Score:2

สามารถหักค่าคีย์ตามเวลาในอนาคตจากคีย์ก่อนหน้าได้หรือไม่

ธง in

หากคีย์ตามเวลาที่สร้างโดยแอปตรวจสอบสิทธิ์ เช่น Google Authenticator ถูกบุกรุก คีย์ในอนาคตสามารถอนุมานจากคีย์ที่ถูกบุกรุกได้หรือไม่

Score:3
ธง fr

ถ้าโดย "รหัสตามเวลา" คุณหมายถึงรหัสผ่านแบบครั้งเดียวหกถึงแปดหลักที่ผู้ใช้ป้อน ดังนั้น ไม่ใช่ การประนีประนอมหนึ่งในนั้นจะไม่กระทบต่อรหัสผ่านในอนาคต นั่นเป็นเพราะรหัสผ่านแบบใช้ครั้งเดียวถูกสร้างขึ้นจากเอาต์พุต HMAC โดยมีรหัสลับที่ใช้ร่วมกันเป็นคีย์และประทับเวลาเป็นค่า หากผู้โจมตีสามารถระบุความลับที่ใช้ร่วมกันหรือเอาต์พุตอื่นๆ จากชุดของเอาต์พุตที่รู้จัก HMAC จะไม่ใช่รหัสยืนยันข้อความที่ปลอดภัย และขณะนี้เราเชื่อว่าเป็นเช่นนั้น

ยิ่งไปกว่านั้น รหัสผ่านแบบใช้ครั้งเดียวได้มาจากสี่ไบต์เท่านั้น ดังนั้นแม้ว่าจะพบว่า HMAC ที่มีฟังก์ชันแฮชที่กำหนดไม่ปลอดภัย โครงสร้าง TOTP ได้รับการออกแบบมาเพื่อเพิ่มการป้องกันเพิ่มเติมในการโจมตีในลักษณะที่เลือกไบต์ อย่างไรก็ตาม ตามที่กล่าวไว้ข้างต้น เราไม่มีเหตุผลที่จะเชื่อได้ว่า HMAC ที่มี SHA-1, SHA-256 หรือ SHA-512 (ซึ่งเป็นโครงสร้างที่ใช้ใน TOTP) มีความเสี่ยงต่อการโจมตีที่ดีกว่ากำลังดุร้ายเมื่อใช้ในลักษณะนี้ .

ถ้าโดย "คีย์ตามเวลา" คุณหมายถึงความลับที่ใช้ร่วมกัน (โดยปกติจะฝังอยู่ในโค้ด QR ที่สแกน) ที่ใช้เพื่อรับรหัสผ่านแบบใช้ครั้งเดียว ใช่แล้ว นั่นเป็นการประนีประนอมอย่างสมบูรณ์ เนื่องจากเป็นความลับที่ใช้ร่วมกันทั้งหมด และมันคือ เป็นไปได้ที่จะได้ผลลัพธ์ในอดีตและอนาคตทั้งหมดจากสิ่งนั้น

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา