我正在为我的网络安全课程实施基于时间的 OTP (TOTP)。上次我做演示时,我的导师问我“如果你要通过生成 QR 码然后让客户端(软令牌)扫描它来共享密钥,你怎么确定它是安全的?”他的意思是从数据库中获取密钥然后制作其二维码的过程是否安全?如果第三方可以访问该网页,那么呢?第三方不扫码能知道秘钥吗?
我对他的问题感到很困惑。
问问题
77 次
1 回答
0
最有可能的问题是生成 QR 码,而不是真正关于共享秘密本身的安全性(对于传输共享秘密,您无能为力 - 您必须以某种方式共享它)。在生成 QR 时您必须注意的事项 - 不要使用外部服务(如谷歌图表)来生成 QR 码,您必须使用最少的外部库来执行此操作 - 理想情况下纯粹是在客户端。这是一个示例https://github.com/token2/totp-toolset-local
于 2019-03-21T08:04:13.590 回答