Sicherheitsschlüssel hinzufügen schlägt fehl

  • Affected Version
    WoltLab Suite 5.4

    Will ich meinen Yubikey hinzufügen Gebe ich einen Namen ein und starte die Anfrage an den Yubikey, dann kommt von Windows Hello die Pin-Eingabe und er sagt mir ist fertig (ohne dass ich irgendwie auf den stick tippen muss). Der Login darauf hin klappt dann nicht weil stick unbekannt.


    Gehe ich zurück zum Schlüssel hinzufügen und füge einen weiteren Stick hinzu, dann fragt Windows wieder nach der PIN und will anschließend dass ich den auf den Stick Tippe und anschließend klappt auch der Login.


    Test und Test 2 im Video sind die selben Yubikeys.

    Chrome Version 90.0.4430.93

    Windows 10 19042.928


    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    Unter Android 12 funktioniert es auf anhieb.

    • Official Post

    Hallo,


    wenn ich die Windows-Geräusche richtig interpretiere, dann war dein YubiKey zum Zeitpunkt der ersten Anfrage noch nicht eingesteckt. Möglicherweise hat Windows dann einen integrierten Software-Sicherheitsschlüssel genutzt. Das erklärt aber natürlich nicht, warum Windows sich anschließend nicht mit dem Sicherheitsschlüssel authentifizieren konnte.


    Auf den ganzen Prozess haben wir in der Software allerdings kaum Einfluss. Wir können nur die Daten nutzen, die der Webbrowser uns gibt. Die PIN-Eingabe und alles weitere erfolgt komplett außerhalb unseres Einflussbereichs.


    Sind die beiden Sicherheitsschlüssel noch in deinem Benutzerkonto registriert? Wenn du einverstanden bist, dann würde ich gerne einmal in der Datenbank schauen, was gespeichert ist.


    Kannst du es bitte auch einmal hier testen: https://demo.yubico.com/webauthn-technical/registration? Mich würden jeweils die technischen Ausgaben (insbesondere das Attestation Certificate nach der Registrierung) interessieren.

  • Mit einem Integrierten Schlüssel habe ich auch schon die Vermutung gehabt, allerdings ist Woltlab die einzige Seite bei der das passiert ist.

    Der Yubikey war zum Zeitpunkt ersten Anfrage nicht Verbunden, allerdings passiert das selbe auch wenn er verbunden ist.


    Sind die beiden Sicherheitsschlüssel noch in deinem Benutzerkonto registriert? Wenn du einverstanden bist, dann würde ich gerne einmal in der Datenbank schauen, was gespeichert ist.

    Ich habe diese soeben wieder wie im Video hinzugefügt und jap ich bin damit einverstanden.

    Kannst du es bitte auch einmal hier testen: https://demo.yubico.com/webauthn-technical/registration? Mich würden jeweils die technischen Ausgaben (insbesondere das Attestation Certificate nach der Registrierung) interessieren.

    Ich habe dir dazu eine PN geschickt, da ich jetzt nicht weiß inwiefern das für die Öffentlichkeit bestimmt ist.


    Der Test umgeht meinen Yubikey total, Windows fragt nach der Pin und sagt am ende auch Authentication successful! Auch mit nicht verbundenen Yubikey.


    Auf der Playground Seite habe ich die Möglichkeit gehabt:

    1. einen Security Key hinzuzufügen
      • da wollte er auch unbedingt den Yubikey haben
    2. einen Built-in Authenticator hinzuzufügen
      • da hat mich windows schließlich nur nach der PIN gefragt.

    Ich kann mich sowohl mit dem Built-in Athenticator als auch mit dem Yubikey erfolgreich anmelden.


    Kann es vielleicht sein, dass hier das WSC irgendwas nicht beachtet oder verallgemeinert?

    • Official Post

    Hallo,

    Ich habe dir dazu eine PN geschickt, da ich jetzt nicht weiß inwiefern das für die Öffentlichkeit bestimmt ist.

    Die gezeigten Daten könnten theoretisch veröffentlicht werden. Aus Privatsphäre-Gründen wird bei WebAuthn / Sicherheitsschlüsseln ohnehin bei jeder Webseite ein neuer Schlüssel generiert.

    Der Test umgeht meinen Yubikey total, Windows fragt nach der Pin und sagt am ende auch Authentication successful! Auch mit nicht verbundenen Yubikey.

    Kannst du es bitte auch einmal im Microsoft Edge probieren?

  • Hallo!


    Ich habe den Login über den Sicherheitsschlüssel mal selbst (erfolgreich) ausprobiert. Als Sicherheitsschlüssel verwende ich (nur) Windows Hello, da ich keinen Yubikey besitze.


    1. Ich rufe die Seite zum Hinzufügen eines Sicherheitsschlüssels auf

    2. Ich gebe dem Sicherheitsschlüssel einen Namen und stelle eine Anfrage an den Sicherheitsschlüssel (Screenshot 1)

    3. Eingabe meiner Windows Hello PIN, die Anfrage verlief erfolgreich

    4. Absenden -> Sicherheitsschlüssel wurde erfolgreich hinterlegt. (Screenshot 2)

    5. Öffnen eines privaten Fensters um den Anmeldevorgang zu testen

    6. Eingeben von Benutzername und Passwort

    7. Aufforderung zur Eingabe des Sicherheitsschlüssels öffnet sich (Screenshot 3)

    8. Nach dem Absenden der Windows Hello PIN werde ich zur Startseite weitergeleitet.


    // Der Login klappt im Firefox, im Edge und im Chrome.

  • Hallo,


    hast du Windows zur Verfügung?

    Ja, bei mir geht WebAuthn via YubiKey problemlos (getestet in Chrome, Firefox und Edge auf aktuellen Windows 10). Allerdings fragen die Browser gar nicht mein, auf dem YubiKey gesetztes, Passwort ab.


    Windows Hello kann ich leider auf dem Firmenlaptop nicht testen.

  • Also ich kann beides problemlos einrichten und verwenden. Beim Login werde ich dann gefragt, was ich nutzen will:




    Logge ich mich allerdings im Inkognito-Modus ein, wird mir Windows Hello nicht angeboten, sondern lediglich der Security-Key. Breche ich den Vorgang ab, wird angezeigt:


    Quote

    Warten auf Anfrage


    Klicke ich dann auf den Button und breche erneut ab, kommt die Fehlermeldung:


    Quote

    Sie haben den Zugriff auf den Sicherheitsschlüssel nicht (rechtzeitig) gestattet. Bitte stellen Sie eine neue Anfrage an den Sicherheitsschlüssel.

  • Ich hab auch noch fix einen Screencast gemacht:


    External Content youtu.be
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    Hier habe ich sowohl Windows Hello, als auch den Security Key nacheinander hinzugefügt.


    Dann habe ich noch einen Durchlauf gestartet und diesmal nur den Security Key hinzugefügt:


    External Content youtu.be
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    Wie man sieht, musste ich den ersten Dialog abbrechen, um zum Dialog zum Hinzufügen des Security-Keys zu kommen.