Hirdetés

  2. Fórumok
  3. Infotech
  4. Gmail
  5. (kiemelt téma)
  • Téma összefoglaló
    Utoljára frissítve: 2023-12-13 04:20

    Mobilarena

    Gyakori Kérdések

Új hozzászólás Aktív témák

  • #12930 ledgeri nagyúr Zwodkassy #12924
    Új Válasz #12930
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    ledgeri

    nagyúr

    válasz Zwodkassy #12924 üzenetére

    A TOTP az úgy működik, hogy egyszer a szerver küld egy kódot, azt egyszer te visszaigazolod (qr-kódos beolvasás, vagy seed-kód másolás, majd az első 6 karakter visszaírása). Onnantól -ha az időd jól van beállítva- az alapján a seed alaján egy adott kód lesz évényes egy adott 30 másodpercben. Mivel csak a seed-en múlik (ugyanabban az időben), más eszköz is elő tudja azt a kódot állítani (mert szabány)... másképpen: a seed-et kell tudnod; másképpen: Ha átmásolod a seed-et, tudod a kódot!

    Az adott authenticator alkalmazáson múlik, hogy milyennyire egyszerű kiszedni belőle a seed-et. Az authy ilyen szempontból pont a legrosszabb, mert ott csak online sync-van, de a seed-et nem tudod meglátni (még recovery-ként is az a módjuk, hogy "kapcsold ki a 2fa-d, majd kapcsold vissza a másikkal", szóval nem csak hogy kötelezően online kell légy sync-hez, még "ki is kerül a kezedből a cucc", bármennyire is kódoltan...
    Ha az említett authenticator a google-é, akkor megoldható, hogy két authenticator app egymás közt átküldje az infót, offline. Csak valahol van benne opció, hogy token küldése, bejegyzés küldése, vagy ezzel eggyenértékű, és ekkor -sajnos nem szabvány- qr-kódot fog megjeleníteni az egyik készülék, amit a másikkal, futó appal be tudsz olvastani, és át is ment. (más appok is tudják már olvasni, de nem az a szavány)
    A harmadik, nyitott, szabványos megoldás, mikor az app (például az AEGIS, vagy az asztali kepassXC) vagy a szabványos, elsőnek is beolvasott qr-kód formátumban képes megjeleníteni az információt, vagy direktben, ember által olvasható formátumban a seed-et magát.

    Én is, pl twitchnél (mert az authy-ipari rendszerét használja, amihez még mobilt is köteleő csatolni) csak qr-kódot láthattam, azt telefonnal aktiváltam, viszont a seed-et kiírtam gépes jelszókezelőbe, mint backup. Ezt pl google authentikátorral nem tudom, hogy megcsinálhattam volna, authy-val meg -csak optikailag- biztos, hogy nem.

    Opcióid vannak! :R

    [ Szerkesztve ]

Új hozzászólás Aktív témák

  2. Fórumok
  3. Infotech
  4. Gmail
  5. (kiemelt téma)