การต่อรหัสผ่านและ TOTP - ปัญหาที่เป็นไปได้

ฉันเจอกลไกการเข้าสู่ระบบแบบสองปัจจัยโดยใช้ OTP ตามเวลา (TOTP) TOTP (6 หลัก) แสดงให้ผู้ใช้เห็นในแอป

มีสองวิธีในการเข้าสู่ระบบ

วิธีที่ 1:

ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่าน จากนั้นอนุมัติการแจ้งเตือนการเข้าสู่ระบบที่ได้รับในแอป TOTP กรณีนี้ไม่ต้องกรอก TOTP

ชื่อผู้ใช้ = ชื่อผู้ใช้
รหัสผ่าน = รหัสผ่าน

วิธีที่ 2:

ผู้ใช้ป้อนการเชื่อมรหัสผ่านและ TOTP จากแอปเป็นรหัสผ่าน ไม่ได้รับการแจ้งเตือนในแอปในกรณีนี้

ชื่อผู้ใช้ = ชื่อผู้ใช้
รหัสผ่าน = รหัสผ่าน + TOTP (6 หลัก)

ชื่อผู้ใช้และรหัสผ่านจะถูกส่งผ่าน TLS

ทางฝั่งเซิร์ฟเวอร์ ฉันถือว่าพวกเขาแยก 6 หลักสุดท้ายจากค่ารหัสผ่านที่ได้รับ และตรวจสอบว่าตรงกับ TOTP หรือไม่ (จากนั้นจับคู่สตริงที่เหลือกับรหัสผ่านที่เก็บไว้)

มิฉะนั้น พวกเขาจะแฮชรหัสผ่านที่สมบูรณ์และจับคู่กับค่าที่จัดเก็บไว้ในฐานข้อมูล (สมมติว่ารหัสผ่านไม่ได้จัดเก็บเป็นข้อความธรรมดา) หากตรงกัน ระบบจะส่งการแจ้งเตือนไปยังอุปกรณ์ของผู้ใช้

อะไรคือปัญหาที่เป็นไปได้หรือจุดอ่อนทางวิทยาการเข้ารหัสลับในระบบนี้?

ฉันกำลังสันนิษฐาน

กฎข้อที่ 1 ของฉันเมื่อพูดถึงเรื่องความปลอดภัย ให้ถือว่าแย่ที่สุดหรือไม่สันนิษฐานใดๆ เลย (แม้ว่าฉันจะยอมรับว่าฉันยังคงตั้งสมมติฐานอยู่ก็ตาม)

อะไรคือปัญหาที่เป็นไปได้หรือจุดอ่อนทางวิทยาการเข้ารหัสลับในระบบนี้?

รหัสผ่านสามารถจัดเก็บเป็นข้อความธรรมดาได้เป็นอย่างดี โดยที่คุณไม่รู้ ความจริงที่ว่าพวกเขาใช้ TOTP ในตอนแรกเป็นสัญญาณที่ดี แต่ก็ไม่ได้พิสูจน์อะไรเกี่ยวกับความปลอดภัยที่เหลือของพวกเขา

บางบริษัทมีความภาคภูมิใจในการใช้งานระบบความปลอดภัยของตน และจะบอกคุณตรงๆ หากคุณถาม พวกเขาอาจมีสมุดปกขาวให้ด้วย รายละเอียดมาตรฐานของพวกเขา.

มีการบอกสิ่งอื่น ๆ ที่ บริษัท เปิดเผยต่อสาธารณะเกี่ยวกับความปลอดภัยของบริการหรือไม่? พวกเขาใช้คำที่เป็นธงสีแดงของ Snakeoil เช่น "การเข้ารหัสระดับทหาร" หรือ "ไม่แตก" หรือไม่ นโยบายเกี่ยวกับความซับซ้อนของรหัสผ่านเป็นอย่างไร เว็บไซต์ของพวกเขาใช้ TLS 1.3 หรือไม่

ฉันขอแนะนำให้ถามว่าพวกเขากำลังบ่ายเบี่ยงหรือเผชิญหน้าหรือไม่ นั่นอาจเป็นสัญญาณที่ไม่ดี