Cosa succede se un codice QR della password (autenticatore google) viene perduto?

Naviga le tue risposte
12

Quando ci sono codici QR per URL di una password (OTP) (a partire da otpauth: //) che dovrebbero essere cercati in un'app autenticatore come l'autenticatore di Google, cosa succede se un utente apre per errore questo codice QR in un lettore di codici QR "normale", che ha tentato ad esempio di aprire l'URL in un browser Web (e viene trasmesso a un motore di ricerca, come nel caso di Android / Chrome, se il browser non comprende il protocollo) ?

vale a dire. questo primo codice sarà utile dopo che è stato attivato nell'app di autenticazione o è "deprecato" a quel punto?

    
posta SHL 18.11.2015 - 20:49
fonte

2 risposte

13

Il codice QR rimane valido e utilizzabile; niente lo farà smettere di funzionare. In questo modo è molto pericoloso perdere il codice QR. Se un hacker la vede, anche a distanza di anni dal primo utilizzo, può impostare la propria app TOTP (Authenticator) per usare il tuo codice, e genererà gli stessi token che fa, il che può potenzialmente aiutare l'attaccante a dirottare qualsiasi cosa account che il codice TOTP sta proteggendo. Se è qualcosa di sensibile, dovresti generare un nuovo codice (di solito è possibile disattivare l'autenticazione a 2 fattori e riaccenderla). Quindi, anche se qualcuno ha ricevuto il vecchio codice, non lo farà nulla di buono.

    
risposta data 18.11.2015 - 23:49
fonte
3

Se si è tentato di aprire questo collegamento su un dispositivo Android con un'app registrata nello schema otpauth:// , l'applicazione verrà aperta. Solo 1 app sul tuo dispositivo può registrarsi su uno schema specifico alla volta.

Qui 'sa link al codice sorgente dell'autenticatore google pertinente. 

  <intent-filter>
    <action android:name="android.intent.action.VIEW" />
    <category android:name="android.intent.category.DEFAULT" />
    <category android:name="android.intent.category.BROWSABLE" />
    <data android:scheme="otpauth" />
  </intent-filter>

La riga: <data android:scheme="otpauth" /> registra lo schema per tutti i tipi di intento elencati. Se hai provato a visualizzarlo in un browser, dovresti solo essere indirizzato a questa app.

I codici QR non sono 1 volta. Se qualcun altro legge il codice, ha anche accesso al "segreto" utilizzato negli HMAC e può riprodurre i codici.

    
risposta data 18.11.2015 - 23:33
fonte

Leggi altre domande sui tag

Memorizzare la chiave privata asimmetrica nel binario dell'applicazione? Dove trovo il malware JavaScript?