Vorkauf Frage: Facebook und Nitrokey Pro (OTP) oder Nitrokey U2F


#1

Mint 19.1 64 bit (= Ubuntu 18.04 basiert), aktuell, Firefox 64.0

Linux tomtoms-computer 4.15.0-43-generic #46-Ubuntu SMP Thu Dec 6 14:45:28 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

Linux Desktop PC !

Bei meiner Frage geht es um die Nutzung der genannten Nitrokey Produkte zwecks 2FA für Facebook im Firefox auf einem Linux Desktop PC.

Laut hier desöfteren referenziertem dongleauth.info, sollte Facebook sowohl mit OTP als auch mit U2F funktionieren. Will man dann allerdings (in der englischsprachigen FB Version) die 2FA aktivieren, so erhaelt man entweder die Option einer Text Meldung (=SMS) oder einer Authentication App. Wählt man Authentication App, so erhält man einen QR Code.

Bevor mich FB hier aussperrt (das kommt häufiger vor, als man so denkt): Kann mir jemand kurz erklären, wie es ab dort weitergeht, d.h. wie man dann das OTP bzw. das U2F aktiviert?

Vielleicht gibt es dazu ja auch eine Anleitung, die ich noch nicht gefunden habe.
(und nein, ich meine nicht die Anleitung auf dongleauth)

Zwei Zusatzfragen:

  1. Kann ein und derselbe Key für mehrere Accounts verwendet werden?
  2. Wenn man dann die 2FA auf dem Desktop hinbekommen hat, funktionieren dann die genannten Nitrokeys auch unter Android mit einem OTG Kabel?

#2

Vorab: Ich habe das Vorgehen bei Facebook nicht ausprobiert, aber es funktioniert bei anderen Anbietern.

Der QR-Code enthält die Daten für die OTP-Generierung. Du kannst ihn mit einem Barcode-Leser auslesen und dann die Daten auf deinem Nitrokey einstellen. Unter Linux kannst du zum Beispiel import nutzen, um einen Screenshot zu erstellen, und zbarimg, um den QR-Code auszulesen:

$ import :- | zbarimg :-  
QR-Code:otpauth://totp/GitHub:LyaLya?secret=qmli3dwqm53vl7fy&issuer=GitHub
scanned 1 barcode symbols from 1 images in 0.02 seconds

Du musst dann den Bildschirmbereich auswählen, der den QR-Code enthält. Ich habe dieses Bild zum Testen genommen. Diese Daten kannst du dann in der Nitrokey-App einstellen.

Bei den meisten Diensten ist es übrigens so, dass du erst ein OTP generieren und eingeben musst, bevor OTP für dein Konto aktiviert wird. Das heißt, wenn die Konfiguration nicht klappt, wirst du nicht ausgesperrt, sondern du kannst es einfach nicht aktiveren.

Ja – der Nitrokey Pro und der Nitrokey Storage haben 15 Slots für TOTP (und 3 für HOTP; aber das wird selten verwendet). Pro Dienst, den du verwendest, brauchst du einen Slot.

Zu U2F kann ich nichts sagen.


#3

In der Regel wird einem angeboten, das “Geheimnis” anzeigen zu lassen, anstatt des QR-Codes. Dann kann man einfach Copy-pasten.

Das Vorgehen ist hier beschrieben.

Du kannst die OTP derzeit leider nicht auf dem Smartphone verwenden. Hierfür bräuchte es eine eigene App, die die OTPs vom Nitrokey auslesen kann.

Liebe Grüße
Alex


#4

Hi Alex,

sollte bei Clicken auf den Link ein Artikel angezeigt werden?

Bei mir wird nämlich beim Clicken darauf nur die “Applications” angezeigt (siehe nachfolgende Graphik), so dass man nicht richtig weiß, wohin man sich hier wenden soll.

Zumindest fuer FB hätten wir ja dann derzeit das Problem, dass 2FA mit OTP (oder alternativ U2F) konfiguriert wäre und dieses auf dem Desktop dann funktioniert, mobil aber kein Zugriff mehr möglich wäre (Token per SMS ist keine Alternative).

Wird es diese App denn in absehbarer Zukunft geben?
Und was müsste diese App eigentlich inhaltlich tun (Für mich als Programmierer, um den Aufwand abzuschätzen) ?

Gruß
tomtom


#5

Hi,

der Link funktioniert komischer Weise tatsächlich nicht… bitte öffne den Reiter “Login im Web mit Einmalpasswörtern (OTP, 2FA)”.

Da hast du leider recht, ja.

Wir haben dazu derzeit keine festen Pläne (aus Zeitmangel), würden das aber gerne in der Zukunft sehen.

Man müsste eine App bauen, die mittels libnitrokey den Nitrokey anspricht, denke ich. Ich kann überhaupt nicht abschätzen, wie viel Aufwand das sein wird.

Liebe Grüße
Alex