Sie sind nicht präzise, ​​weil sie es nicht müssen, und eine präzise Sprache kann einige Benutzer verwirren.

Sie könnten beispielsweise sagen: "Sie sollten keine nicht verwendeten Codes freigeben, die kleiner als sind Eine Stunde alt mit irgendjemand anderem und niemand von Google wird jemals nach diesem Code fragen. "

Sie und ich würden wissen, was sie bedeuten. Mein Schwiegervater und mein Opa werden jedoch nicht wissen warum. Mein Schwiegervater ist ein spezielles Beispiel für eine Person, die sieht, dass es Zeiten gibt, in denen sie Codes teilen kann, und jemand, der ihn aus seiner Sozialversicherungsprüfung heraus betrügt, erhält auch Zugriff auf seine E-Mail. (Ja, in seinem Posteingang geht es hauptsächlich um Chemikalien zur Gedankenkontrolle, die Kondensstreifen zugesetzt werden, und darum, wie Sonneneruptionen Erdbeben verursachen. Sie können jedoch auch jemandem Zugriff auf sein Bankkonto gewähren.)

Wie in den Kommentaren erwähnt, Es gibt andere Beispiele für Situationen, die bedingt gefährlich sind, aber die Leute schließen die Ausnahmen einfach nicht ein. Beispiel: "Schauen Sie niemals auf den Lauf einer Schusswaffe (es sei denn, Sie haben die Kammer geräumt)" oder "Stecken Sie Ihren Finger niemals in eine Lampenfassung [es sei denn, Sie haben die Stromversorgung für diese Fassung ausgeschaltet]."

Da ein verwendetes oder abgelaufenes Token für alle nutzlos ist, macht es keinen Sinn, es zu behalten, zu teilen, zu schützen, zu löschen oder Ausnahmen zu allgemeinen Sicherheitshinweisen hinzuzufügen.

Ich kann es anhand persönlicher Daten erkennen Erleben Sie, dass es Benutzer gibt, die dumme Dinge tun, wenn Sie sie wissen lassen, dass die Sicherheit Randfälle und Nuancen aufweist. Wenn ich wüsste, dass ich meinen Benutzern eine solche Warnung schreiben würde, würde ich meine Aussage so umfassend und allgemein wie möglich machen.

Es soll Social-Engineering-Angriffe gegen Sie verhindern. Stellen Sie sich zum Beispiel vor, Sie haben sich in Ihrem Zwei-Faktor-Google Mail-Konto auf einem schattigen öffentlichen Computer angemeldet, auf dem ein Keylogger Ihre E-Mail-Adresse und Ihr Kennwort aufgezeichnet hat (aber nicht verwendet werden konnte, während Sie angemeldet waren), aber die Zwei-Faktor-Authentifizierung ist aktiviert und erinnerte sich daran, sich am Ende Ihrer Sitzung abzumelden. Ihr Konto ist immer noch sicher (auch hier ist es am besten, sich nicht mit skizzenhaften öffentlichen Computern bei Ihren Systemen anzumelden, da selbst mit Zwei-Faktor-Authentifizierung jemand, der anspruchsvoll ist, möglicherweise böswillige Dinge in Ihrem Konto im Fenster tun kann, während Sie angemeldet sind).

Angreifer haben jetzt Ihre E-Mail-Adresse und Ihr Passwort. Um auf Ihr Konto zuzugreifen (z. B. um Ihre E-Mail-Adresse zum Zurücksetzen von Passwörtern für andere Systeme zu verwenden, z. B. Online-Bestellungen, Zugriff auf Bankkonten, Versenden von Spam oder andere Probleme), müssen diese das Zwei-Faktor-Authentifizierungssystem überwinden. Sie setzen sich also mit Ihnen in Verbindung, geben vor, Google zu sein, und versuchen, Sie dazu zu bringen, ihnen mit dem tatsächlichen Authentifizierungscode zu antworten, damit sie sich vollständig in Ihrem Konto anmelden können. Vielleicht rufen sie Sie am Telefon an (gefälschte Nummer, die wie etwas aussieht, das mit Google Inc in Verbindung steht) und sagen: "Wir sehen, dass Sie eine 2-Faktor-Authentifizierung eingerichtet haben, bevor wir fortfahren können. Sie müssen uns den Code mitteilen, der Ihnen gerade eine SMS gesendet hat." usw.

