Probleme mit TOTP

TOTP und deren Verwendung im Pleasant Password Server

Im Pleasant Password Server können TOTPs auf zwei unterschiedliche Arten verwendet werden.

Zum einen kann ein TOTP als zweiter Faktor zur Anmeldung am Pleasant Password Server konfiguriert werden. Der User muss dann zur Anmeldung zunächst ein Passwort und dann den TOTP eingeben. 

Es ist aber auch möglich, TOTPs zu Passwörtern zu speichern. Sie können also ein TOTP hinterlegen, wenn Sie einen Datensatz anlegen. 

Mögliche Probleme

Es kommt immer wieder vor, dass die TOTPs nicht oder nur sporadisch funktionieren. In solchen Fällen ist die Ursache des Problems fast immer an den Time Settings der Server zu finden. Da ein TOTP nur 30 Sekunden lang gültig ist, müssen die Uhrzeiten auf allen beteiligten Maschinen identisch sein.

Beispiel 1:

Es ist 14:00:00 Uhr. Ein neuer TOTP Code wird errechnet. Dieser gilt nun bis 14:00:30. Wenn nun am Anwendungsserver die Uhrzeit nur um 20 Sekunden daneben liegt, ist es auf dem Anwendungsserver um 14:00:00 schon 14:00:20. Der TOTP Code funktioniert also nur für 10 Sekunden. Werden diese 10 Sekunden überschritten, ist der Code ungültig. Dieses Phänomen äußert sich so, dass die TOTPs manchmal gehen und manchmal eben nicht. 

Beispiel 2:

Wenn die Uhrzeit um mehr als 30 Sekunden abweicht, kommt es dazu, dass die TOTPs überhaupt nicht funktionieren. Der Grund dafür ist, dass die Uhrzeit zu welcher der Code abläuft am Server bereits überschritten ist, wenn der Code erstellt wird. 

Lösung des Problems

Um dieses Problem zu beheben, ist es wichtig, die Uhrzeit auf allen beteiligten Maschinen zu synchronisieren. So stellen Sie sicher, dass alle Systeme im Einklang arbeiten. Die maßgebliche Uhrzeit in Deutschland wird von der Physikalisch-Technischen Bundesanstalt bereitgestellt. Sie können die aktuelle Zeit über den folgenden Link abrufen: https://uhr.ptb.de/