-
@NagatsukiD @amaelle_g Sur le papier, les TOPT sont incassables. Déjà tout est 100% offline, donc MitM & cie sont impossibles by design. Ensuite by design toujours, il faudrait être capable d’encaisser 1 millions de tentative de connexion en 30s pour espérer venir à bout de l’OTP.Permalink On twitter.com
Mood -2 🙁
-
@NagatsukiD @amaelle_g La génération du secret lui-même étant CSPRNG (ou en tout cas devrait l’être), il n’y a pas d’autre méthode pour casser le TOTP que la force brute. Aucune attaque mathématique ne sera jamais possible dessus.Permalink On twitter.com
Mood -2 🙁
-
@NagatsukiD @amaelle_g Comme tu n’as pas accès au device, il n’existe pas non plus d’oracle permettant une quelconque attaque auxilliaire. Avoir un oracle signifie que tu es déjà en mesure de déterminer si un n° est valide à l’instant T ou non. Donc d’être capable de bruteforcer à 1millions/30s.On twitter.com
Mood +1 🙂
-
@NagatsukiD @amaelle_g Si ton système d’authentification est prévu pour limiter les possibilités de bruteforce (par exemple avec un algo de mot de passe type scrypt/bcrypt), by design tu rends TOTP 100% sûr.Permalink On twitter.com
Mood 0
-
@NagatsukiD @amaelle_g Ça mérite certainement une thèse complète pour vérifier, mais au doigt mouillé, j’intuiterai qu’un TOPT possède les mêmes propriétés qu’un chiffre de Vernam et offre donc une sécurité théorique absolue. Il n’existe et n’existera jamais de méthode plus efficace que la force brute.Permalink On twitter.com
Mood 0