Perché ogni OTP deve essere unico

L'idea alla base di un OTP è che può essere utilizzata solo una volta, quindi "One Time Pin". Se riutilizzi lo stesso OTP per un certo periodo di tempo, non lo utilizzi solo una volta. L'unico uso è garantire che la perdita di OTP compromessa diventi inefficace non appena ne viene richiesta una nuova.

Se il tuo "OTP" che è valido per un certo periodo di tempo (2 ore nell'esempio) è compromesso, l'utente malintenzionato può utilizzarlo per lo stesso periodo di tempo.

Immagina per un momento che Alice voglia eseguire qualche azione sulla tua applicazione che le imponga di inserire un OTP - nel momento in cui sta lavorando da un coffee shop sopra Malory's Rouge Access Point. Mentre Alice riceve il suo OTP e lo inserisce, Malory lo intercetta e scopre cosa può fare con esso.

Ora Malory ha 2 ore di libertà per svolgere qualsiasi funzione come Alice (supponendo che abbia le altre informazioni necessarie per impersonare Alice) usando l'OTP che è ancora valido E anche se Alice richiede un nuovo OTP, lo stesso OTP compromesso sarà inviato a lei, persistendo la capacità di Malory di impersonare Alice.

se fosse un OTP monouso, Malory non ne avrebbe più bisogno da quel momento in poi.

L'unico inconveniente che riesco a pensare - che è un serio svantaggio da prendere in considerazione) è che stai introducendo una nuova logica nel processo che complicherà la tua implementazione e alla fine potrebbe introdurre bug che degraderanno la tua sicurezza.

A proposito: se vuoi provare a risolvere l'esperienza utente, puoi semplicemente aggiungere un commento sulla tua interfaccia utente che l'OTP potrebbe impiegare X minuti per arrivare ...

Se stai pensando di fare tutto il lavoro per inviare lo stesso P per un dato utente all'interno di una finestra di X ore, perché non fare la stessa quantità di lavoro per permettere al tuo back-end di autenticazione di accettare qualsiasi NP di te? hai inviato le ultime X ore? Questo risolve in modo pulito il tuo problema con gli utenti impazienti senza compromettere l'OT in OTP. (Inutile dire che tutti i P dovrebbero essere invalidati non appena ne viene usato uno correttamente.)

Usando lo stesso P sembrerà meno sicuro - per i tuoi utenti e (se ne hai) per i tuoi auditor. Un OTP senza OT non è consigliabile, tanto per gli aspetti come per la vera sicurezza

Penso che tutte le risposte abbiano evidenziato che indebolirai la tua sicurezza. Dal momento che si rende riutilizzabile una password (se si consente di utilizzare la stessa password una tantum per un periodo di tempo) o si indebolisce la sicurezza consentendo a più OTP di essere validi contemporaneamente.

Bene, ho visto molte di quelle richieste durante il mio periodo di implementazione di una soluzione OTP e posso comprenderle. Abbiamo persino avuto la richiesta di avere una "password giornaliera", una password valida per un giorno per tutti gli accessi che desideri e cambia automaticamente il giorno successivo. Questa non è più una sola password, ma in alcuni scenari un requisito legale.

La soluzione di cui sto parlando è privacyIDEA . Può inviare SMS e invaliderà anche il valore OTP precedente se ne invia uno nuovo. Ma questo comportamento può essere facilmente migliorato con circa 3 righe di codice in SMS modulo .