2FA WebAuthn bei der Anmeldung direkt fehlgeschlagen

  • Affected Version
    WoltLab Suite 5.4

    Wenn ich bei aktivem Sicherheitsschlüssel des iPhones mich über selbiges anmelde, erscheint nach der Eingabe von Benutzername und Passwort direkt ein Bildschirm, dass die Anfrage fehlgeschlagen ist.



    Erst nach einem erneuten Druck auf den Button funktioniert es dann.


    Ich finde, entweder sollte es direkt automatisch funktionieren oder den Vorgang nicht automatisch starten wollen. Ersteres bevorzugt.

  • Ich konnte meinen Yubikey erfolgreich hinzufügen und als ich die Anmedlung testen wollte, hat er meinen Yubikey im Login auf keinem Gerät akzeptiert, erst nach entfernen und erneutem hinzufügen des Yubikeys hat es geklappt.


    Auch via Smartphone App konnte ich mich nicht mehr einloggen hat auch ebenfalls gesagt der Code sei ungültig, aber nachdem ich den Yubikey erneut hinzugefügt habe, ging auch das. Keine Ahnung ob da was zusammen hängt oder nicht.

    • Official Post

    Hallo,

    Keine Ahnung ob da was zusammen hängt oder nicht.

    dass der YubiKey möglicherweise nicht funktioniert, hätte ich noch für plausibel gehalten. Ein Zusammenhang zwischen YubiKey und „Smartphone App“ (d.h. TOTP) ist aber absolut ausgeschlossen. Das einzige was ich mir vorstellen könnte wäre, dass du ins Rate-Limiting geraten bist. Das sollte aber zu einer eindeutigen Fehlermeldung führen.

  • Funktioniert es am „Desktop-Mac“ wie gewollt oder kommt es dort ebenfalls zu einer Fehlermeldung?

    Am Desktop-Mac in Safari kommt diese Fehlermeldung ebenfalls. Vielleicht noch zur Info, bei Safari wird das WebAuthn Fenster bei TouchID/FaceID prinzipiell erst nach Benutzereingabe geöffnet. Das steht auch so im Bugzilla von Safari:

    User activated event is required to use Face ID and Touch ID. This is part of the design of the platform authenticator itself. It has nothing to do with WebAuthn API part.

  • Hallo,

    dass der YubiKey möglicherweise nicht funktioniert, hätte ich noch für plausibel gehalten. Ein Zusammenhang zwischen YubiKey und „Smartphone App“ (d.h. TOTP) ist aber absolut ausgeschlossen. Das einzige was ich mir vorstellen könnte wäre, dass du ins Rate-Limiting geraten bist. Das sollte aber zu einer eindeutigen Fehlermeldung führen.

    Ich will auch gar nicht ausschließen das es an mir lag mit dem TOTP. Ich habe mich eingeloggt und mein Yubikey wurde als ungültig betrachtet, danach wollte ich TOTP nutzen und auch da sagte er mir immer ungültig. Kann es vielleicht sein da durch irgendeinen Fehler die Anmeldung via TOTP einfach nicht akzeptiert wurde? Was ich nicht probiert habe noch dem Login direkt via TOTP zu nutzen.

    • Official Post

    Hallo,

    Kann es vielleicht sein da durch irgendeinen Fehler die Anmeldung via TOTP einfach nicht akzeptiert wurde?

    ich sehe nicht wie so etwas passieren könnte, außer der Code ist wirklich ungültig. Die Fehlermeldung „Der eingebene Code ist ungültig.“ für TOTP / Smartphone App scheint in folgenden Fällen auf:

    • Der Code ist tatsächlich nicht gültig.
      • Uhrzeit auf dem Smartphone oder Server ist falsch.
      • Tippfehler im Code.
      • Code gehört eigentlich zu einem anderen Konto.
    • Der Code wurde bereits verwendet.
      • Dazu müsstest du dich zwei Mal innerhalb von 30 Sekunden einloggen.

    Ist „wurde bereits verwendet“ eine Möglichkeit, weil du dich im Rahmen deines Tests mehrfach ein- und ausgeloggt hast?

  • Ist „wurde bereits verwendet“ eine Möglichkeit, weil du dich im Rahmen deines Tests mehrfach ein- und ausgeloggt hast?

    Das kann evtl gut möglich sein.


    Ok das mit dem TOTP konnte ich jetzt nicht nochmal Reproduzieren dafür aber was anderes.


    Will ich meinen Yubikey hinzufügen Gebe ich einen Namen ein und starte die Anfrage an den Yubikey, dann kommt von Windows Hello die Pin-Eingabe und er sagt mir ist fertig (ohne dass ich irgendwie auf den stick tippen muss). Der Login darauf hin klappt dann nicht weil stick unbekannt.


    Gehe ich zurück zum Schlüssel hinzufügen und füge einen weiteren Stick hinzu, dann fragt Windows wieder nach der PIN und will anschließend dass ich den auf den Stick Tippe und anschließend klappt auch der Login.


    Test und Test 2 im Video sind die selben Yubikeys


    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.