I rischi di condividere più codici TOTP vecchi?

0

Quali sono i rischi (se esistono) di condividere i codici TOTP?

Mi riferisco ai codici a sei cifre generati da Google Authenticator e simili. Con "condivisione di vecchi token" sto pensando di pubblicare online un elenco di, diciamo, 10 codici consecutivi che ho ricevuto (e le volte in cui li ho ricevuti), o lasciare che qualcuno che è con me veda il mio telefono in tempo reale, ma essendo sicuro sono non che li utilizzano per accedere come me stesso a qualsiasi sistema.

Sto pensando alle possibilità di derivare? il seme segreto originale, o pensa così - e non a pensare a persone che permettono agli altri di conoscere il mio codice senza che me ne accorga così mi impersonano.

C'è qualche altro rischio a cui non sto pensando?

    
posta mgarciaisaia 06.09.2018 - 17:03
fonte

1 risposta

2

Penso che la risposta generale sia "It dovrebbe essere ok, ma TOTP non è stato progettato per questo in modo da non avere alcuna garanzia".

Se ci immergiamo su come funziona il TOTP (descrizione generale su wikipedia , specifica completa in RFC 6238 ), il valore TOTP è calcolato come (esempio, semplificato)

SHA2_HMAC( secret_seed, system_time_rounded_to_30s )

Generalmente i server di accesso controllano tutti i valori temporali entro una finestra di +/- 5 minuti nel caso in cui l'orologio di sistema del dispositivo sia spento (necessario per i token TOTP hardware come quelli mostrati qui sotto che non hanno modo di sincronizzarsi).

Quindi i tuoi valori TOTP potrebbero essere ancora validi per ~ 5 minuti. Inoltre, come sottolinea @AndrolGenhald, possono tornare a essere validi se l'orologio di sistema del server viene ripristinato.

Questa domanda fa un buon lavoro nell'affrontare la parte "può il seme originale essere derivata" della tua domanda, la risposta generale è "non dovrebbe essere possibile fintanto che il secret_seed condiviso è di 32 byte o più" .

È anche possibile che l'implementazione del sito web abbia alcuni casi limite che infrangono questo consiglio generale. Ad esempio, alcuni siti Web emettono codici di recupero dell'account che assomigliano ai codici TOTP, ma non so se sono effettivamente correlati al seme TOTP o meno.

In conclusione: non riesco a pensare a nessun attacco pubblicando un elenco di codici OTP scaduti, ma non posso garantire che sia sicuro.

Se sei in un bar, probabilmente meglio fare attenzione a chi può spingere i tuoi codici TOTP. Se vuoi pubblicare vecchi codici online, probabilmente è meglio registrare un nuovo generatore di codice e scollegare l'altro dal tuo account prima di pubblicare.

    
risposta data 06.09.2018 - 18:25
fonte

Leggi altre domande sui tag