Die einzige Möglichkeit für die Einstellung der Uhrzeit ist die Webseite von Reiner. Ich fühle mich hier ziemlich abhängig, da ich das Gerät wegwerfen kann sobald Reiner diese Seite mit QR Uhrzeit nicht mehr bereitstellt.
Ist geplant in einem Update eine manuelle Möglichkeit zur Einstellung der Uhrzeit einzubauen? Ursprünglich wollte ich noch ein zweites Reservegerät kaufen, da mit normalen Batterien und ausgedrucktem QR-Code beliebig lange einlagerbar. Ohne Möglichkeit die Uhrzeit manuell zu setzen hat das momentan einen schalen Wegwerf-Beigeschmack.
Danke!
1 Votes
7 Comments
Sorted by
R
René Holtzposted
3 months ago
Technisch ist es durchaus möglich, die Uhrzeit als QR-Code darzustellen. Das habe ich sogar schon. Der Code von Reiner-SCT ist allerdings verschlüsselt, weshalb er auch nicht nachgebildet werden kann. Es wird aber sicher einen Grund geben, weshalb Reiner-SCT das nicht veröffentlicht.
0 Votes
m
markus dposted
4 months ago
Hallo Kai Z,
genau mein Punkt! Der SCT Authenticator wäre das ideale Gerät für ein Disaster recovery, wenn es nicht diese Abhängigkeit zum Zeitserver gäbe.
Ein möglicher Ansatz wäre z.B. eine alternative Firmware mit manueller Einstellmöglichkeit anzubieten, welche nach Installation keinen Weg zurück zur normalen Firmware anbietet und etwa über eine andere Hintergrundfarbe klar als "unsicherer wg. manueller Zeiteinstellungsmöglichkeit" erkennbar wäre.
Solange die Firma nicht will oder ein Großkunde so eine Funktion anfragt (und bezahlt), wird es sowas leider nicht geben. Ist dann leider so.
0 Votes
K
Kai Zposted
4 months ago
Guten Tag, sehr geehrter Herr Sauter,
guten Tag Markus.
Ich bin im Besitz mehrerer Reiner SCT Authenticator Geräte. Die Hälfte davon soll als Backup dienen.
Was die Zeitsynchronisierung über Website via verschlüsseltem QR-Code angeht, so kann ich mich Markus nur anschließen.
Wenn die Seite gehackt wird oder aus sonstigen Gründen nicht mehr erreichbar ist, so ist der Authenticator potentiell nicht mehr funktionsfähig. (Z.B. bei batterieloser Lagerung; Und selbst mit konstant installierten Batterien musste ich schon mehrfach Geräte neu synchronisieren.)
Da die Möglichkeit besteht, den Authenticator via Pin-Code zu schützen erschließt sich mir das Angriffszenario der Generierung zukünftiger TOTP-Codes durch dritte nicht.
Wenn dieses Problem nicht behoben wird, werde ich mich wohl nach einer alternative umsehen müssen - was sehr schade wäre, da ich sonst mit dem Gerät/Konzept sehr zufrieden bin.
Mit freundlichen Grüßen,
Kai Z
1 Votes
m
markus dposted
4 months ago
Im genannten Szenario (kein Seed im Gerät, QR Code muss vorliegen, um überhaupt TOTP generieren zu können) würde ich es nicht als Schwäche des SCT authenticators sehen, dass zukünftige Codes ermittelt werden könnten. Kernpunkt ist m.E., dass der Seed im Gerät geschützt ist und Schutzwürdigkeit besteht. Da nach einem Reset zwangsläufig ein externer QR Code ungeschützt vorliegen muss, wäre das zigfach anders angreifbar.
Aber gut, Firmenpolitik. Ist vielleicht manchen Nutzern schwierig zu erklären, warum etwa die manuelle Einstellung der Zeit nur möglich wäre, solange keine Seeds im Gerät sind.
Danke zumindest für die Aussage zur Verfügbarkeit des Zeitservers. Falls dieser eines Tages abgeschaltet wird, wäre eine Ankündigung auf der Synchronisierungsseite mit langem Vorlauf von einem halben oder vielleicht ganzen Jahr sehr nett. Danke!
1 Votes
Philipp Sauterposted
4 months ago
Admin
Hallo markus d,
das Problem bleibt leider das gleiche. Sollten Sie die Zeit manuell auf eine Stunde in die Zukunft setzen (im Werkszustand) und anschließend ein Konto einspielen, hätten Sie das gleiche Problem wie oben beschrieben.
Deshalb ist das leider nicht möglich.
Wir können Ihnen jedoch sagen, dass wir diesen Markt als zukunftsträchtig sehen und es keinerlei Pläne gibt den Zeitserver abzuschalten.
Viele Grüße
Philipp Sauter
Produktmanager Bereich Security Products
0 Votes
m
markus dposted
4 months ago
Hallo Herr Sauter,
ok, das ist eine nachvollziehbare Gefahr, wenn bereits Seeds auf dem Gerät sind.
Vielleicht könnte Reiner zumindest in den Workflow für das Zurücksetzen auf den Werkszustand (dann können noch keine Seeds auf dem Gerät gespeichert sein) das einmalige manuelle Neusetzen der Uhrzeit erlauben. Wie gesagt, die Abhängigkeit von der Webseite für die Zeitsynchronisation ist ein gewisses Verfügbarkeitsrisiko gerade für als Reserve gehaltene Geräte.
Danke und ein Schönes Wochenende!
1 Votes
Philipp Sauterposted
4 months ago
Admin
Hallo Markus d,
ein manuelles setzen der Uhrzeit ist nicht möglich, da sonst TOTP-Codes mit einem Datum und einer Uhrzeit in der Zukunft ermittelt würden können.
