Puncte:3

Concatenarea parolei și TOTP - posibile probleme

drapel cn

Am întâlnit un mecanism de conectare cu doi factori folosind OTP bazat pe timp (TOTP). TOTP (6 cifre) este afișat utilizatorului într-o aplicație.

Există două moduri de autentificare.

Metoda 1:

Utilizatorul introduce numele de utilizator și parola. Apoi aprobă notificarea de conectare primită în aplicația TOTP. Nu este nevoie să introduceți TOTP în acest caz.

username = nume de utilizator
parola = parola

Metoda 2:

Utilizatorul introduce concatenarea parolei și TOTP din aplicație ca parolă. În acest caz, nu se primește nicio notificare în aplicație.

username = nume de utilizator
parola = parola + TOTP (6 cifre)

Numele de utilizator și parola sunt trimise prin TLS.

Pe partea de server, presupun că au împărțit ultimele 6 cifre din valoarea parolei primite și verifică dacă se potrivește cu TOTP (și apoi potrivesc restul șirului cu parola stocată).

În caz contrar, ei trimit parola completă și o potrivesc cu valoarea stocată în baza de date (presupunând că parolele nu sunt stocate în text simplu). Dacă se potrivește, se trimite o notificare către dispozitivul utilizatorului.

Care pot fi posibilele probleme sau slăbiciuni criptografice ale acestui sistem?

drapel et
Dacă TOTP se potrivește, atunci sperăm că verificați și parola, nu? Nu ai specificat asta in intrebare
Yash Dhingra avatar
drapel cn
Nu știu ce se întâmplă pe partea serverului. Dar da, oferirea unui TOTP corect și a unei parole greșite arată o eroare care indică faptul că numele de utilizator sau parola sunt incorecte; deci trebuie să verifice parola. Voi adăuga asta la întrebare.
Puncte:0
drapel cn

presupun

Regula mea nr. 1 când vine vorba de securitate, să-ți asumi ce e mai rău sau să nu-ți asume nimic (deși voi recunoaște că încă fac presupuneri)

Care pot fi posibilele probleme sau slăbiciuni criptografice ale acestui sistem?

Parola ar putea fi foarte bine stocată în text simplu, doar că nu știți. Faptul că folosesc TOTP în primul rând este un semn bun, dar nu dovedește nimic despre restul securității lor.

Unele companii sunt mândre de implementările lor de securitate și vă vor spune direct dacă întrebați, ar putea chiar să aibă documente albe. detalierea standardelor lor.

Există și alte lucruri explicative pe care compania le-a făcut publice despre securitatea serviciilor lor? Folosesc cuvinte de tip steag roșu din ulei de șarpe, cum ar fi „criptare de grad militar” sau „inseparabil”? Care este politica lor cu privire la complexitatea parolei? Site-ul lor folosește TLS 1.3?

Aș sugera să întrebați, dacă sunt evazivi sau confruntați, acesta este probabil un semn rău.

Yash Dhingra avatar
drapel cn
Ei nu au nicio pretenție publică cu privire la securitatea lor. Și folosesc TLS 1.2. Nu este posibil să le întrebați celelalte detalii. De aceea am pus această întrebare comunității pentru a evalua dacă această practică de a adăuga doi parametri poate avea posibile probleme de securitate. Există cazuri anterioare în care acest lucru a cauzat probleme?
Richie Frame avatar
drapel cn
@YashDhingra atunci când lungimea unuia dintre ele este fixă, probabil că nu este o problemă, dar atunci când lungimile sunt variabile pot apărea probleme grave. Prezența unui delimitator necesar poate duce, de asemenea, la probleme, lungimea fixă ​​fără delimitare este împărțită mai fiabil, fără probleme
Yash Dhingra avatar
drapel cn
Da, lungimea TOTP este fixă ​​(6 cifre). Acest lucru ar însemna că, dacă nu stochează parolele în text simplu și nu folosesc instrucțiuni pregătite pentru a igieniza intrarea, nu pare să existe o mare problemă în această abordare? De asemenea, ar fi mai bine în vreun fel să aveți o intrare separată pentru TOTP, decât să o adăugați cu parola?
Richie Frame avatar
drapel cn
@YashDhingra doar din punct de vedere al UI/UX, este mai logic să aveți TOTP ca intrare separată, există într-adevăr numeroase măsuri tehnice care pot fi utilizate pentru a preveni ca concatenarea să cauzeze orice fel de problemă de securitate

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.