Preguntas con etiqueta 'totp'

preguntas con etiqueta
2
respuestas

¿Qué sucede si se filtra un código QR de contraseña (autenticador de Google) una vez?

Cuando hay códigos QR para las URL de una sola vez (OTP) (comenzando con otpauth: //) que se deben buscar en una aplicación de autenticador como el autenticador de Google, ¿qué sucede si un usuario abre accidentalmente este código QR? en un lect...
hecha 18.11.2015 - 20:49
2
respuestas

¿Es una mala idea que el usuario elija el secreto TOTP en lugar de generarlo automáticamente?

Al leer sobre los sistemas de autenticación basados en TOTP que usan los teléfonos inteligentes como generadores de código de una sola vez, entiendo que, por lo general, el secreto compartido se genera automáticamente por el "servidor" (el siste...
hecha 19.06.2018 - 12:33
1
respuesta

¿Almacenar el secreto de TOTP en una base de datos, texto sin formato o cifrado?

He estado leyendo sobre 2FA y cómo se usa, y lo que más me llamó la atención es que todos parecen estar guardando el secreto TOTP como texto simple en su base de datos. Entiendo que necesita el secreto como texto simple para verificar la OTP,...
hecha 08.03.2018 - 19:45
2
respuestas

¿Es una mala práctica aceptar la contraseña de un solo uso actual y la anterior?

A menudo veo métodos de autenticación de dos factores (2FA) que usan implementaciones de contraseñas de un solo uso (OTP) en las que las actuales (anteriores) y, a veces, incluso 2 o 3 tokens anteriores siguen siendo válidas. Probablemente esto...
hecha 22.06.2017 - 14:08
1
respuesta

Protección de fuerza bruta de dos factores

Si implemento la autenticación de dos factores mediante TOTP, (obviamente) tengo que protegerme contra los ataques de fuerza bruta simples del valor TOTP. Si pido el valor TOTP después de iniciar sesión con contraseña, el atacante ya conoce l...
hecha 13.04.2016 - 16:25
1
respuesta

¿Cuántas combinaciones de tiempo / resultado conocidas se necesitan para adivinar un secreto de HOTP / TOTP?

Pensé en "recuperar", "determinar", "adivinar", "calcular" o "reproducir" los secretos de HOTP / TOTP cuando solo se conoce el resultado (código de 6 dígitos + tiempo). En caso de que podamos ver la creación en vivo de los códigos HOTP / TOTP...
hecha 20.06.2017 - 11:00
1
respuesta

¿Cómo obtener la contraseña TOTP con hmac sha 512 como función hash?

Nunca antes aprendí sobre javascript y la seguridad de la red, pero últimamente he tenido algunos problemas de programación, pero tengo que enviar el enlace de mi proyecto a través de la solicitud de publicación http, y tengo que averiguar la co...
hecha 17.03.2016 - 20:17
1
respuesta

En una implementación de TOTP, ¿es necesario que exista una política de caducidad para la clave secreta del usuario?

Background Estamos iniciando un proyecto para agregar un factor de autenticación adicional a nuestra aplicación web. Esto implica la creación de un token TOTP (contraseña de una sola vez basada en el tiempo) que cumple con RFC 6238 ( enlace )....
hecha 29.03.2016 - 18:56
3
respuestas

¿Qué consideraciones de seguridad debo hacer al elegir una aplicación TOTP?

Una empresa ahora requiere que yo use Authy o Google Authenticator. Supuestamente, estos son más seguros que recibir un mensaje de texto, pero sigo viendo a la gente quejarse de lo peligrosos que son. Por ejemplo, este artículo dice que tanto A...
hecha 01.06.2017 - 15:55
1
respuesta

¿Es razonable almacenar claves TOTP cifradas + credenciales de autenticación en un solo dispositivo (para el usuario final)?

Mi modelo de seguridad actual (al menos para las contraseñas) es almacenarlas cifradas en reposo y usar GPG (en combinación con un Yubikey) para realizar el cifrado / descifrado. Estoy usando pass ( enlace ) para ayudar a automatizar el p...
hecha 05.09.2018 - 20:23