Question

Я внедряю OTP на основе времени для моего курса по безопасности сети.Когда я в последний раз выступал с презентацией, мой инструктор спросил меня: «Если вы собираетесь делиться секретным ключом, генерируя QR-код и затем позволяя клиенту (программному токену) сканировать его, как вы уверены, что он безопасен?» Он имел в виду, что какпроцедура получения ключа из базы данных и последующего создания его QR-кода безопасна?Если третья сторона имеет доступ к этой веб-странице?Может ли третье лицо узнать секретный ключ без сканирования кода?

Я так растерялся от его вопросов.

Emin · Answer 1 · 21 марта 2019

Скорее всего, вопрос заключался в создании QR-кода, а не в безопасности самого разделяемого секрета (вы ничего не можете сделать с передачей общего секрета - вы должны каким-то образом поделиться им).С чем нужно быть осторожным, когда дело доходит до генерации QR - не используйте внешние сервисы (например, Google Chart) для генерации QR-кода, вы должны делать это с минимальным использованием внешней библиотеки - в идеале, исключительно на стороне клиента.Вот пример https://github.com/token2/totp-toolset-local

Насколько секретный ключ, переданный с использованием штрих-кода, безопасен в 2FA?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Насколько секретный ключ, переданный с использованием штрих-кода, безопасен в 2FA?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы