TOTP в качестве первого и единственного фактора аутентификации

0

1

Time-based OTP - удобная штука. Но, почему-то, всегда используется только в качестве второго фактора аутентификации.

Есть ли какие-нибудь предпосылки не использовать одноразовые пароли, основанные на времени, в качестве первого и единственного фактора?

Речь не идёт о банковском секторе, важной электронной почте и т.п.

Скорее, всякие проекты типа форумов, публичных блогов, различных внутренних сервисов, каждый из которых содержит панельку/админку с паролем, который бы не хотелось иметь один на все, но не хотелось бы ломать голову, как их хранить.

Да, я в курсе про методики типа «добавлять к паролю суффикс из домена» и т.п., но это всё полумеры.

Если у меня есть уверенность, что телефон не попадёт в руки злоумышленников, а даже если попадёт, я всегда могу пойти и физически на сервере сбросить все пароли, то что меня должно ограничить от использования апликации google authenticator в качестве ключа к моим сервисам?

Ссылка

←	Как сделать плавным переход на Let's Encrypt?

CVE-2016-7117 Use-After-Free Remote Code Execution (linux kernel, patched)

→

Показаны ответы на комментарий. Показать все комментарии.

Ответ на: комментарий от ivlad 09.10.16 18:48:15 UTC

Даже если и угадаешь пароль после большого количества неудачных попыток, то в этом случае в практической реализации OTP тебя просто попросят подождать 30 секунд и ввести следующий пароль. Который надо будет угадывать еще раз =)

bigbit ★★★★★
(10.10.16 10:54:09 UTC)

Ответ на: комментарий от bigbit 10.10.16 10:54:09 UTC

Даже если и угадаешь пароль после большого количества неудачных попыток, то в этом случае в практической реализации OTP тебя просто попросят подождать 30 секунд и ввести следующий пароль. Который надо будет угадывать еще раз =)

Не, ну после подбора пароля, средний сервис сгенерит куку, действующую некоторое время. Останется только эту куку в браузер затолкать.

Так что атака вполне реализуема.

AngryElf ★★★★★
(10.10.16 11:08:54 UTC) автор топика

Ответ на: комментарий от AngryElf 10.10.16 11:08:54 UTC

Какая кука? Если подобранному паролю предшествует N неудачных попыток (например, 10), то сразу после угадывания пароля аутентификация не будет успешной. У тебя запросят дополнительную информацию - как вариант, подождать 30 секунд следующего пароля и ввести его. Только после этого аутентификация будет успешной, и появится кука.

bigbit ★★★★★
(10.10.16 11:18:11 UTC)

Ссылка

Ответ на: комментарий от bigbit 10.10.16 10:54:09 UTC

Даже если и угадаешь пароль после большого количества неудачных попыток, то в этом случае в практической реализации OTP тебя просто попросят подождать 30 секунд и ввести следующий пароль.

Это зависит. pam_otp есть несколько штук, не все из них имеют стейт. ТС написал про «TOTP в качестве первого и единственного фактора аутентификации». Да, правда, что есть реализации, которые переспрашивают и это поможет.

ivlad ★★★★★
(10.10.16 13:40:23 UTC)

Ответ на: комментарий от ivlad 10.10.16 13:40:23 UTC

Вопрос всегда можно уточнить :)

Впринципе, я так понимаю, достаточно схемы «угадать два последовательных пароля» для достаточно высокого уровня безопасности.

Осталось это написать...

AngryElf ★★★★★
(11.10.16 06:34:43 UTC) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как сделать плавным переход на Let's Encrypt?

Security

CVE-2016-7117 Use-After-Free Remote Code Execution (linux kernel, patched)

→

Похожие темы