OTP 2FA può essere determinato in modo reversibile?

-1

Nota: non sono necessariamente che parla di cosa succede quando una spalla naviga qualcuno inserendo una OTP. Sono abbastanza fiducioso che è quasi impossibile (o estremamente poco pratico) indovinare la prossima o qualsiasi password disponibile basata su uno.

Quello che sto chiedendo è relativo a come un seme potrebbe essere memorizzato in un elenco di password, ad esempio.

Lo scenario:

SELECT * FROM Passwords;

Ora, all'interno di questa tabella, è probabile che sia memorizzato un ID seme / numero di serie / codice telecomando OTP RNG? Se lo è, è possibile che un utente malintenzionato sia in grado di assumere o conoscere il dispositivo o l'applicazione del generatore OTP standard del sito (sarebbe normalmente sicuro presumere l'utilizzo di un solo dispositivo) e utilizzare il seed per generare OTP validi?

Se sto usando la terminologia in modo errato, un esempio specifico sarebbe l'autenticazione di Google. In che modo il numero che genera è valido rispetto a un solo account? Come può qualcuno che ha il link non essere in grado di generare un elenco di numeri identici?

Correlati: How per memorizzare i semi OTP in modo sicuro sul server di convalida Lo accetterei abbastanza vicino.

    
posta SrJoven 15.10.2014 - 13:49
fonte

1 risposta

3

Di solito è ben noto come un dispositivo trasformi il segreto precondiviso nella password monouso, quindi la risposta è sì - se un utente malintenzionato è in grado di ottenere il "seme" (segreto pre-condiviso), quindi saranno in grado di generare il numero di 6 cifre.

Se non è quello che stai chiedendo (non sai da dove viene "determinato in modo reversibile"), allora dovrai chiarire la tua domanda.

    
risposta data 15.10.2014 - 14:04
fonte

Leggi altre domande sui tag