Algoritmi per 2FA su HTTPS?

0

Sto sviluppando un'app Authenticator da utilizzare nei confronti della mia API. Conosco lo standard TOTP RFC 6238 e la variante HOTP. Anche se preferirei usare una soluzione basata su chiave pubblica / privata (solo memorizzando la chiave pubblica sul server).

Quali sono alcune alternative più o meno standardizzate?

È stato inventato un sistema di risposta alle sfide con una coppia di chiavi pubblica / privata soggetta ad attacchi (nel contesto di un canale HTTPS sicuro)?

    
posta Henrik Cooke 20.04.2018 - 13:43
fonte

1 risposta

1

Se tu, per qualsiasi motivo, preferisci un protocollo di risposta alle challenge che utilizza la crittografia asimmetrica, potresti dare un'occhiata al lavoro dell'alleanza FIDO .

Questo sembra essere un problema XY . Non è chiaro il motivo per cui metodi ben definiti e sicuri per l'utilizzo del secondo fattore sono fuori dal tuo ambito di applicazione. Inoltre, come nota a margine: Si prega di fare NON rotolare own crypto!

L'essenza del QA collegato: sei quasi sicuro al 100% di fare un errore che può essere sfruttato in seguito.

    
risposta data 20.04.2018 - 14:27
fonte

Leggi altre domande sui tag