WinAuth -> zu unsicher weil Open Source und "aus der Gamer Szene"

[Sandro_Suchti]

Hallo Freunde,

ich würde gerne über etwas mit euch diskutieren.

Bei uns in der IT - wir sind eine Körperschaft des öffentlichen Rechts - kam die Anfrage zur Umsetzung von 2FA bei FinanzOnline, ein Portal vom Finanzamt wo man unter anderem seine Steuererklärungen einreichen kann. Es müssen nämlich mehrere den gleichen Zugang verwenden, die Handys sind aber personalisiert. Daher kam vom User in der selben E-Mail noch die Frage wie es mit WinAuth aussähe, weil das ja von FinanzOnline selber empfohlen wird (es gibt von denen sogar eine Anleitung dafür). Da wir im 1st und 2nd Level solche Anfragen nicht selber bearbeiten dürfen weil Datenschutz und so weiter bzw. keine Entscheidungsträger sind, macht das unser Abteilungsleiter, also der Chef der IT.

Seine Antwort darauf war sinngemäß: "WinAuth als einzig bekannte Variante für den Desktop wird nicht empfohlen weil Open Source und aus der Gamer Szene stammend und daher zu unsicher."

Als ich das gelesen habe fiel mir erstmal die Kinnlade runter. Stammt aus der Gamer Szene? What? Achso, auf deren Website werden kurz Steam Trading Confirmations beschrieben. Aber unsicher obwohl es vom Finanzamt selbst empfohlen wird und weil es Open Source ist?


Am Ende wird es wohl auf ein nicht personalisiertes Smartphone hinauslaufen, das man dann halt in einen Safe packt. Aber was sagt ihr dazu?

 

[|Moppel|]

Der Typ hat keine Lust sich damit zu beschäftigen.

 

[RedPanda05]

Es geht um das Tool?
https://github.com/winauth/winauth

Bei der Beschreibung kann man den Gedanken schon irgendwie nachvollziehen. Mir würde eher aufstoßen, dass es scheinbar nicht mehr weiterentwickelt wird.
Ich kenne das Tool nicht, aber gibt es dort keine Chance, dass mal eine Sicherheitslücke geschlossen werden muss?

Korrektur: Schein wohl einfach ein normaler Totp Authentificator zu sein, der wohl irgendwie zusätzlich Steam Guard supported.

 

[xammu]

9 Jahre alt. Würde ich nicht mehr nehmen. unabhängig davon was der IT Chef sagt.

eher das
https://proton.me/authenticator/download

 

[TheBeastMaster]

Wenn die Top machen: Aegis Authentificator

 

[xammu]

@TheBeastMaster er braucht was für Windows.

 

[Matthias80]

also der Chef der IT

da hat er wohl KI benutzt um sich zu "informieren"

 

[RedPanda05]

Vielleicht gefällt ihm der besser?
https://github.com/2fast-team/2fast

Kein Steam etc. auf der Seite und im offiziellen MS Store gelistet.

 

[G00fY]

Als ich das gelesen habe fiel mir erstmal die Kinnlade runter. Stammt aus der Gamer Szene? What? Achso, auf deren Website werden kurz Steam Trading Confirmations beschrieben. Aber unsicher obwohl es vom Finanzamt selbst empfohlen wird und weil es Open Source ist?

Ich sehe da einige Red Flags:

• letzter Commit 8 Jahre her
• Repo is achieved
• 172 Open GitHub Issues
• Hauptfokus in der Readme auf Crypto und Online Gaming Plattformen

Nur weil das Tool in den FAQs von FinanzOnline auftaucht, heißt das nicht, dass das Tool uneingeschränkt geeignet ist. Auf dieser Seite des Zentrum für sichere Informationstechnologie taucht WinAuth beispielsweise nicht auf.

Ich würde mich einfach mal über gute PW Manager für die Firma informieren. Die meisten davon können auch TOTP.

 

[Innensechskant]

Ich kann das hier empfehlen, kann man zum synchronisieren auch selbst hosten und es gibt für fast alle Geräte Clients: https://ente.io/auth/

 

[TheBeastMaster]

@TheBeastMaster er braucht was für Windows.

Ahh OK. Für mich scheidet das gedanklich den zweiten Faktor am selben Gerät zu nutzen 😅

 

[Sandro_Suchti]

@G00fY
Mag alles sein, aber er hat solche Clients für Windows generell abgelehnt. Offensichtlich ist WinAuth nicht der einzige und was an Open Source so schlimm sein soll kann ich ebenfalls nicht nachvollziehen.

Ich würde mich einfach mal über gute PW Manager für die Firma informieren. Die meisten davon können auch TOTP.

Das kannst du vergessen, wir haben bspw. studierte Juristen die es nicht schaffen eine SIM-Karte in ihren Laptop zu stecken. Ich will mir gar nicht ausmalen wie viele Layer 8 Tickets wir dadurch zusätzlich abarbeiten müssten als eh schon.

Ahh OK. Für mich scheidet das gedanklich den zweiten Faktor am selben Gerät zu nutzen 😅

Das Argument kam tatsächlich intern (nicht vom Chef) auch auf und irgendwo kann ich das verstehen. Andererseits ist ja dann genau dieser eine PC in Verbindung mit genau diesem User der zweite Faktor......aber vielleicht denke ich zu kurz. Oder lass es am Ende ein USB-Stick aus dem Safe sein, gibt ja auch portable Lösungen.

 

[G00fY]

Offensichtlich ist WinAuth nicht der einzige und was an Open Source so schlimm sein soll kann ich ebenfalls nicht nachvollziehen.

Das hat vermutlich nichts damit zu tun, dass die Software OpenSource ist. Aber das Program wird offensichtlich von einer einzelnen Privatperson entwickelt. Website ist nicht erreichbar, es gibt nicht mal ein Impressum, eine offizielle Anschrift einen Support-Kanal oder ähnliches. Finde ich für den beruflichen Einsatz auch nicht wirklich geeignet.

 

[Sandro_Suchti]

Das hat vermutlich nichts damit zu tun, dass die Software OpenSource ist.

War aber eines seiner Argumente. Häng dich nicht zu sehr auf WinAuth auf, er hätte sehr wahrscheinlich jeden anderen Client ebenso abgelehnt. Wir haben intern sogar KeePass (kann doch auch TOTP? Oder war das KeePassXC? nutzen wir jedenfalls beides nicht), so ist es nicht.

 

[RedPanda05]

Für mich scheidet das gedanklich den zweiten Faktor am selben Gerät zu nutzen

1. Faktor: Der Authentificator / Gerät
2. Faktor: Das Passwort

Ich sehe da erstmal kein Problem, obwohl ich es persönlich auch anders lösen würde.

 

[BeBur]

Häng dich nicht zu sehr auf WinAuth auf, er hätte sehr wahrscheinlich jeden anderen Client ebenso abgelehnt.

Ist das so? Bisher hast du nur WinAuth als Beispiel genannt.