Vlákno názorů k článku Postřehy z bezpečnosti: Thorium jako open-source a bezplatný Authenticator od Protonu od oss - > Možnost exportovat TOTP je funkce, která v...

> Možnost exportovat TOTP je funkce, která v jiných populárních autentizačních aplikacích, jako jsou Microsoft Authenticator a Authy, velmi chybí.

Pred dvoma rokmi som migroval na novy mobil, pouzivam Micorosft Authentificator. Funkcia exportovat a importovat veci vratane TOTP tam bola.

chápu, že to je pro uživatele zjednodušení, ale schopnost authenikátorů udělat export výrazně snižuje jejich bezpečnost, pak totiž nikdy nevíš, jestli útočník někdy neudělal export a kódy si nepoužívá. Problematické poté je, že nelze snadno ověřit odkud a jestli je používá.

Z pohledu bezpečnosti by měly tyhle 2FA ověřovače být vždy vázané na konkrétní zařízení a mělo by jít ověřit z kterého zařízení byl kód poskytnutý.

Krásná teorie ale člověk občas také potřebuje žít. Ono nejbezpečnější je z jistého úhlu pohledu žít zavřený na samotce za mříží.

ale tak cesty jsou a lze to dělat i bez toho exportu, že. Za mě TOTP a celá schopnost udělat neauditovatelný export a neschopnost ověřit, že 2FA kód zadává konkrétní osoba/zařízení je velké špatné a dostává se nám to na úroveň sms.

Stačí, aby se na zařízení, kde je daný authenicator spustil cizí kód, který bude schopný provést export a máš zaděláno na problém, tenhle únik nemusí pak zanechat žádné stopy.

Tak u TOTP/HOTP je na vstupu shared secret, ktery tak nejak "export" minimalne behem inicializace by design predpoklada - protoze ho musi mit obe strany. Takze ven proste musi... z cehoz samozrejme vyplyva i to omezeni, ze technicky nikdy nejde zarucit, ze kod je svazany s jednou osobou/zarizenim. Je to tak proste navrzene...

chápu, že to je pro uživatele zjednodušení, ale schopnost authenikátorů udělat export výrazně snižuje jejich bezpečnost, pak totiž nikdy nevíš, jestli útočník někdy neudělal export a kódy si nepoužívá.
Aegis má třeba protokol, kde by byl případný export vidět. A export není kvůli zjednodušení, ale kvůli tomu, že když se mi rozbije telefon, importuji zálohu do jiného a můžu se přihlásit do služeb, kde mám nastavený 2FA. Většina normálních společností jako GitHub, Alphabet umožňuje i alternativní metodu 2FA, ale k některým se přihlásíte jen pomocí autentifikační aplikace (a v horším případě jen SMS) a když najednou tu jedinou možnou 2FA metodu nemáte po ruce, máte smůlu...

5. 8. 2025, 10:54 editováno autorem komentáře