¿Qué sucede si se filtra un código QR de contraseña (autenticador de Google) una vez?

Navega tus respuestas
12

Cuando hay códigos QR para las URL de una sola vez (OTP) (comenzando con otpauth: //) que se deben buscar en una aplicación de autenticador como el autenticador de Google, ¿qué sucede si un usuario abre accidentalmente este código QR? en un lector de código QR "normal", que intentó, por ejemplo, abrir la URL en un navegador web (y se pasa a un motor de búsqueda, como es el caso en Android / Chrome, si el navegador no comprende el protocolo) ?

I.e. ¿este primer código será de uso después de activarse en la aplicación del autenticador, o está "en desuso" en ese momento?

    
pregunta SHL 18.11.2015 - 20:49
fuente

2 respuestas

13

El código QR sigue siendo válido y utilizable; nada hará que deje de funcionar. Esto hace que sea muy peligroso filtrar el código QR. Si un atacante lo ve, incluso años después de que lo uses por primera vez, puede configurar su propia aplicación TOTP (Authenticator) para usar tu código, y generará los mismos tokens que el tuyo, lo que puede ayudar al atacante a secuestrar lo que sea. cuenta el código TOTP está protegiendo. Si es algo sensible, debe generar un nuevo código (esto generalmente se puede hacer desactivando la autenticación de 2 factores y encendiéndola de nuevo). Entonces, incluso si alguien tiene el código antiguo, no les servirá de nada.

    
respondido por el CBHacking 18.11.2015 - 23:49
fuente
3

Si intentara abrir este enlace en un dispositivo Android que tenía una aplicación registrada en el esquema otpauth:// , se abriría esa aplicación. Solo 1 aplicación en su dispositivo puede registrarse en un esquema particular a la vez.

Aquí 'sa Enlace al código fuente de Google Authenticator relevante. 

  <intent-filter>
    <action android:name="android.intent.action.VIEW" />
    <category android:name="android.intent.category.DEFAULT" />
    <category android:name="android.intent.category.BROWSABLE" />
    <data android:scheme="otpauth" />
  </intent-filter>

La línea: <data android:scheme="otpauth" /> registra ese esquema para todos los tipos de intento listados. Si intentó ver esto en un navegador, debería ser dirigido a esta aplicación.

Los códigos QR no son de un solo uso. Si alguien más lee el código, también tiene acceso al "secreto" utilizado en los HMAC y puede reproducir los códigos.

    
respondido por el d0nut 18.11.2015 - 23:33
fuente

Lea otras preguntas en las etiquetas

¿Guardar una clave asimétrica privada en el binario de la aplicación? ¿Por qué no hay un estándar de solicitud de revocación de certificado?