Estoy evaluando un sistema de autenticación de dos factores que utiliza un algoritmo de contraseña de un solo uso basado en el tiempo. Esto se ejecuta como una aplicación de Android.
Como es de esperar, esto parece estar usando una semilla y la hora actual para generar un código de acceso único. La semilla se almacena en el directorio de datos / datos, por lo que está relativamente bien protegida.
Sin embargo, el tiempo está totalmente bajo mi control. He fijado el tiempo en el futuro, tomé los códigos y luego utilicé el programa.
Esto parece un poco de un agujero deslumbrante en fichas blandas. Agarre el teléfono durante 10 minutos, fije la hora para el futuro, tome una serie de fichas y luego restablezca la hora.
Si tuviera un token de hardware, sería virtualmente imposible para mí cambiar la hora en el futuro, tomar códigos y luego revertir la hora en un espacio de 10 minutos.
Creo que este es un riesgo viable para muchos usuarios que pueden descuidarse al dejar su teléfono desbloqueado.
Entonces:
- ¿Por qué esto no es un problema?
- ¿Cómo lo mitigaría si es un problema?