觉得 Google Authenticator 的安全性好像有问题,

2014-10-27 19:11:46 +08:00
 nilai
最近看到了各种手机动态口令,于是研究了下 流程原理都没有问题,最后在安全性上发现了一点不明白的地方:
首先,这玩意的算法公开了。
最后的令牌依靠2个东西 密钥 当前的unix时间

当前的unix时间这个很花获取 (一般允许有几分钟左右的误差)

密钥 的获取 (可通过反编译APK 或者 中间人的办法来得到)
有的APK的会把密钥跟 DeviceId IME等作拼接,但是这也可以通过反编译来得到

然后就觉得这两个可控制的变量都有途径获取到。那它的安全性还有保障吗 求讨论
3566 次点击
所在节点    问与答
24 条回复
aliuwr
2014-10-27 20:06:31 +08:00
我重复下重点,
1. 物理接触:绝大多数的安全机制是不考虑物理接触的情况,比如短信验证码。
2. 木桶定律:一套安全机制具体有多安全是看最薄弱的环节,比如简单的密码。
jerryjhou
2014-10-27 20:09:08 +08:00
@nilai 在手机上安装spy组件,可以直接获取短信验证码。验证器起码还要提取。
这种验证器从一开始就是为了方便用户(短信到达延迟)而设计的,本来就不是为了增加安全性。
damajia
2014-10-27 23:44:32 +08:00
Salt+SHA256 楼主破个试试

Time(30秒一变)+secret,同上
evlos
2014-10-28 04:37:38 +08:00
@nilai 这里用 https 传输完全不用担心啊。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/141906

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX