00:05
Кратко о TOTP
Гитхаб вводит обязательную двухфакторную аутентификацию, и там предлагают какой-то TOTP. Я начал про это читать, и что-то мне стало тревожно.
TOTP -- это система одноразовых кодов для второго фактора. Как код из СМС, только без СМС. Коды показывает специальное приложение. Приложений много, и все плохие. А если фирма, поставляющая приложение, закроется? А если она меня забанит по любой причине? А если я утеряю устройство? Вариантов провафлиться масса, особенно если не понимаешь, как эта штука работает.
Я прочитал целую 1 (одну) статью, где всё это рассказывается, вот она: www.hendrik-erz.de/post/understanding-totp-two-...
Далее краткая выжимка:
1. На самом деле TOTP работает строго локально. Никакие онлайн-аккаунты, конкретные устройства, номера телефонов, сервера -- всё это не нужно.
2. Стоимость генерации одного кода для разработчиков равна нулю, а для пользователя -- меньше копейки. Поэтому расценки типа "2 доллара в месяц" -- это просто от наглости.
3. Что происходит на самом деле: из куэр-кода на сайте извлекается секретный ключ, он хэшируется вместе с текущим временем и превращается в 6 цифр. Генерация происходит каждые 30 секунд. Всё это делается при помощи известного заранее алгоритма с обоих сторон. Если пользователь ввёл то же самое, что вычислил сервер -- то проверка пройдена.
4. Таким образом, ключ в куэр-коде является главной (и единственной) точкой входа в систему. Сделаете с него скриншот -- и сможете добавлять вход в любое TOTP-приложение. Даже если другое приложение приказало долго жить или удалило все ваши ключи.
5. То есть, приложению требуется либо ключ хранить в открытом виде, либо расшифровывать перед применением. Это приводит к парадоксу: если ключ защищён слишком слабо, то его могут украсть. Если ключ защищён слишком сильно, то есть риски потерять к нему доступ. Ну и ключ всегда можно перехватить в момент показа куэр-кода. Он находится там в открытом виде.
В общем, вход я настроил, но пока не знаю, какой методологии надо придерживаться, чтобы использование TOTP было безопасным и в смысле сохранения доступа мне, и в смысле отсутствия доступа посторонним.
TOTP -- это система одноразовых кодов для второго фактора. Как код из СМС, только без СМС. Коды показывает специальное приложение. Приложений много, и все плохие. А если фирма, поставляющая приложение, закроется? А если она меня забанит по любой причине? А если я утеряю устройство? Вариантов провафлиться масса, особенно если не понимаешь, как эта штука работает.
Я прочитал целую 1 (одну) статью, где всё это рассказывается, вот она: www.hendrik-erz.de/post/understanding-totp-two-...
Далее краткая выжимка:
1. На самом деле TOTP работает строго локально. Никакие онлайн-аккаунты, конкретные устройства, номера телефонов, сервера -- всё это не нужно.
2. Стоимость генерации одного кода для разработчиков равна нулю, а для пользователя -- меньше копейки. Поэтому расценки типа "2 доллара в месяц" -- это просто от наглости.
3. Что происходит на самом деле: из куэр-кода на сайте извлекается секретный ключ, он хэшируется вместе с текущим временем и превращается в 6 цифр. Генерация происходит каждые 30 секунд. Всё это делается при помощи известного заранее алгоритма с обоих сторон. Если пользователь ввёл то же самое, что вычислил сервер -- то проверка пройдена.
4. Таким образом, ключ в куэр-коде является главной (и единственной) точкой входа в систему. Сделаете с него скриншот -- и сможете добавлять вход в любое TOTP-приложение. Даже если другое приложение приказало долго жить или удалило все ваши ключи.
5. То есть, приложению требуется либо ключ хранить в открытом виде, либо расшифровывать перед применением. Это приводит к парадоксу: если ключ защищён слишком слабо, то его могут украсть. Если ключ защищён слишком сильно, то есть риски потерять к нему доступ. Ну и ключ всегда можно перехватить в момент показа куэр-кода. Он находится там в открытом виде.
В общем, вход я настроил, но пока не знаю, какой методологии надо придерживаться, чтобы использование TOTP было безопасным и в смысле сохранения доступа мне, и в смысле отсутствия доступа посторонним.
23.02.2025 в 01:05
а чо фсмысле? почему для пользователя дороже!?
вот ты вроде правильно всё написал, но делаешь странные акценты. почему тебя парит что куар-код можно перехватить? это же единоразовое событие. так-то и пароль можно перехватить, ведь в большинстве веб-приложений он передаётся в открытом виде и вся безопасность держится на tls.
лично я полюбил totp сразу, как только узнал что его поддержка есть в keepassxc.
23.02.2025 в 07:14
>>а чо фсмысле? почему для пользователя дороже!?
Ну, хэш кто-то должен вычислить.
>>почему тебя парит что куар-код можно перехватить? это же единоразовое событие.
Это парит не столько меня, сколько автора статьи. Но меня в каком-то смысле парит тоже. Это у нормальных людей это единоразовое событие. Но не думаешь же ты, что я не сохранил оригинальный куэр-код??
23.02.2025 в 15:30