web-dev-qa-db-ja.com

TOTP / HOTP-オフライン1時間パスワードジェネレーター

パスワード/トークンを生成して1時間有効にする必要があります。

Client -> generate password (valid for one hour)
Server -> valid it within an hour.
//System needs to work offline (TOTP)

TOTPは通常30秒です。TOTP間隔を3600秒に変更すると、セキュリティが解除されますか?

また、TOTPよりも優れたIDEを提供しますか?

encryptionone-time-passwordtotphotp
4
Stweet

これは、いくつかの理由で良い考えではありません。

  • OTPは2番目の要素でなければなりません!認証の唯一の要素になることはできません
  • その間、攻撃者はすべての可能なオプションと最初の要素をテストすることができないため、TOTPの30秒は安全です。
    • 6桁の場合、それは1000000の組み合わせであり、30秒後(> 3000の組み合わせ/秒)、組み合わせは異なります。
    • この有効期間を1時間に延長すると、攻撃者はこの組み合わせをブルートフォースでブロードフォースする十分な時間があります(1秒あたり〜27の組み合わせ)

この使用例では、パスワードを配布する別の方法を選択する必要があります

  • SMS
  • パスワードはサーバー側の何かによってその1時間有効になります(その場合、そのパスワードを保護する必要があります)。
2
Jakuje