Ügyfélkapu+ Apukám vállalkozó, de nincs okos telefonja. Tudok neki adni egy használatom kivüli okos telot. A kérdés az lenne, hogy ha arra a telóra letöltöm azt a QR kód beolvasot az ugye nem gond, hogy nincs benne SIM kártya?

A szerver oldal tudja milyen kódot kell kapnod, mert ő is legenerálja magának a titkos kulcsodból. Ha azt írod be a nálad generált számsorból mint amit a szerver legenerált magának, akkor sikeres az egyezés és beenged. Időszinkronizáció kell csak az eszközök között, nehogy elcsússzon a két generálás időzítése.

A kulcsgeneráló nem a netről kapja a kódokat (mint az SMS-hitelesítős módszer), azt saját magától számolja ki és generálja le a titkos kulcsból.

11.

Akkor az nem véletlen szám, mert akkor a 2 oldalé nem lenne egyforma, hanem egy képletből számolja. Amit valaki egyszer megalkotott és az összes ilyen jellegű programba beépítik. Marha biztonságos, csak egyszer derüljön ki, hogy mi a képlet.

"Akkor az nem véletlen szám, mert akkor a 2 oldalé nem lenne egyforma, hanem egy képletből számolja. Amit valaki egyszer megalkotott és az összes ilyen jellegű programba beépítik. Marha biztonságos, csak egyszer derüljön ki, hogy mi a képlet."

Marha biztonságos, mert nagyjából isten tudja mióta sztenderd eljárás, csak le volt maradva az ügyfélkapu.

Ha kiderül, hogy mi a telefonodon tárolt TITKOS kulcs, ami alapján a TE telefonod generál, akkor persze hogy b..szva van az egész. De ennyi erővel mondhatnád hogy jelszó sem kell, hiszen az is addig működik, amíg más nem ismeri, ugye?

Innentől nem elég a hackereknek kitalálni a jelszavadat, hanem a telefonodhoz is hozzá kell férniük, majd az ott lévő TITKOSÍTOTT adatból kinyerni a te titkos kulcsodat, ami alapján generálod az idő alapú jelszavadat. Nekem marhára nehezebbnek hangzik, mint simán kitalálni a kiskutya123 szintű jelszavakat, amiket az emberek vagy 30 helyen használnak egyszerre.

13.

De ebből az is következik, hogy csak egyszer lássa meg mi a 6 jegyű kód, mivel a képlet ismert és azt is tudja mennyi az idő, a titkos kulcs már kiszámítható kell legyen "visszafele" is. Így aztán teljesen mindegy, hogy utóbbi mennyire bonyolult meg hosszú, a leggyengébb láncszem a 6 jegyű szám lesz, és akkor már tényleg majdnem ott tartunk, hogy ilyen alapon lehetne egy sima 6 jegyű jelszónk is, aztán ennyi. Hiszen azt is csak 1x kell lelesni meg ezt is csak 1x és mindkét esetben bukta van.

Neeeeem igazán érted. Hidd el, nem hülyék találják ki ezeket. A kóddal abszolút semmire sem megy önmagában, abból nem fejthető vissza a titkos kulcs, még a pontos idő ismeretében sem. Pont ez a lényege az egésznek.

Pl. a jelszavaidat is minden weboldal nem valós szövegként tárolja, hanem egy hash algoritmussal titkosítja, ami alapján ugyanúgy nem fejthető vissza az eredeti jelszó. A TOTP jelszavakat is ugyanilyen hash algoritmussal generálják.

De mondok mást: ha hivatalos helyről kapsz emailben csatolmányt, akkor akár láthatsz olyat a levélben, hogy a csatolmány hash értéke: xy (egy hosszú szöveg). Itt a hashból számított xy alapján ugyanúgy nem reprodukálható az eredeti fájl. Viszont ha megfogod az email csatolmányában kapott fájl és kiszámítod rá a hasht, akkor azt az xy-t fogod kapni, mint amit az email szövegében írtak, ha nem, akkor tudhatod, hogy valahol sz..r került a palacsintába és vagy az email szövege, vagy a csatolmány kamu.

[link]

Ettől azért bonyolultabb a dolog, nem a pitagorasz tételből áll, hogy visszahelyettesítesz néhány számot és megvagy.

[link]

Szolgáltatások tömegei használják ezt a szabványt, bankok is. Ha nem lenne elég biztonságos, nem csinálnák.

15.

De a különböző autentikátorok eltérő 6 jegyű kódot dobnak ugyanarra a fél percre. Honnan tudja, hogy melyikből írtam be, ha nincs kapcsolat?

19.

Több volt igen. A PC-s jó lett, a Google hitelesítőjé eltérő, gondolom azzal akkor nem lett volna jó.