Kétlépcsős beléptetés, pl. google autentikátorok hogyan működnek?

A kódot és az adott fiókot egy kulcs kapcsolja össze, ez az, amit a QR kódból kiolvasol, amikor az autentikátort párosítod a fiókoddal.

A Google autentikátor egy ideje már képes elmenteni ezeket a kulcsokat a Google fiókodba, így ha új telefonra váltasz vagy gyári visszaállítást csinálsz a mostanin, és ugyanazzal a Google fiókkal lépsz be, akkor visszakapod a kulcsaidat is.

Semmi szükség google és m$ szarokra, csak szokás szerint az ő termékeiket tolják mindenkinet a képébe.

Egy titkos kódból, amit a QR-kódból vagy szövegesen viszel be, abból bármely , az adott TOTP-szabványt ismerő program le tudja generálni a percenként változó 6 számjegyű kódot.

Ha rákeresel, hogy "TOTP", akkor minden platformra van milliónyi lehetőség.

Én Windowson KeePassXC-t, Androidon Aegis-t használok.

#2-es válaszhoz pedig:

Nincs semmiféle párosítás a google vagy microsoft fiókkal.

#4

Nem is írtam olyat, hogy lenne párosítás Google vagy Microsoft fiókkal.

Az autentikátor és a fiók (nem a Google vagy Microsoft fiók, hanem az a fiók, aminek a második faktoros hitelesítését éppen beállítod, pl. a Facebook fiókod vagy bármi) közt történik meg a kulcscsere.

#5 Ez nekem új.

A 6 számjegyű kód legenerálásához mindössze az állandó titkos kódra, valamint a jelenlegi időre, időzónára van szükség.

Max arra tudok gondolni, hogy valamelyik megavállalat a független TOTP-programok népszerűtlenítése céljából elsőre csak a google/microsoft telefonos programokkal beolvasható QR-kódot mutat, és külön rá kell nyomni valami gombra, hogy a rendes, állandó titkos kódot tartalmazó QR-kódot mutassa. Egy ilyesmivel már találkoztam.

#6

Nincs benne semmi újdonság, csak túlgondolod. A kulcs, azaz a titkos kód, két helyen van tárolva, a te autentikátor appodban, és abban a fiókban, aminek a szolgáltatásához beállítottad a kétfaktoros hitelesítést.

Másképp mondva, amikor mondjuk a Facebook fiókodhoz beállítod a TOTP alapú kétfaktoros hitelesítést, akkor a Facebook generál egy titkos kódot, amit te beolvasol vagy beírsz (ez a kulcscsere), és ebből, meg még néhány adatból (pl. az aktuális timestamp) generálódik a TOTP kód. Ennyi. Ugyanarról beszélünk szerintem...

A titkos kódot bármennyi eszközön elmentheted. Egy normális programból, pl. Aegis vagy KeePassXC bármikor ki tudod olvasni a titkos kódot.

Tehát beállíthatod 10db telefonon és a számítógépeden is, így biztos nem veszik el. Meg persze amúgy is könnyen csinálhatsz róla biztonsági mentést ha kiexportálod fájlba.

Ezzel szemben a Google/Microsoft authenticatorokból aligha ki lehet nyerni a titkos kódot. Elvileg tudnak szinkronizálni a google fiókhoz, gyakorlatilag már sokan csesztek rá, hogy nem, és elveszett az egyetlen példány.

Másrészt Androidon a Google authenticator ahhoz a fiókhoz társítja a titkos kódot, amivel be van lépve az eszközre. Több fiók esetén ez is egy gyönyörű gubancot tud okozni.

Ha mással meg akarod osztani a titkos kódot, azt normális programból könnyen megteheted. A Google/MS lehetőségeivel nem vagyok képben, nem tudom hogy meg tudod-e osztani azokból, de ha meg tudod, akkor is csak másik Google/MS fiókba.