オーセンティケーターアプリはシードを保護するためにどのようなセキュリティを使用しますか?
この質問がここにあるのか暗号化フォーラムにあるのかは100%わかりませんが、とにかくやってみます。
Google Authenticator、Duo、OktaなどのソフトウェアオーセンティケーターアプリがTOTPおよびHOTP認証のシークレット(シード)をどのように保存するかについて、いくつかのアイデアが欲しいです。それらはすべてオフラインで動作できるため、シードはクライアントデバイスのどこかに保存されます。それらはまったく暗号化されていますか?または、デバイス自体の所有権がそのようなOTP認証の唯一の要件であるため、それらを保護する必要はありませんか?
それらは、デバイスによって提供されるセキュリティに依存しています。
AndroidとiOSには、デスクトップコンピューターよりもはるかに厳しいセキュリティモデルがあります。各アプリには、他のユーザーがアクセスできないプライベートストレージがあります。通常の状況では、シードをこのストレージに保存するだけで十分であり、アプリにシードを抽出する手段を追加しないでください。このストレージは、シードの抽出を可能にするか、十分に安全であると見なされないストレージ(サードパーティのクラウド)にシードを保存するため、バックアップ不可としてマークする必要があります。
このプライベートストレージは、デバイスがルート化されているかジェイルブレイクされている場合にアクセスできるため、TOTPトークンなどのデバイスの使用は安全ではありません。