Posts by Vakarian

    Ohne euch zu nah zu treten, aber wenn ich mir die letzten Beiträge so ansehe scheinen weder du noch dein "Servermann" viel Ahnung zu haben.


    Habt ihr mal Versucht von eurem WSC eine E-Mail an eine Adresse auf dem selben Server zu versenden?

    Habt ihr mal Versucht von einer E-Mail Adresse die ihr im Plesk angelegt habt eine E-Mail an z.B. Google Mail zu verschicken?


    Was auch durchaus denkbar ist wenn ich mir das hier mal so ansehe, habt ihr mal überhaupt geprüft, ob euer Server auf irgendwelchen Blacklisten steht?


    Ich weiß, unter Plesk Onyx damals konnte mal die Mail Geschichte nicht Installieren da Plesk diese unbedingt meinte zu brauchen. Aber schonmal überlegt die Mail Ports in der Firewall zu blockieren? Da euch ja eh alles scheiß egal .... ein Server weniger der schonmal Spam versendet.

    So haben wir das auch gemacht, die Einstellung für alle default auf Deaktiviert gestellt und gut war, kaum einer wird das aktivieren .

    Bleibt die „E-Mail-Bestätigung“. Diese bietet für Laien einen echten Mehrwert gegenüber dem reinen Kennwort. Erfahrene Benutzer können diese einfach abgeschaltet lassen und haben ein sicheres Konto.

    Könnte man da dann noch eine Info in die Richtung packen, dass dies nun einen gewissen Schutz bietet weil sofern der Zugriff auf das E-Mail Konto besteht weil gleiche Passwörter ist das jetzt nicht so unbedingt mehr sicher.



    bzw: Einen Indikator was jetzt sehr sicher ist und was etwas weniger? Damit das dann auch Laien verstehen?

    Mit einem Integrierten Schlüssel habe ich auch schon die Vermutung gehabt, allerdings ist Woltlab die einzige Seite bei der das passiert ist.

    Der Yubikey war zum Zeitpunkt ersten Anfrage nicht Verbunden, allerdings passiert das selbe auch wenn er verbunden ist.


    Sind die beiden Sicherheitsschlüssel noch in deinem Benutzerkonto registriert? Wenn du einverstanden bist, dann würde ich gerne einmal in der Datenbank schauen, was gespeichert ist.

    Ich habe diese soeben wieder wie im Video hinzugefügt und jap ich bin damit einverstanden.

    Kannst du es bitte auch einmal hier testen: https://demo.yubico.com/webauthn-technical/registration? Mich würden jeweils die technischen Ausgaben (insbesondere das Attestation Certificate nach der Registrierung) interessieren.

    Ich habe dir dazu eine PN geschickt, da ich jetzt nicht weiß inwiefern das für die Öffentlichkeit bestimmt ist.


    Der Test umgeht meinen Yubikey total, Windows fragt nach der Pin und sagt am ende auch Authentication successful! Auch mit nicht verbundenen Yubikey.


    Auf der Playground Seite habe ich die Möglichkeit gehabt:

    1. einen Security Key hinzuzufügen
      • da wollte er auch unbedingt den Yubikey haben
    2. einen Built-in Authenticator hinzuzufügen
      • da hat mich windows schließlich nur nach der PIN gefragt.

    Ich kann mich sowohl mit dem Built-in Athenticator als auch mit dem Yubikey erfolgreich anmelden.


    Kann es vielleicht sein, dass hier das WSC irgendwas nicht beachtet oder verallgemeinert?

    Will ich meinen Yubikey hinzufügen Gebe ich einen Namen ein und starte die Anfrage an den Yubikey, dann kommt von Windows Hello die Pin-Eingabe und er sagt mir ist fertig (ohne dass ich irgendwie auf den stick tippen muss). Der Login darauf hin klappt dann nicht weil stick unbekannt.


