Sto sviluppando un'app Authenticator da utilizzare nei confronti della mia API. Conosco lo standard TOTP RFC 6238 e la variante HOTP. Anche se preferirei usare una soluzione basata su chiave pubblica / privata (solo memorizzando la chiave pubblica sul server).
Quali sono alcune alternative più o meno standardizzate?
È stato inventato un sistema di risposta alle sfide con una coppia di chiavi pubblica / privata soggetta ad attacchi (nel contesto di un canale HTTPS sicuro)?
Se tu, per qualsiasi motivo, preferisci un protocollo di risposta alle challenge che utilizza la crittografia asimmetrica, potresti dare un'occhiata al lavoro dell'alleanza FIDO .
Questo sembra essere un problema XY . Non è chiaro il motivo per cui metodi ben definiti e sicuri per l'utilizzo del secondo fattore sono fuori dal tuo ambito di applicazione. Inoltre, come nota a margine: Si prega di fare NON rotolare own crypto!
L'essenza del QA collegato: sei quasi sicuro al 100% di fare un errore che può essere sfruttato in seguito.
Leggi altre domande sui tag authentication multi-factor challenge-response