Necesito implementar 2FA en mi aplicación web. Estoy haciendo esto de manera estándar: la semilla del usuario recién creado se recupera del servidor (yo uso el lenguaje sencillo) y se genera el código QR. La cosa es que es posible robar esta semilla de la memoria del navegador (tal vez no es probable, pero aún así ...) ¿Es esta la forma estándar de hacer esto? ¿Cuál es la mejor práctica para esto?
¡Gracias!
Gran parte de lo que ocurra en la máquina del usuario estará fuera de su control y dependerá de un sistema sanitario y / o aislamiento del navegador.
Con ese fin, puedes hacer lo mejor para borrar el contenido de la memoria cuando hayas terminado. Tal vez complete una matriz de bytes con ceros, o explícitamente elimine una referencia de propiedad si eres paranoico Aunque este último al menos no obligará al GC a borrar la memoria, y lo hará en su propio momento.
También se reduce al hecho de que si tiene una máquina o un navegador comprometidos de alguna manera que la memoria del navegador se está leyendo desde la pestaña de su sitio, entonces tiene más problemas.
Lea otras preguntas en las etiquetas authentication encryption multi-factor qr-code