Nota che sono non che parlo di sistemi come Authy, dove puoi accedere al tuo account su più dispositivi e sincronizzare i tuoi token tra di loro - Mi riferisco a due dispositivi completamente separati che non hanno conoscenza reciproca.
Considerare il tipico flusso di impostazione dell'autorizzazione a due fattori per un sito Web di un consumatore:
- L'utente accede e naviga alla pagina "configura 2FA".
- Il sito genera e visualizza un codice a barre 2D all'utente.
- L'utente scatta una foto del codice a barre con la sua app 2FA e genera un token.
- L'utente invia il token al sito.
- Il sito convalida / finalizza la configurazione e 2FA è abilitato.
Durante il passaggio 3, se due dispositivi diversi hanno scansionato il codice a barre, potrebbero iniziare a generare la stessa serie di token? In tal caso, dovrebbero eseguire la scansione del codice a barre all'incirca allo stesso tempo per iniziare con gli stessi valori iniziali?
Sono curioso di sapere se è possibile scansare il codice a barre dallo schermo di un ignaro utente o, ad esempio, vedere un codice a barre nelle riprese video (magari da una telecamera di sicurezza o una trasmissione di notizie locali) e usarlo per clonare un token 2FA all'insaputa dell'utente.