Комментарии 4
Мне кажется, что фактор владения по сути сводится к фактору знания т.к. секретный ключ, записанный на телефоне, информация об используемом алгоритме хэширования и т.д. не являются принципиально неотчуждаемыми от телефона или иного устройства. Более того, в реальной жизни секретный ключ для TOTP, и сопутствующая информация, будут скорей всего храниться на том же устройстве или даже в той же самой базе, где и сам пароль.
Может быть модель двух-шаговой аутентификации не так уж и плоха в виду того, что на конечно устройстве пользователя ничего не хранится, а как следствие это невозможно украсть? Если высылать код не через СМС, а, например, через пуш для уже аутентифицированного клиента, ряд проблем сразу уходит.
Может быть модель двух-шаговой аутентификации не так уж и плоха в виду того, что на конечно устройстве пользователя ничего не хранится, а как следствие это невозможно украсть? Если высылать код не через СМС, а, например, через пуш для уже аутентифицированного клиента, ряд проблем сразу уходит.
Кто-нибудь может подсказать, как подружить Google с j2me версиями TOTP-аутентификаторов (например, с totp-me)?
А почему TOTP считается вторым фактором? Читаю:
записанный на листике бумаги… Или лучше в менеджер паролей. Например 1password. Удобно ведь…
Эээ… А секретный код пользователь где сохранял? В том-же 1password? Почему нет? Удобно же. Тем более, что 1password и сам умеет считать (а иногда и вcтавлять) OTP. И он не один такой «плохой»
Чьего телефона (это вопрос про обладание)? И почему именно телефона? TOTP algorithm (RFC6238) не секретный и реализация есть для разного оборудования, а не только для единственного телефона пользователя. И где тут доказательство обладания (в физическом смысле)? ну ладно, готов принять как доказательство обладания каким-то вычислительным устройтсвом, иначе в timeout TOTP скорей всего не вписаться
То есть часто из-за хранения «надежно сохраненного» секрета и «первого» пароля в одном месте схема внезапно превращается в однофакторную. Все для удобства пользователя…
Знание, например, пароль
записанный на листике бумаги… Или лучше в менеджер паролей. Например 1password. Удобно ведь…
Обладание (в физическом смысле), например, смартфон
…
… TOTP к двухфакторной, поскольку для генерации пароля необходимо наличие определенного приложения на смартфоне
…
Если пользователь потеряет код, он может ввести этот надежно сохраненный секретный ключ
Эээ… А секретный код пользователь где сохранял? В том-же 1password? Почему нет? Удобно же. Тем более, что 1password и сам умеет считать (а иногда и вcтавлять) OTP. И он не один такой «плохой»
… ввести в приложение телефона
Чьего телефона (это вопрос про обладание)? И почему именно телефона? TOTP algorithm (RFC6238) не секретный и реализация есть для разного оборудования, а не только для единственного телефона пользователя. И где тут доказательство обладания (в физическом смысле)? ну ладно, готов принять как доказательство обладания каким-то вычислительным устройтсвом, иначе в timeout TOTP скорей всего не вписаться
То есть часто из-за хранения «надежно сохраненного» секрета и «первого» пароля в одном месте схема внезапно превращается в однофакторную. Все для удобства пользователя…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
TOTP (Time-based one-time Password algorithm)