Sono in fase di ricerca dei metodi 2fa per un sistema di controllo degli accessi fisico connesso al cloud. C'è poco margine di errore in questo spazio.
Sono solo io o TOTP per l'autenticazione a due fattori sembra un passo indietro ai tempi dell'autore del digest in cui devi memorizzare il segreto simmetrico in modo reversibile. Le password memorizzate in testo semplice erano - e sono tuttora - dilaganti e ci sono state una miriade di esposizioni ad alto livello di questi segreti anche dalle più grandi entità.
Non stiamo solo ritardando l'inevitabile esposizione dei segreti del TOTP insieme ai database vulnerabili delle informazioni degli utenti che vengono compromessi da aggressori sempre più abili?
In un mondo in cui disponiamo di motori crittografici asimmetrici hardware in quasi tutti i dispositivi utilizzati per 2fa, in che modo questo metodo di autenticazione di un dispositivo è diventato il più popolare?
Con sistemi come Secure Element e Touch ID, l'accesso chiave con silicio e biometria dà accesso alla sicurezza che anche gli attori governativi lottano per scendere a compromessi, tanto che si stanno muovendo verso una legislazione per indebolirla.
La memorizzazione delle chiavi derivate è stata la migliore prassi per proteggere le password a riposo per almeno un decennio, ma questa strategia non può essere utilizzata per proteggere i segreti condivisi di TOTP. Questo lascia la crittografia simmetrica, che anche se implementata correttamente ha un valore discutibile nella protezione dei sistemi live. Il PKI è in circolazione ancora più a lungo e tuttavia fatica ancora a prendere piede nello spazio di implementazione.
E 'ancora il selvaggio West per molti aspetti e uno sparpagliare sparatorie di RFC di kiloword e implementazioni imperfette. Esistono sistemi semplici da utilizzare che sfruttano la tecnologia PKI oggi disponibile per affermare in modo sicuro l'identità del dispositivo per 2fa sul sistema connesso a Internet che potrebbe essere necessario proteggere in modo critico?