TOTP / HOTP - Generatore di password offline 1 ora

3

Devo generare e convalidare una password / token per un'ora.

Client -> generate password (valid for one hour)
Server -> valid it within an hour.
//System needs to work offline (TOTP)

TOTP è normale 30 secondi ... Quindi se cambio l'intervallo TOTP a 3600 secondi allora romperò la sicurezza?

Apri anche per i migliori id allora TOTP?

    
posta Stweet 09.03.2017 - 21:17
fonte

1 risposta

1

Questa non è una buona idea per diversi motivi:

  • OTP deve essere un secondo fattore! Non può essere l'unico fattore di autenticazione
  • 30 secondi per TOTP è sicuro perché durante quel tempo l'attaccante non può testare tutte le opzioni possibili + il primo fattore.
    • Per 6 cifre è 1000000 combinazioni e dopo 30 secondi (> 3000 combinazioni al secondo), la combinazione è diversa.
    • Se estendi questo tempo di validità a 1 ora, l'attaccante ha un sacco di tempo per forzare questa combinazione (~ 27 combinazioni al secondo)

Per questo caso d'uso, devi scegliere un modo diverso di distribuire la password

  • SMS
  • La password è abilitata per quell'ora da qualcosa sul lato server (in tal caso è necessario proteggere tale password).
risposta data 09.03.2017 - 21:31
fonte

Leggi altre domande sui tag