【发布时间】:2015-12-29 23:47:47
【问题描述】:
警告:与第三方共享您的 TOTP 种子打破了多因素身份验证的基本假设,即 TOTP 种子是秘密。
所以,我知道这方面的文档,可在此处找到:Google Authenticator Key URI Format
当我从该页面遵循此示例时:
otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example
然后我将它“拼接”到 Google Charts URL 中,因此:
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example
它将显示一个有效的二维码,如果我用手机上的 Google Authenticator 应用程序扫描它,它将开始生成有效的 OTP。
但是,在手机的显示屏中,对于由 QR 码创建的条目,我得到了 OTP,在它下面,我得到了“Example:alice@google.com”。我想要的是让“示例”显示在 OTP上方,而“alice@google.com”显示在 OTP下方。我不禁注意到所有专业制作的应用程序都是这样做的。例如,Google、Wordpress、Amazon 等。公司名称在 OTPabove,用户名显示在 OTPbelow。是的,这纯粹是一个表面问题,但我想把它做好。
谁能给我一个线索?
【问题讨论】:
-
我认为使用在线生成器来进行这种思考是不明智的。毕竟,您将所有登录信息和密码发布到网络上。因此,找到此信息(例如在日志文件中)的每个人都可以登录您的帐户。
-
@Ber,不知道这里有什么问题。即使 Google 记录了您提交到日志文件的所有内容,该日志文件将包含的所有内容都是 SECRET。好的,但不知道什么服务器、什么用户名、什么密码、帐户类型等......哪里有安全威胁?
-
威胁是您将密钥发布给第三方,这违反了十几个安全最佳实践,使密钥是“秘密”的假设无效,并且很可能违反了您组织的安全策略.在身份验证中,所有剩余信息都可以被猜测或从其他来源获得——例如在 Google 的情况下为
Referrer标头——这正是为什么秘密应该是秘密的原因。 -
是的,您还可以方便地共享用户名 (
Example:alice@google.com)
标签: qr-code google-authenticator