    Gehe ich zurück zum Schlüssel hinzufügen und füge einen weiteren Stick hinzu, dann fragt Windows wieder nach der PIN und will anschließend dass ich den auf den Stick Tippe und anschließend klappt auch der Login.


    Test und Test 2 im Video sind die selben Yubikeys.

    Chrome Version 90.0.4430.93

    Windows 10 19042.928


    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    Unter Android 12 funktioniert es auf anhieb.

    Ist „wurde bereits verwendet“ eine Möglichkeit, weil du dich im Rahmen deines Tests mehrfach ein- und ausgeloggt hast?

    Das kann evtl gut möglich sein.


    Ok das mit dem TOTP konnte ich jetzt nicht nochmal Reproduzieren dafür aber was anderes.


    Will ich meinen Yubikey hinzufügen Gebe ich einen Namen ein und starte die Anfrage an den Yubikey, dann kommt von Windows Hello die Pin-Eingabe und er sagt mir ist fertig (ohne dass ich irgendwie auf den stick tippen muss). Der Login darauf hin klappt dann nicht weil stick unbekannt.


    Gehe ich zurück zum Schlüssel hinzufügen und füge einen weiteren Stick hinzu, dann fragt Windows wieder nach der PIN und will anschließend dass ich den auf den Stick Tippe und anschließend klappt auch der Login.


    Test und Test 2 im Video sind die selben Yubikeys


    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.

    Hallo,

    dass der YubiKey möglicherweise nicht funktioniert, hätte ich noch für plausibel gehalten. Ein Zusammenhang zwischen YubiKey und „Smartphone App“ (d.h. TOTP) ist aber absolut ausgeschlossen. Das einzige was ich mir vorstellen könnte wäre, dass du ins Rate-Limiting geraten bist. Das sollte aber zu einer eindeutigen Fehlermeldung führen.

    Ich will auch gar nicht ausschließen das es an mir lag mit dem TOTP. Ich habe mich eingeloggt und mein Yubikey wurde als ungültig betrachtet, danach wollte ich TOTP nutzen und auch da sagte er mir immer ungültig. Kann es vielleicht sein da durch irgendeinen Fehler die Anmeldung via TOTP einfach nicht akzeptiert wurde? Was ich nicht probiert habe noch dem Login direkt via TOTP zu nutzen.

    Ich konnte meinen Yubikey erfolgreich hinzufügen und als ich die Anmedlung testen wollte, hat er meinen Yubikey im Login auf keinem Gerät akzeptiert, erst nach entfernen und erneutem hinzufügen des Yubikeys hat es geklappt.


    Auch via Smartphone App konnte ich mich nicht mehr einloggen hat auch ebenfalls gesagt der Code sei ungültig, aber nachdem ich den Yubikey erneut hinzugefügt habe, ging auch das. Keine Ahnung ob da was zusammen hängt oder nicht.

    Hallo,


    ich habe meine Display-Sperre unter Android 10, Chrome eben erfolgreich einrichten können. Ich konnte auch meinen NFC-YubiKey am Android erfolgreich zur Authentifizierung nutzen.


    SoftCreatR Hast du die Möglichkeit mit einem Debugger zu schauen was da passiert?

    Unter Andriod 12 konnte ich ebenfalls beides nutzen, Biometrie sowie Yubikey. (Chrome Browser)

    Einfach alle Datein aus dem Verzeichnis der Domain löschen sowie im Webinterface von deinem Anbieter die Datenbak löschen und eine neue Anlegen.


    Dann einfach den Inhalt des uploads Ordner in das Domain Verzeichnis hochladen und die Install.php aufrufen.

    Bin grade nicht zuhause aber bei deiner Domain unter Hosting-Einstellungen kann man den Domain Pfad glaube nachträglich noch festlegen.


    Im ACP geht das unter Konfiguration > Apps Verwalten. Sollte das ACP nicht nutzbar sein, müssen die Domains in der Datenbank angepasst werden, frag mich aber nicht wie genau die Tabelle heißt.