TOTP / HOTP - Generador de contraseñas sin conexión de 1 hora

Navega tus respuestas
3

Necesito generar y validar una contraseña / token durante una hora. 

Client -> generate password (valid for one hour)
Server -> valid it within an hour.
//System needs to work offline (TOTP)

TOTP es normalmente 30 segundos ... Entonces, si cambio el intervalo TOTP a 3600 segundos, ¿romperé la seguridad?

¿También está abierto para mejores idus que TOTP?

    
pregunta Stweet 09.03.2017 - 21:17
fuente

1 respuesta

1

No es una buena idea por varias razones:

  • OTP tiene que ser el segundo factor! No puede ser el único factor en la autenticación
  • 30 segundos para TOTP es seguro porque durante ese tiempo el atacante no puede probar todas las opciones posibles + el primer factor.
    • Para 6 dígitos es 1000000 combinaciones y después de 30 segundos (> 3000 combinaciones por segundo), la combinación es diferente.
    • Si extiendes este tiempo de validez a 1 hora, el atacante tiene mucho tiempo para forzar bruscamente esta combinación (~ 27 combinaciones por segundo)

Para este caso de uso, debe elegir una forma diferente de distribuir la contraseña

  • SMS
  • La contraseña está habilitada para esa hora por algo en el lado del servidor (en ese caso, necesita proteger esa contraseña).
respondido por el Jakuje 09.03.2017 - 21:31
fuente

Lea otras preguntas en las etiquetas

Intentando encontrar un XSS, ¿por qué no se ejecuta esta pieza? [duplicar] ARP envenenamiento consecuencias del ataque