Если вы когда-нибудь замечали, что длинные коды двухфакторной аутентификации (TOTP) часто содержат повторы вроде 131488 или симметрии вроде 1221 — это не баг, а статистическая закономерность. Чем длиннее код, тем выше вероятность, что в нём встретятся простые или "запоминающиеся" фрагменты. Это нормально и не снижает безопасность. Читать далее
Всем привет.Уже теперь в прошлом году в комментариях к очередной статье про безопасность аккаунтов и TOTP здесь, на Хабре, я спрашивал – а почему не очень распространены «hardware TOTP».С одной стороны, оно и понятно – зачем нужно какое-то еще одно отдельное устройство, если его вполне…
totp-rs is a Rust library that permits the creation of 2FA authentification tokens per time-based one-time password (TOTP). Prior to version 1.1.0, token comparison was not constant time, and could theorically be used to guess value of an TOTP token, and thus reuse it in the same time window. The attacker would have to know the password beforehand nonetheless. Starting with patched version 1.1.0, the library uses constant-time comparison. There are currently no known workarounds.
Задавались ли вы когда-нибудь вопросом, как работают QR-коды? Если да, то эта статья для вас. Здесь вас ждёт интерактивное объяснение*, которое мы составили для семинара, проводившегося в рамках Всемирного конгресса хакеров 37C3, но вы также можете использовать его самостоятельно. Прочитав статью, вы узнаете: Из чего состоят QR-коды. Как декодировать QR-коды вручную (используя нашу шпаргалку). Читать дальше →