Memorizzazione seme per TOTP

2

Abbiamo un sito web pubblico per i dipendenti che ha accesso ad alcune informazioni aziendali sensibili. Per rendere più sicuro il processo di login, vogliamo implementare TOTP. L'installazione e l'implementazione sono state abbastanza semplici. Quello su cui non sono chiaro è il modo migliore per memorizzare il seme per ciascun utente.

Ovviamente non può essere salato e hash come ne hai bisogno per generare il codice basato sul tempo. La crittografia di tipo MD5 sembra un po 'inutile visto quanto velocemente può essere decifrato, quindi la mia domanda è qual è il modo migliore per memorizzare il seed, ed è giusto archiviarlo nella stessa tabella del nome utente e della password?

    
posta Greg 23.09.2013 - 08:21
fonte

2 risposte

1

MD5 type encryption seems a bit pointless given how quickly it can be decrypted,

Non confondere la tua terminologia. MD5 è un algoritmo hash, non un algoritmo di crittografia. C'è un mondo di differenza tra i due.

Per rispondere alla tua domanda, non vedo alcun problema con la memorizzazione del seme non criptato insieme al nome utente e alla password in un database. Un seme TOTP è abbastanza facile da resettare se vieni mai compromesso. Hai bisogno del seme in testo chiaro affinché l'algoritmo funzioni comunque.

    
risposta data 23.09.2013 - 08:25
fonte
1

Raccomando vivamente di crittografare il seme. Per quanto facile possa essere ridistribuire i semi per le tue applicazioni TOTP, un compromesso significherebbe che un avversario è in grado di calcolare istantaneamente il secondo fattore del tuo login 2FA.

    
risposta data 02.10.2015 - 11:05
fonte

Leggi altre domande sui tag