Use TOTP para evitar simular solicitudes

0

Estoy desarrollando un sistema de API que proporciona funcionalidades para un juego. Actualmente, estamos usando HMAC para evitar simular las solicitudes (digamos, evitar que los piratas informáticos simulen el juego), pero debido a que tuvimos algunos problemas con HMAC, pensé que podría ser mejor usar una contraseña temporal. Lo mismo que hace Google Authenticator.

Me gustaría saber si este es un buen método para utilizar TOTP para generar una contraseña temporal del cliente y enviarla al servidor a través de una solicitud HTTP y validarla en el servidor. El objetivo es evitar la simulación o el envío de solicitudes de clientes de terceros.

    
pregunta Afshin Mehrabani 27.09.2014 - 22:40
fuente

1 respuesta

2

TOTP es un HMAC. Simplemente sucede que es un HMAC de una marca de tiempo con cierta granularidad donde las contraseñas deben rotarse. Tenga en cuenta que con un HMAC basado en el tiempo o algún otro HMAC, un atacante con una copia de un cliente legítimo puede extraer la clave compartida y usar esa clave para falsificar solicitudes de su cliente.

    
respondido por el David 27.09.2014 - 22:47
fuente

Lea otras preguntas en las etiquetas