OTP in wachtwoordmanager voor eindgebruikers
Wij hebben op ons werk een discussie. We hebben collega's/eindgebruikers die in de wachtwoordmanager ook de OTP willen hebben, er wordt gebruik van social media en daar willen ze tweestapsverificatie op aanzetten. Het idee is goed en je hebt natuurlijk een masterpassword nodig om in je wachtwoordmanager te komen. Alleen in mijn ogen vervalt het nut van een OTP als je deze naast je huidige wachtwoord hebt staan.
De reden dat ze dit willen is dat er onder andere stagiaires komen en gaan en ze dan alle sessies willen uitloggen, daarna moeten ze weer inloggen met een nieuw wachtwoord en de OTP.
Hoe gaan jullie hier mee om? En ter verduidelijking bij de ICT doen we dit niet. Daar hebben we op bijv. de telefoon alle OTP's staan of een fysieke hardware token.
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
Als het een OTP is als 2-factor authenticatie: waar is je 2e factor naar toe als je dat beide op dezelfde plek hebt. Slecht idee dan.
Aan der ander kant heb je toch deze gegevens op dezelfde plek staan.
Toch lijkt het me een betere optie dan geen MFA / OTP.
Zolang je de toegang tot de wachtwoordmanager goed kan beperken lijkt het me mooi bijvoorbeeld door daar wel gebruik te maken van user account met eigen creds. Bijvoorbeeld bitwarden.
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
In password managers kan je wel OTP toevoegen neem KeePass bijvoorbeeld.
De OT in OTP staat voor One Time (password) .
Bij elke inlog moet je een nieuwe code krijgen - ik snap niet hoe jullie denken dat in een wachtwoord manager op te slaan ?
In password managers kan je wel OTP toevoegen neem KeePass bijvoorbeeld.
Ah, niet gezien. Thx.
Dan fungeert de password manager als authenticator . (duh, had ik kunnen bedenken, achteraf).
Afhankelijk van waar de password manager draait heb je dan weinig extra security , of toch nog steeds baat .
_Als_ het de password manager is die lekt ben je inderdaad ook de OTP-enabled accounts kwijt .
Aan de andere kant - het is nog steeds mogelijk dat (alleen) een password van een account lekt (hergebruikt, captured, lek van hashes aan de server kant) , en in dat geval heb je nog steeds baat dat OTP aan staat, ook al is de password manager ook de authenticator.
Ik zou dus zeggen dat - afhankelijk van toegankelijkheid van de password manager - OTP , ook indien gekoppeld aan de password manager - nog steeds toegevoegde waarde kan hebben.
Een KeePass(XC) database kan je namelijk kopiëren, maar ook als nadeel, je kunt vanuit die database heel gemakkelijk de seed er uithalen en dus kopiëren.
Het bied dus een mogelijkheid om centraal deze gegevens op te slaan, wat een voordeel is, maar het is verre van ideaal.
Wat een mogelijke oplossing zou zijn, vaultwarden zijn.
Dit is een selfhosted Password manager dat gebaseerd is op bitwarden. Hiermee kan je TOTP codes doen, maar je beheerd wel zelf, wie er toegang heeft hiertoe en ik heb een vermoeden, dat de TOTP seeds niet te exporteren zijn.
Hiermee limiteert je dus de copy/export mogelijkheden, maar heb je wel de mogelijkheid tot centraal opslaan/beheren van de wachtwoorden en TOTP.
https://github.com/dani-garcia/vaultwarden/wiki
Als ik bijv. bij degiro of twitter inlog dan klik ik op het account in bitwarden en alles word ingevuld ook het otp.
Ik zie hier geen probleem in, of ik nu met een authenticator de otp genereer of bitwarden genereert de OTP is voor mij hetzelfde.
Als iemand het wil misbruiken moet je toch ook de key hebben van het specifieke otp.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.