8:19 a.m.
Tack för informationen och förklaringen om osäkerheten med TOTP.
Det var dock mest vad problemet med min konfiguration var som jag var
ute efter. Men jag lägger TOTP på is och börjar titta på webauthn.
/Mats
On 2024-09-27 20:50, Pål Axelsson wrote:
Hallå,
Det finns två problem med TOTP:
Det enklaste är telefonfiske där du ringer användaren och lurar dem
att ge aktuell kod för att verifiera att man pratar med rätt person.
Det lite mer komplexa är att man får fysisk tillgång användaren
telefon under en liten tid och använder authenticatorappens inbyggda
funktion för att överföra mellan enheter och därefter kviterar den
fördröja varningsinformationen.
Första fallet är en engångsanvändning och fall 2 är långsiktig access.
Pål
Den fre 27 sep. 2024 18:29Mats Luspa <mats.luspa(a)irf.se> skrev:
Ok, jag förstår detta. Men det skulle varit intressant att få reda
på vad problemet består i. Men det är nog bäst att vänta med detta
tills passkeys kommer för Shibboleth.
/MVH Mats
Den 2024-09-27 kl. 16:32, skrev Pål Axelsson:
--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik Fax: +46 (0)980 79 050
Swedish Institute of Space Physics email:matsl@irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key:https://www.irf.se/pgp/matsl
Digital vcard:https://www.irf.se/vcard/mats.luspa
Hej Mats,
VI rekommenderar att inte införa TOTP som andra faktor eftersom
det är en nätfiskesårbar teknik. Vidare står det i nuvarande
tillitsprofiler som guidance att TOTP kommer att plockas bort
som godkänd teknik under 2025 och i kommande förslag om
uppdatering av tillitsprofilerna att mjukvarubaserad TOTP inte är
tillåten efter årsskiftet 2025/26.
Den teknik som primärt ersätter TOTP är passkeys och fysiska
säkerhetsnycklar. Shibboleth Identty Provider kommer få
officiellt stöd för detta senare i år om jag förstått konsortiet
korrekt.
Pål
------ Originalmeddelande ------
Från "Mats Luspa via Saml-admins" <saml-admins(a)lists.sunet.se>
Till "saml-admins(a)swamid.se" <mailto:saml-admins@swamid.se>
<saml-admins(a)swamid.se>
Datum 2024-09-27 15:19:35
Ämne [Saml-admins] MFA i shibboleth
> Hej!
> Jag har försökt implementera MFA i shibboleth med TOTP. Jag
> skickar i bilagan dokumentationen hur jag gjort.
> I slutet av dokumentationen ser ni problemet jag stöter på. Jag
> antar att en del av er redan implementerat MFA med lyckat
> resultat och kanske kan se något uppenbart fel i konfigurationen.
> /MVH Mats
> -- --
> Mats Luspa
> Phone: +46 (0)980 79 022
> Cellular phone: +46 (0)725813330
> Institutet för rymdfysik Fax: +46 (0)980 79 050
> Swedish Institute of Space Physics email: matsl(a)irf.se
> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
> Postal address: Box 812, SE-981 28 Kiruna
> --
> PGP Public Key: https://www.irf.se/pgp/matsl
> Digital vcard: https://www.irf.se/vcard/mats.luspa