Score:3

การต่อรหัสผ่านและ TOTP - ปัญหาที่เป็นไปได้

ธง cn

ฉันเจอกลไกการเข้าสู่ระบบแบบสองปัจจัยโดยใช้ OTP ตามเวลา (TOTP) TOTP (6 หลัก) แสดงให้ผู้ใช้เห็นในแอป

มีสองวิธีในการเข้าสู่ระบบ

วิธีที่ 1:

ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน จากนั้นอนุมัติการแจ้งเตือนการเข้าสู่ระบบที่ได้รับในแอป TOTP กรณีนี้ไม่ต้องกรอก TOTP

ชื่อผู้ใช้ = ชื่อผู้ใช้
รหัสผ่าน = รหัสผ่าน

วิธีที่ 2:

ผู้ใช้ป้อนการเชื่อมรหัสผ่านและ TOTP จากแอปเป็นรหัสผ่าน ไม่ได้รับการแจ้งเตือนในแอปในกรณีนี้

ชื่อผู้ใช้ = ชื่อผู้ใช้
รหัสผ่าน = รหัสผ่าน + TOTP (6 หลัก)

ชื่อผู้ใช้และรหัสผ่านจะถูกส่งผ่าน TLS

ทางฝั่งเซิร์ฟเวอร์ ฉันถือว่าพวกเขาแยก 6 หลักสุดท้ายจากค่ารหัสผ่านที่ได้รับ และตรวจสอบว่าตรงกับ TOTP หรือไม่ (จากนั้นจับคู่สตริงที่เหลือกับรหัสผ่านที่เก็บไว้)

มิฉะนั้น พวกเขาจะแฮชรหัสผ่านที่สมบูรณ์และจับคู่กับค่าที่จัดเก็บไว้ในฐานข้อมูล (สมมติว่ารหัสผ่านไม่ได้จัดเก็บเป็นข้อความธรรมดา) หากตรงกัน ระบบจะส่งการแจ้งเตือนไปยังอุปกรณ์ของผู้ใช้

อะไรคือปัญหาที่เป็นไปได้หรือจุดอ่อนทางวิทยาการเข้ารหัสลับในระบบนี้?

et flag
ถ้า TOTP ตรงกัน ก็หวังว่าคุณจะตรวจสอบรหัสผ่านด้วยใช่ไหม? คุณไม่ได้ระบุไว้ในคำถาม
Yash Dhingra avatar
cn flag
ฉันไม่ทราบว่าเกิดอะไรขึ้นในฝั่งเซิร์ฟเวอร์ แต่ใช่ การให้ TOTP ที่ถูกต้องและรหัสผ่านผิดจะแสดงข้อผิดพลาดที่ระบุว่าชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง จึงต้องตรวจสอบรหัสผ่าน ฉันจะเพิ่มสิ่งนี้ในคำถาม
Score:0
ธง cn

ฉันกำลังสันนิษฐาน

กฎข้อที่ 1 ของฉันเมื่อพูดถึงเรื่องความปลอดภัย ให้ถือว่าแย่ที่สุดหรือไม่สันนิษฐานใดๆ เลย (แม้ว่าฉันจะยอมรับว่าฉันยังคงตั้งสมมติฐานอยู่ก็ตาม)

อะไรคือปัญหาที่เป็นไปได้หรือจุดอ่อนทางวิทยาการเข้ารหัสลับในระบบนี้?

รหัสผ่านสามารถจัดเก็บเป็นข้อความธรรมดาได้เป็นอย่างดี โดยที่คุณไม่รู้ ความจริงที่ว่าพวกเขาใช้ TOTP ในตอนแรกเป็นสัญญาณที่ดี แต่ก็ไม่ได้พิสูจน์อะไรเกี่ยวกับความปลอดภัยที่เหลือของพวกเขา

บางบริษัทมีความภาคภูมิใจในการใช้งานระบบความปลอดภัยของตน และจะบอกคุณตรงๆ หากคุณถาม พวกเขาอาจมีสมุดปกขาวให้ด้วย รายละเอียดมาตรฐานของพวกเขา.

มีการบอกสิ่งอื่น ๆ ที่ บริษัท เปิดเผยต่อสาธารณะเกี่ยวกับความปลอดภัยของบริการหรือไม่? พวกเขาใช้คำที่เป็นธงสีแดงของ Snakeoil เช่น "การเข้ารหัสระดับทหาร" หรือ "ไม่แตก" หรือไม่ นโยบายเกี่ยวกับความซับซ้อนของรหัสผ่านเป็นอย่างไร เว็บไซต์ของพวกเขาใช้ TLS 1.3 หรือไม่

ฉันขอแนะนำให้ถามว่าพวกเขากำลังบ่ายเบี่ยงหรือเผชิญหน้าหรือไม่ นั่นอาจเป็นสัญญาณที่ไม่ดี

Yash Dhingra avatar
cn flag
พวกเขาไม่มีการเรียกร้องต่อสาธารณะเกี่ยวกับความปลอดภัยของพวกเขา และพวกเขากำลังใช้ TLS 1.2 ไม่สามารถสอบถามรายละเอียดอื่น ๆ ได้ นั่นคือเหตุผลที่ฉันถามคำถามนี้กับชุมชนเพื่อประเมินว่าการปฏิบัติตามการเพิ่มพารามิเตอร์สองตัวนี้อาจมีปัญหาด้านความปลอดภัยหรือไม่ มีกรณีก่อนหน้านี้ที่ทำให้เกิดปัญหาหรือไม่?
Richie Frame avatar
cn flag
@YashDingra เมื่อความยาวของหนึ่งในนั้นได้รับการแก้ไขอาจไม่ใช่ปัญหา แต่เมื่อความยาวมีการเปลี่ยนแปลงอาจเกิดปัญหาร้ายแรงได้ การมีตัวคั่นที่จำเป็นสามารถนำไปสู่ปัญหาได้เช่นกัน ความยาวคงที่โดยไม่มีตัวคั่นจะแยกได้อย่างน่าเชื่อถือมากขึ้นโดยไม่มีปัญหา
Yash Dhingra avatar
cn flag
ใช่ ความยาวของ TOTP คงที่ (6 หลัก) นี่หมายความว่าหากพวกเขาไม่ได้จัดเก็บรหัสผ่านในรูปแบบข้อความล้วนและใช้คำสั่งที่เตรียมไว้เพื่อทำให้ข้อมูลที่ป้อนสะอาด ดูเหมือนจะไม่มีปัญหาอะไรมากในแนวทางนี้ นอกจากนี้ จะเป็นการดีกว่าหรือไม่ที่จะมีอินพุตแยกต่างหากสำหรับ TOTP แทนที่จะต่อท้ายด้วยรหัสผ่าน
Richie Frame avatar
cn flag
@YashDhingra จากมุมมองของ UI/UX มันสมเหตุสมผลกว่าที่จะมี TOTP เป็นอินพุตแยกต่างหาก มีมาตรการทางเทคนิคมากมายที่สามารถใช้เพื่อป้องกันไม่ให้การต่อข้อมูลก่อให้เกิดปัญหาด้านความปลอดภัยใดๆ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา