¿Algoritmos para 2FA sobre HTTPS?

0

Estoy desarrollando una aplicación de autenticador para usarla con mi propia API. Conozco el estándar TOTP RFC 6238 y la variante HOTP. Aunque preferiría utilizar una solución basada en clave pública / privada (solo almacenando la clave pública en el servidor).

¿Cuáles son algunas alternativas más o menos estandarizadas?

¿Un esquema de respuesta de desafío inventado en casa con un par de claves pública / privada está sujeto a ataques (en el contexto de un canal seguro HTTPS)?

    
pregunta Henrik Cooke 20.04.2018 - 13:43
fuente

1 respuesta

1

Si, por el motivo que sea, prefieres un protocolo de respuesta de desafío que utiliza criptografía asimétrica, puedes consultar el trabajo de la alianza FIDO .

Sin embargo, parece ser un Problema XY . No está claro por qué los métodos seguros y bien definidos para el uso de un segundo factor están fuera de su alcance. También, como una nota al margen: Por favor, do NOT roll you propio crypto!

La esencia del control de calidad vinculado: Usted tiene casi el 100% de garantía de cometer un error que luego puede ser explotado.

    
respondido por el Tobi Nary 20.04.2018 - 14:27
fuente

Lea otras preguntas en las etiquetas