generador de números aleatorios de clave compartida con panel de administración oculto

-1

Estoy intentando crear otra capa de seguridad por encima de la capa 2FA para el panel de superadministrador / inicio de sesión

lo que tengo en mente hasta ahora es una clave compartida (semilla compartida) para generar guías aleatorias que son creadas por la comunicación cliente-servidor (c # client, asp.net core server api), el cliente / servidor se comunica para obtener el número de la secuencia de números aleatorios (ambos tienen una clave compartida privada), por lo que ambos pueden generar la misma guía que el administrador puede usar para iniciar sesión en su panel (que luego usa 2FA para iniciar sesión)

suponga que esta clave compartida es dinámica, y nadie más tiene acceso a esta herramienta, pero el administrador (utilizado para generar la clave compartida), ¿sería seguro?

(limitará el uso de esta página de inicio de sesión a una vez en menos de 5 minutos), ¿es eso suficientemente seguro? ¿Hay agujeros de bucle que no puedo ver?

también asuma que las comunicaciones de api / cliente del servidor están protegidas con una contraseña de pad de tiempo que está cifrada dentro del cliente con otro pad de time, y el generador aleatorio no es lineal y no es fácil de predecir (no como el PRNG lineal )

    
pregunta m s lma 01.06.2017 - 17:43
fuente

1 respuesta

1

No sé que este es un esquema ideal. Parece que efectivamente está intentando autenticar la máquina (mediante el uso de una aplicación cliente que contiene / usa una clave previamente compartida) pero si ese es el caso, probablemente no sea la forma de hacerlo.

La gestión de claves es difícil. Debe proteger la clave precompartida tanto en el servidor como en el cliente en este diseño, o todo se perderá, al menos en lo que concierne a esta capa particular de seguridad. Probablemente sería más fácil y más seguro utilizar un mecanismo establecido como certificados de clientes.

Además dices:

  

también asuma que las comunicaciones del servidor api / cliente están protegidas con   una contraseña de pad de tiempo que se cifra dentro del cliente con otra   una vez pad ...

No estoy seguro de lo que conlleva el diseño real que tienes en el canal de comunicación, pero no construyas algo tú mismo. Utilice TLS.

Entonces, como señaló un comentarista, esto suena como 2FA basado en TOTP. Como ya tiene un mecanismo 2FA establecido para el usuario, no lance una versión adicional usted mismo. Use algo así como certificados de cliente para la autenticación de cliente adicional en su lugar, y llámelo un día.

    
respondido por el Xander 01.06.2017 - 19:17
fuente

Lea otras preguntas en las etiquetas