Die einzige Möglichkeit für die Einstellung der Uhrzeit ist die Webseite von Reiner. Ich fühle mich hier ziemlich abhängig, da ich das Gerät wegwerfen kann sobald Reiner diese Seite mit QR Uhrzeit nicht mehr bereitstellt.
Ist geplant in einem Update eine manuelle Möglichkeit zur Einstellung der Uhrzeit einzubauen? Ursprünglich wollte ich noch ein zweites Reservegerät kaufen, da mit normalen Batterien und ausgedrucktem QR-Code beliebig lange einlagerbar. Ohne Möglichkeit die Uhrzeit manuell zu setzen hat das momentan einen schalen Wegwerf-Beigeschmack.
Danke!
1 Votes
7 Comments
René Holtz posted 3 months ago
Technisch ist es durchaus möglich, die Uhrzeit als QR-Code darzustellen. Das habe ich sogar schon. Der Code von Reiner-SCT ist allerdings verschlüsselt, weshalb er auch nicht nachgebildet werden kann. Es wird aber sicher einen Grund geben, weshalb Reiner-SCT das nicht veröffentlicht.
0 Votes
markus d posted 4 months ago
Hallo Kai Z,
genau mein Punkt! Der SCT Authenticator wäre das ideale Gerät für ein Disaster recovery, wenn es nicht diese Abhängigkeit zum Zeitserver gäbe.
Ein möglicher Ansatz wäre z.B. eine alternative Firmware mit manueller Einstellmöglichkeit anzubieten, welche nach Installation keinen Weg zurück zur normalen Firmware anbietet und etwa über eine andere Hintergrundfarbe klar als "unsicherer wg. manueller Zeiteinstellungsmöglichkeit" erkennbar wäre.
Solange die Firma nicht will oder ein Großkunde so eine Funktion anfragt (und bezahlt), wird es sowas leider nicht geben. Ist dann leider so.
0 Votes
Kai Z posted 4 months ago
Guten Tag, sehr geehrter Herr Sauter,
guten Tag Markus.
Ich bin im Besitz mehrerer Reiner SCT Authenticator Geräte. Die Hälfte davon soll als Backup dienen.
Was die Zeitsynchronisierung über Website via verschlüsseltem QR-Code angeht, so kann ich mich Markus nur anschließen.
Wenn die Seite gehackt wird oder aus sonstigen Gründen nicht mehr erreichbar ist, so ist der Authenticator potentiell nicht mehr funktionsfähig. (Z.B. bei batterieloser Lagerung; Und selbst mit konstant installierten Batterien musste ich schon mehrfach Geräte neu synchronisieren.)
Da die Möglichkeit besteht, den Authenticator via Pin-Code zu schützen erschließt sich mir das Angriffszenario der Generierung zukünftiger TOTP-Codes durch dritte nicht.
Wenn dieses Problem nicht behoben wird, werde ich mich wohl nach einer alternative umsehen müssen - was sehr schade wäre, da ich sonst mit dem Gerät/Konzept sehr zufrieden bin.
Mit freundlichen Grüßen,
Kai Z
1 Votes
markus d posted 4 months ago
Im genannten Szenario (kein Seed im Gerät, QR Code muss vorliegen, um überhaupt TOTP generieren zu können) würde ich es nicht als Schwäche des SCT authenticators sehen, dass zukünftige Codes ermittelt werden könnten. Kernpunkt ist m.E., dass der Seed im Gerät geschützt ist und Schutzwürdigkeit besteht. Da nach einem Reset zwangsläufig ein externer QR Code ungeschützt vorliegen muss, wäre das zigfach anders angreifbar.
Aber gut, Firmenpolitik. Ist vielleicht manchen Nutzern schwierig zu erklären, warum etwa die manuelle Einstellung der Zeit nur möglich wäre, solange keine Seeds im Gerät sind.
Danke zumindest für die Aussage zur Verfügbarkeit des Zeitservers. Falls dieser eines Tages abgeschaltet wird, wäre eine Ankündigung auf der Synchronisierungsseite mit langem Vorlauf von einem halben oder vielleicht ganzen Jahr sehr nett. Danke!
1 Votes
Philipp Sauter posted 4 months ago Admin
Hallo markus d,
das Problem bleibt leider das gleiche. Sollten Sie die Zeit manuell auf eine Stunde in die Zukunft setzen (im Werkszustand) und anschließend ein Konto einspielen, hätten Sie das gleiche Problem wie oben beschrieben.
Deshalb ist das leider nicht möglich.
Wir können Ihnen jedoch sagen, dass wir diesen Markt als zukunftsträchtig sehen und es keinerlei Pläne gibt den Zeitserver abzuschalten.
Viele Grüße
Philipp Sauter
Produktmanager Bereich Security Products
0 Votes
markus d posted 4 months ago
Hallo Herr Sauter,
ok, das ist eine nachvollziehbare Gefahr, wenn bereits Seeds auf dem Gerät sind.
Vielleicht könnte Reiner zumindest in den Workflow für das Zurücksetzen auf den Werkszustand (dann können noch keine Seeds auf dem Gerät gespeichert sein) das einmalige manuelle Neusetzen der Uhrzeit erlauben. Wie gesagt, die Abhängigkeit von der Webseite für die Zeitsynchronisation ist ein gewisses Verfügbarkeitsrisiko gerade für als Reserve gehaltene Geräte.
Danke und ein Schönes Wochenende!
1 Votes
Philipp Sauter posted 4 months ago Admin
Hallo Markus d,
ein manuelles setzen der Uhrzeit ist nicht möglich, da sonst TOTP-Codes mit einem Datum und einer Uhrzeit in der Zukunft ermittelt würden können.
0 Votes
Login or Sign up to post a comment