关于 Authy, Google Authenticator 等验证器安全性的一个问题

2020-02-11 21:43:20 +08:00
 levon

1.服务器随机生成一个类似于『 DPI45HKISEXU6HG7 』的密钥,并且把这个密钥保存在数据库中。

2.在页面上显示一个二维码,内容是一个 URI 地址( otpauth://totp/账号?secret=密钥),如『 otpauth://totp/xxxx@gmail.com?secret=DPI45HCEBCJK6HG7 』

3.客户端扫描二维码,把密钥『 DPI45HKISEXU6HG7 』保存在客户端。 。。。。

那如果数据库被脱库的话,是不是可以理解为这个就没有防护意义了。

感觉这个没有手机验证码安全。

我的理解有误吗

2681 次点击
所在节点    问与答
6 条回复
levon
2020-02-11 22:00:11 +08:00
因为算法是公开的,只要这个密钥泄漏,就没有意义了。
而且这个密钥服务器和客户端存的都是一样的
sbw
2020-02-11 22:00:22 +08:00
是这样的,所以不要把密码和 2fa 密码都存到 1Password 里
imn1
2020-02-11 22:30:27 +08:00
所以 2FA 和密码要分开放啊,就算知道密钥,也不知道是哪个账号,分开放也同时丢失,那就不幸了
2FA 手段就是两个设备,放在一起就等同于一个设备了
手机 SMS 除去非加密传送的安全问题,还有延时问题,我这里 tp 的 SMS 验证码基本上都要 10+分钟后才收到,twi 的还收不到
jadec0der
2020-02-12 00:21:46 +08:00
那如果数据库被脱库的话,是不是可以理解为这个就没有防护意义了 -> 对,但是如果网站数据库被拖库了,你用什么二次验证都没用,所有数据一波带走。

手机短信容易被嗅探,最安全的还是 Yubi 这种硬件密钥。
hillwood
2020-02-12 09:18:04 +08:00
@sbw Google 的 2fa 不能自动同步,换手机掉了 2 步会搞死人的,1P 的可以随账户同步。安全性是会降低
dy306061
2023-05-16 09:43:52 +08:00
@sbw 那请问微软的那个验证器安全性咋样,我看那东西既能 2fa 又能单独列出来一栏存密码的,还能云端加密同步存储。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/643861

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX