Domande con tag 'one-time-password'

1
risposta

Perché utilizzare codici monouso per i backup di autenticazione a due fattori?

Sto costruendo un'applicazione web che utilizza l'autenticazione a due fattori. Durante l'implementazione della funzione di ripristino, vedo che la maggior parte delle aziende (ad esempio Apple, Facebook, Github) fornisce un set di ~ 15 codic...
posta 30.07.2018 - 13:32
2
risposte

Accettare la password corrente e passata è una cattiva pratica?

Spesso vedo metodi di autenticazione a due fattori (2FA) che utilizzano implementazioni di password monouso (OTP) in cui i token attuali (precedenti) e talvolta anche 2 o 3 precedenti sono ancora validi. Questo è probabilmente fatto per diversi...
posta 22.06.2017 - 14:08
3
risposte

È sicuro memorizzare un seed di autenticazione a due fattori in un gestore di password?

Mi chiedo se sia davvero sicuro archiviare il codice seme di Autenticazione a due fattori (ad esempio la chiave segreta per TOTP) all'interno di un gestore di password insieme all'utente e alla password per il servizio. Se qualcuno ottiene l'...
posta 05.02.2017 - 17:47
2
risposte

Email per il secondo fattore nei sistemi 2FA

lo scenario è in un ambiente aziendale e non connesso a Internet. L'altro giorno stavo discutendo con il mio collega sul fatto che l'e-mail fosse abbastanza buona da essere il secondo fattore in un sistema 2FA. I miei amministratori accederan...
posta 15.07.2015 - 14:39
1
risposta

Perché la mia banca si preoccupa di fare domande personali di base per accedere al servizio di banking online?

Per accedere al mio banking online, devo rispondere a una domanda personale di base come "Qual è il nome da nubile di tua madre" o "Qual è il secondo nome di tuo nonno", così come inserire un codice monouso da un codice -generatore. A me semb...
posta 05.03.2014 - 00:59
1
risposta

A che serve aggiungere una sfida ad un algoritmo di password one time?

In questi video di YouTube Modalità di risposta alla sfida e Modalità firma il cliente inserisce una sfida nel dispositivo CAP prima di generare una password unica. Perché non generare direttamente la password unica?     
posta 17.06.2012 - 14:50
2
risposte

HOTP con hashing HMAC come algoritmo di un hash della famiglia SHA-2

Sto cercando di utilizzare una soluzione OTP. HOTP è una soluzione OTP basata su un HMAC con algoritmo di hashing SHA-1. Gli standard lo definiscono in questo modo. Ma ... SHA1 (come sappiamo) è stato un punto debole . Quindi, ora st...
posta 24.03.2013 - 13:26
2
risposte

HMAC-SHA256 e HMAC-SHA512 sono in grado di agire come sostituzione in sostituzione di HMAC-SHA1 in HOTP / TOTP?

In RFC 4226, l'algoritmo per HOTP è descritto come segue. HOTP(K,C) = Truncate(HMAC-SHA-1(K,C)) TOTP è essenzialmente lo stesso algoritmo di HOTP ad eccezione del fatto che il contatore C è sostituito da un intero derivato dall'ora corre...
posta 22.11.2013 - 13:19
1
risposta

Yubikey Desktop Authenticator

Diresti che è più sicuro usare Yubikey Desktop Authenticator di Google Authenticator? Invece di utilizzare Google Authenticator ogni volta che desidero accedere ad un sito mi chiedo se sarebbe ugualmente (o più) sicuro usare l'app di autent...
posta 19.02.2018 - 22:31
4
risposte

One Time Password tramite messaggio di testo: possibili exploit?

Esiste uno scenario credibile in cui l'OTP (One Time Password) per le transazioni con carta di credito online (in particolare per Verified by Visa) può essere aggirata? Contesto: un ragazzo che conosco è stato truffato tramite le solite rotte...
posta 03.03.2015 - 08:24