Almacenando semilla para TOTP

Navega tus respuestas
2

Tenemos un sitio web público para empleados que tiene acceso a información confidencial de la compañía. Para que el proceso de inicio de sesión sea más seguro, queremos implementar TOTP. La configuración e implementación ha sido bastante sencilla. Lo que no tengo claro es la mejor manera de almacenar la semilla para cada usuario.

Obviamente, no puede ser salado y picado ya que lo necesita para generar el código basado en el tiempo. El cifrado de tipo MD5 parece un poco inútil, dada la rapidez con la que se puede descifrar, por lo que mi pregunta es ¿cuál es la mejor manera de almacenar la semilla, y está bien almacenarla en la misma tabla que el nombre de usuario y la contraseña?

    
pregunta Greg 23.09.2013 - 08:21
fuente

2 respuestas

1
  

El cifrado de tipo MD5 parece un poco inútil debido a la rapidez con la que se puede descifrar,

No confundas tu terminología. MD5 es un algoritmo hash, no un algoritmo de cifrado. Hay un mundo de diferencia entre los dos.

Para responder a su pregunta, no veo un problema con el almacenamiento de la semilla sin cifrar junto con el nombre de usuario y la contraseña en una base de datos. Una semilla TOTP es bastante fácil de restablecer si alguna vez se compromete. Necesita la semilla en texto simple para que el algoritmo funcione de todos modos.

    
respondido por el Ayrx 23.09.2013 - 08:25
fuente
1

Recomendaría encarecidamente cifrar la semilla. Por muy fácil que sea volver a distribuir las semillas para sus aplicaciones TOTP, un compromiso significaría que un adversario es capaz de calcular instantáneamente el segundo factor de su inicio de sesión 2FA.

    
respondido por el Emil 02.10.2015 - 11:05
fuente

Lea otras preguntas en las etiquetas

¿Por qué son necesarias las frases de contraseña que protegen las claves privadas de GPG / SSH? [duplicar] Especificación funcional para la evaluación EAL 1 de Common Criteria