Nota: non sono necessariamente che parla di cosa succede quando una spalla naviga qualcuno inserendo una OTP. Sono abbastanza fiducioso che è quasi impossibile (o estremamente poco pratico) indovinare la prossima o qualsiasi password disponibile basata su uno.
Quello che sto chiedendo è relativo a come un seme potrebbe essere memorizzato in un elenco di password, ad esempio.
Lo scenario:
SELECT * FROM Passwords;
Ora, all'interno di questa tabella, è probabile che sia memorizzato un ID seme / numero di serie / codice telecomando OTP RNG? Se lo è, è possibile che un utente malintenzionato sia in grado di assumere o conoscere il dispositivo o l'applicazione del generatore OTP standard del sito (sarebbe normalmente sicuro presumere l'utilizzo di un solo dispositivo) e utilizzare il seed per generare OTP validi?
Se sto usando la terminologia in modo errato, un esempio specifico sarebbe l'autenticazione di Google. In che modo il numero che genera è valido rispetto a un solo account? Come può qualcuno che ha il link non essere in grado di generare un elenco di numeri identici?
Correlati: How per memorizzare i semi OTP in modo sicuro sul server di convalida Lo accetterei abbastanza vicino.