Estoy desarrollando una aplicación de autenticador para usarla con mi propia API. Conozco el estándar TOTP RFC 6238 y la variante HOTP. Aunque preferiría utilizar una solución basada en clave pública / privada (solo almacenando la clave pública en el servidor).
¿Cuáles son algunas alternativas más o menos estandarizadas?
¿Un esquema de respuesta de desafío inventado en casa con un par de claves pública / privada está sujeto a ataques (en el contexto de un canal seguro HTTPS)?
Si, por el motivo que sea, prefieres un protocolo de respuesta de desafío que utiliza criptografía asimétrica, puedes consultar el trabajo de la alianza FIDO .
Sin embargo, parece ser un Problema XY . No está claro por qué los métodos seguros y bien definidos para el uso de un segundo factor están fuera de su alcance. También, como una nota al margen: Por favor, do NOT roll you propio crypto!
La esencia del control de calidad vinculado: Usted tiene casi el 100% de garantía de cometer un error que luego puede ser explotado.
Lea otras preguntas en las etiquetas authentication multi-factor challenge-response