it-swarm.com.de

Wie generiere ich einen QR-Code für Google Authenticator, der den Emittenten korrekt über dem OTP anzeigt?

Ich bin mir der Dokumentation hierzu bewusst, die hier zu finden ist: Google Authenticator Key URI Format

Wenn ich diesem Beispiel auf dieser Seite folge:

otpauth://totp/Example:[email protected]?secret=JBSWY3DPEHPK3PXP&issuer=Example

Und ich "spleiere" es in eine Google Charts-URL ein, also:

https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/Example:[email protected]?secret=JBSWY3DPEHPK3PXP&issuer=Example

Es wird ein gültiger QR-Code angezeigt. Wenn ich ihn mit meiner Google Authenticator-App auf meinem Telefon scanne, werden gültige OTPs generiert.

Im Display des Telefons erhalte ich jedoch für den durch den QR-Code erstellten Eintrag die OTP und darunter die Meldung "Beispiel: [email protected]". Ich möchte, dass "Beispiel" über der OTP und "[email protected]" unter der OTP angezeigt wird. Ich kann nicht anders als zu bemerken, dass dies bei allen professionell produzierten Apps der Fall ist. Zum Beispiel Google, Wordpress, Amazon usw. Der Firmenname ist über der OTP und der Benutzername wird unter der OTP angezeigt. Ja, das ist ein rein kosmetisches Problem, aber ich möchte es richtig machen.

Kann mir jemand einen Hinweis geben?

18
Mark J. Bobak

Ich habe es gerade herausgefunden.

Wie sich herausstellte, musste ich alle Sonderzeichen in 'oauth', d. H. '$', '%', '=' Usw., kodieren.

Verwenden Sie also dieselbe Google Charts-URL wie zuvor, aber kodieren Sie diese Zeichen wie folgt:

https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/Example%3Aalice%40google.com%3Fsecret%3DJBSWY3DPEHPK3PXP%26issuer%3DExample

Und es funktioniert richtig.

15
Mark J. Bobak

Ich verwende eine andere Methode, um eine lokale Qrencode-Installation zu verwenden:

qrencode -o- -d 300 -s 10 "otpauth://totp/YOUR_IDENTIFICATION?secret=YOUR_SECRET" | display

Auf diese Weise kann ich die verlorene Authentifizierungsschlüssel-Bibliothek von dem wiederherstellen, das ich auf meinem Laptop hatte.

15
Alex

Die Antworten, die die Verwendung von Google Charts empfehlen, sind aus Sicht der Informationssicherheit absolut schrecklich. Das bedeutet im Wesentlichen, dass Sie den TOTP secret sowie Ihren Benutzernamen ([email protected]) und Emittent (Example) bei einem Drittunternehmen, das nicht gesetzlich verpflichtet ist, diese geheim zu halten, und dies über eine GET Anfrage! Auf diese Weise verletzen Sie nicht nur jede einzelne Annahme, die der Multi-Faktor-Authentifizierung zugrunde liegt, sondern höchstwahrscheinlich auch die Informationssicherheitsrichtlinie Ihres Unternehmens. Es hebt jeden von MFA erzielten Mehrwert auf, da der einzige Faktor, der Sie vor einer Beeinträchtigung Ihres Kontos im Falle einer Kennwortverletzung schützt, selbst verletzt wird.

Verwenden Sie einfach einen beliebigen QR-Code-Generator, solange er Ihre Daten lokal verarbeitet.

NIEMALS ONLINE-QR-GENERATOREN FÜR MFA-GEHEIMNISSE VERWENDEN

Unter Linux würde ich die Bibliothek python-qrcode empfehlen, die Ihren QR-Code mit ASCII Zeichen auf der Konsole drucken kann.

pip install qrcode

Dann:

qr "otpauth://totp/Example:[email protected]?secret=JBSWY3DPEHPK3PXP&issuer=Example

enter image description here

3
kravietz
0
David Thomas