für den Fall vorsorgen dass das Gerät einfach kaputtgeht oder man es verliert.
0 Votes
R
René Holtzposted
almost 2 years ago
Gerade mal probiert. Offlien funktioniert es leider nicht. Entweder geht da wirklich nichts, oder ich übersehe was.
0 Votes
R
René Holtzposted
almost 2 years ago
<<< Dann könnte man ggf. ja die Zeit in die Zukunft stellen >>>
Das würde nichts nützen. Die Server arbeiten mit der aktuellen Zeit. Und ein Hacker kann ohne die secrets nichts ausrichten.
0 Votes
R
René Holtzposted
almost 2 years ago
Hallo!
Der Code ist schon vorhanden. Schau Dir den Seiten-Quelltext an. Darin findest Du auch die entsprechenden JavaScript-Codes. Es muss Dir nur gelingen, den Code lokal zum Laufen zu bringen.
Gruß, René
0 Votes
Hans Winterposted
almost 2 years ago
Ich fände das ziemlich unsicher, wenn die Codierung bekannt wäre. Dann könnte man ggf. ja die Zeit in die Zukunft stellen und Codes für einen bestimmten Zeitpunkt dort generieren. Das wäre ein Sicherheitsproblem.
Wäre es möglich, die Kodierung der Zeit- und Zeitzoneneinstellung zu veröffentlichen, also den Algorithmus mit dem die QR-Codes erstellt werden?
De Factor ist das Gerät ja nicht mehr nutzbar wenn die Zeit nicht mehr synchron ist (was bei mir schon vorgekommen ist), und falls irgendwann die Herstellerseite nicht mehr existiert wäre es gut, das zur Not selbst machen zu können.
0 Votes
7 Comments
René Holtz posted almost 2 years ago
0 Votes
René Holtz posted almost 2 years ago
0 Votes
Michael Borgwardt posted almost 2 years ago
Der Javascript-Code bringt leider nichts, der macht jede Sekunde einen Aufruf nach /synchTime, und im QR-Code landet der erste Teil der Anfrage. Ich fürchte, dass der Synch-Code verschlüsselt ist, damit hat man praktisch keine Chance.
Bzgl. "Sicherheitsproblem": wenn ein Angreifer den Authenticator mit deinem Secret drin in der Hand hat ist das schon so ziemlich der worst case. OK, man kann sich jetzt Szenarien vorstellen wo das in einer Situation der Fall ist wo der Angreifer aber keine Möglichkeit hat den aktuellen Code zu nutzen (z.B. kein Internetzugriff), aber den Authenticator auch nicht unbemerkt mitnehmen kann.
Aber das ist dann schon mehr Material für einen Spionagethriller als ein echtes Bedrohungsszenario. Im Vergleich ist mir das Szenario "Der Hersteller geht pleite oder baut in 10 Jahren wenn es das Produkt nicht mehr gibt seine Webseite um" ein deutlich realistischeres Problem.
Naja, man muss ja eh irgendwie für den Fall vorsorgen dass das Gerät einfach kaputtgeht oder man es verliert.
0 Votes
René Holtz posted almost 2 years ago
Gerade mal probiert. Offlien funktioniert es leider nicht. Entweder geht da wirklich nichts, oder ich übersehe was.
0 Votes
René Holtz posted almost 2 years ago
0 Votes
René Holtz posted almost 2 years ago
0 Votes
Hans Winter posted almost 2 years ago
Ich fände das ziemlich unsicher, wenn die Codierung bekannt wäre. Dann könnte man ggf. ja die Zeit in die Zukunft stellen und Codes für einen bestimmten Zeitpunkt dort generieren. Das wäre ein Sicherheitsproblem.
0 Votes
Login or Sign up to post a comment