-
@NagatsukiD @amaelle_g Tu ne peux pas désync. L’algo est uniquement basé sur le secret partagé (qui ne circule *jamais* sur le lien de communication) et sur l’heure locale. Pas besoin d’autre chose.Permalink On twitter.com
Mood 0
-
@NagatsukiD @amaelle_g Par contre oui, il ne faut pas perdre le secret partagé, sinon tu es fucked. Mais ça n’est pas une attaque possible 😂On twitter.com
Mood -3 🙁
-
@NagatsukiD @amaelle_g TOTP repose entièrement et uniquement sur le secret de la clef initiale. Et comme elle ne circule pas sur le lien de communication (sinon à l’activation de la 2FA), il n’existe et n’existera jamais aucune attaque possible sur ce système. C’est by design complètement impossible.Permalink On twitter.com
Mood 0
-
@NagatsukiD @amaelle_g Tu as beau connaître l’intégralité des autres paramètres de calcul (algo utilisé, heure du client…), sans la clef, tu es fucked complètement et tout n° a la même probabilité que son voisin d’être le bon ou le mauvais.Permalink On twitter.com
Mood -6 🙁
-
@NagatsukiD @amaelle_g Comme la clef ne circule pas, il ne peut pas y avoir d’attaque pour la deviner. Sinon bruteforcer le service pour obtenir de plus en plus de « TOTP OK » et donc espérer deviner la clef. Mais on a alors déjà cassé le système. Donc pas besoin d’oracle. 😂Permalink On twitter.com
Mood +1 🙂
-
@NagatsukiD @amaelle_g Et donc l’ensemble de la sécurité du système (minus le moment de l’activation) repose uniquement sur la sécurité du secret partagé. Si tu en génères un de 128 bits via un algo CSPRN, tu es dans le cas du chiffre de Vernam : sécurité théorique absolue.Permalink On twitter.com
Mood 0