2FA: Behebung von kritischen Lücken

1. offizieller Beitrag
    • Offizieller Beitrag

    Hanashi hat einen neuen Artikel veröffentlicht:

    Artikel

    2FA: Behebung von kritischen Lücken

    Soeben ist ein neues Update für das Plugin 2-Faktor-Authentisierung erschienen. Es wurde eine kritische Sicherheitslücke geschlossen. Deswegen wird dringend empfohlen das Plugin zu aktualisieren.

    Die Backup-Codes wurden nicht korrekt invalidiert. Das heißt, dass ein Backup-Code mehrfach verwendet werden konnte. Wenn also ein Angreifer an einen Backup-Code von einem Benutzer kam (z.B. durch Man-in-the-Middle-Angriff), konnte der Angreifer sich damit nicht nur einloggen, sondern auch…
    Hanashi
    12. September 2020 um 17:02

    Zitat
    Soeben ist ein neues Update für das Plugin 2-Faktor-Authentisierung erschienen. Es wurde eine kritische Sicherheitslücke geschlossen. Deswegen wird dringend empfohlen das Plugin zu aktualisieren.

    Die Backup-Codes wurden nicht korrekt invalidiert. Das heißt, dass ein Backup-Code mehrfach verwendet werden konnte. Wenn also ein Angreifer an einen Backup-Code von einem Benutzer kam (z.B. durch Man-in-the-Middle-Angriff), konnte der Angreifer sich damit nicht nur einloggen, sondern auch…

    Darauf aufmerksam gemacht hatte ich dich schon vor Wochen ;) , wenn auch nur als Frage, ob das so gedacht ist. Du bist nur nie drauf eingegangen.

    Zitat von Tina

    obwohl mir jetzt eine Userin sagte, dass sie mehrfach den gleichen Backupcode benutzen konnte. Ist das so gedacht? Meine Erwartung wäre gewesen, dass ein Backupcode eine TAN ist.

    Aber schön, dass es nun behoben ist :) .

    Es grüßt euch Tina

  • Dieses Thema enthält 3 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind.