Domande con tag 'totp'

domande con tag
2
risposte

Cosa succede se un codice QR della password (autenticatore google) viene perduto?

Quando ci sono codici QR per URL di una password (OTP) (a partire da otpauth: //) che dovrebbero essere cercati in un'app autenticatore come l'autenticatore di Google, cosa succede se un utente apre per errore questo codice QR in un lettore di c...
posta 18.11.2015 - 20:49
2
risposte

È una cattiva idea che l'utente scelga il segreto TOTP invece di generarlo automaticamente?

Leggendo sui sistemi di autenticazione basati su TOTP che utilizzano gli smartphone come generatori di codice monouso, mi sembra di capire che in genere il segreto condiviso viene generato automaticamente dal "server" (il sistema a cui l'utente...
posta 19.06.2018 - 12:33
1
risposta

Memorizzare il segreto TOTP nel database, in chiaro o crittografato?

Ho letto di 2FA e di come è usato, e la cosa che mi ha colpito di più è che tutti sembrano memorizzare il segreto del TOTP come testo in chiaro nel loro database. Capisco che tu abbia bisogno del segreto come testo in chiaro per verificare l'...
posta 08.03.2018 - 19:45
2
risposte

Accettare la password corrente e passata è una cattiva pratica?

Spesso vedo metodi di autenticazione a due fattori (2FA) che utilizzano implementazioni di password monouso (OTP) in cui i token attuali (precedenti) e talvolta anche 2 o 3 precedenti sono ancora validi. Questo è probabilmente fatto per diversi...
posta 22.06.2017 - 14:08
1
risposta

Protezione forza bruta a due fattori

Se implemento l'autenticazione a due fattori usando TOTP, I (ovviamente) deve proteggere dai semplici attacchi di forza bruta del valore TOTP. Se chiedo il valore TOTP dopo l'accesso con password, l'autore dell'attacco conosce già la password...
posta 13.04.2016 - 16:25
1
risposta

Quante combinazioni di tempo / risultato conosciute servono per indovinare un segreto HOTP / TOTP?

Ho pensato di "recuperare", "determinare", "indovinare", "calcolare" o "riprodurre" i segreti HOTP / TOTP quando è noto solo l'esito (codice a 6 cifre + tempo). Nel caso in cui possiamo vedere la creazione dal vivo dei codici HOTP / TOTP senz...
posta 20.06.2017 - 11:00
1
risposta

Come ottenere la password TOTP con hmac sha 512 come funzione di hashing?

Ive non ha mai imparato prima la sicurezza di javascript e della rete, ma ultimamente mi sono occupato di qualche sfida di programmazione, ma devo inviare il link del mio progetto tramite http post request, e devo capire la password, l'autentica...
posta 17.03.2016 - 20:17
1
risposta

In un'implementazione TOTP, deve esserci una politica di scadenza per la chiave segreta dell'utente?

Sfondo Stiamo avviando un progetto per aggiungere un ulteriore fattore di autenticazione alla nostra applicazione web. Ciò comporta la creazione di un token TOTP (Time-Based One-Time Password) conforme a RFC 6238 ( link ). Questo token verr...
posta 29.03.2016 - 18:56
3
risposte

Quali considerazioni sulla sicurezza dovrei fare quando scelgo una app TOTP?

Una società richiede ora che io usi Authy o Google Authenticator. Presumibilmente questi sono più sicuri che ottenere un messaggio di testo, ma sto ancora vedendo la gente lamentarsi di quanto questi siano pericolosi. Ad esempio, questo articol...
posta 01.06.2017 - 15:55
1
risposta

È ragionevole memorizzare chiavi TOTP crittografate + credenziali di autenticazione su un singolo dispositivo (per l'utente finale)?

Il mio attuale modello di sicurezza (almeno per le password) è quello di archiviarli crittografati a riposo e utilizzare GPG (in combinazione con un Yubikey) per eseguire la crittografia / decrittografia. Sto utilizzando pass ( link ) per a...
posta 05.09.2018 - 20:23