Quanto grande è la finestra sicura e pratica con TOTP?

1

Nel nostro sistema utilizziamo algoritmo di password monouso basato sul tempo (Google Authenticator). Dal momento che attualmente non permettiamo che la finestra temporale e la validità del codice siano solo 30 secondi, abbiamo costantemente problemi con la de-sincronizzazione dei tempi sui dispositivi, che generano codici TOTP. Ciò significa che gli utenti non possono accedere perché inseriscono codici scaduti o in anticipo.

Sembra che sia una prassi generale consentire "finestre", in modo che il sistema consenta i codici validi per volta, che è vicino al preciso tempo corrente. La domanda è: per quanto tempo dovrebbero essere queste finestre? Esiste una pratica a livello di settore? Sto osservando un valore generalmente accettato, che è pratico, dato quanto è preciso il tempo di solito nella maggior parte dei telefoni con Google Authenticator ed è anche abbastanza sicuro. È 1 o 5 minuti o qualcos'altro?

    
posta Konstantin 09.02.2016 - 09:12
fonte

1 risposta

2

Di questo non sono uno standard del settore di cui sono a conoscenza. Dipende dalla tua implementazione e dalla prevista desincronizzazione. Un singolo minuto potrebbe ancora avere problemi di sincronizzazione.

Se si imposta su 5 minuti (in ciascuna direzione), si tratta di un totale di 20 OTP validi in qualsiasi momento (supponendo una scadenza di 30 secondi). Ciò significa che un'ipotesi dovrebbe avere una probabilità su 1 50000 di essere corretta, o una media di circa 25000 prove prima di un successo. Sarebbe molto facile rilevare quando qualcuno sta cercando di indovinare. Per questo motivo, se si dispone di un sistema di password appropriato con limitazione della velocità, 5 minuti dovrebbero funzionare correttamente per il tuo caso.

    
risposta data 09.02.2016 - 09:37
fonte

Leggi altre domande sui tag