Abgelaufene oder bereits verwendete Token spielen keine Rolle, aber sie möchten Sie nur daran gewöhnen, diese Informationen nicht an Dritte weiterzugeben.

Gilt möglicherweise nicht dafür, jemandem vor der Verwendung den Code zu geben. Selbst wenn jemand Ihren Benutzernamen und Ihr Kennwort kennt und einen nicht verwendeten Code erhalten konnte und diese Person, bei der ein neuer Code angemeldet werden soll, für die neue Sitzung generiert werden sollte . richtig?

Falsch. Ich gehe davon aus, dass es sich um einen TOTP-Code handelt, der beispielsweise von der Google Authenticator-App generiert wurde. TOTP speichert ein gemeinsames Geheimnis auf dem Client und dem Server (Ihrem Telefon und den Servern von Google). Zur Authentifizierung verwenden sowohl der Client als auch der Server das Geheimnis als HMAC -Schlüssel, um die aktuelle Zeit zu hashen, und kürzen sie dann auf einen n -Ziffernwert (häufig 6 Ziffern, manchmal länger) ).

TOTP ist in keiner Weise an eine Sitzung gebunden, sondern basiert ausschließlich auf einem gemeinsamen Geheimnis und der aktuellen Uhrzeit.

Vermisse ich etwas, ist da Gibt es einen Grund, den einmaligen Code nicht zu teilen, insbesondere den Teil über einen zufälligen Fremden, der anruft und danach fragt? Außerdem sollte es lange abgelaufen sein, bevor jemand die Gelegenheit hatte, Sie anzurufen und in Zukunft danach zu fragen.

Ich stelle mir vor, sie versuchen zu verhindern, dass Leute auf Betrug hereinfallen, wenn jemand Sie fragt um den aktuellen Code an sie zu senden. Nachdem der Code verwendet wurde oder nachdem genügend Zeit vergangen ist, um ihn nicht mehr gültig zu machen, ist der Code unbrauchbar.

Mehrere alte Codes enthalten möglicherweise genügend Informationen, um das gemeinsame Geheimnis brutal erzwingen zu können Dies erfordert mindestens einen Vorbildangriff auf SHA-1, der immer noch nicht durchführbar ist (dh die Codes ermöglichen es ihnen zu erkennen, ob eine bestimmte Vermutung für das gemeinsame Geheimnis richtig ist, aber sie könnten mehrere Lebenszeiten verbringen raten und nie finden).

Dies gilt für viele Ratschläge in der Sicherheitsgemeinschaft.

Die Linie zwischen "guter Praxis" und "schlechter Praxis" sollte konsistent sein, ist es aber oft nicht. Entweder können Sie es brechen und es ist schlecht oder Sie können es nicht und es ist gut, oder?

Leider funktioniert es nicht so. Insbesondere die Offensiv- und Defensivseite ziehen unterschiedlich Linien in den Sand. Obwohl dieselbe gebrochene oder nicht gebrochene Frage in der Praxis das Herzstück der Sache ist, ignoriert sie viele Grauzonen zwischen "gut" und "schlecht", mit denen sich keine Seite befassen möchte, was zu vielen unangenehmen Fragen wie meiner führt Favorit "Wie schlecht ist MD5?".

Leider gibt es keinen einfachen Weg, dies zu umgehen. In der Kryptographie gibt es viele Grauzonen, die sich darauf beziehen, was Menschen nicht können, was so gut wie unmöglich zu beweisen oder zu vermeiden ist. Selbst wenn es überhaupt keine Unklarheiten gibt, wie lange würde es dauern und mit welchem ​​Kit, bis etwas brutal ist, bevor es sicher ist? Die klaren Minuten auf einem durchschnittlichen Desktop sind nicht gut und Milliarden von Jahren auf allen aktuellen Computern der Menschheit sind wahrscheinlich gut genug für die meisten Dinge, aber wo dazwischen liegt die Linie. Darauf gibt es keine Antwort. Der einzige Weg, um sicher zu sein, besteht darin, dass die defensive Seite immer auf strengeren Bedingungen besteht, als die offensive Seite als zerbrechlich akzeptieren würde.

Das Mitnehmen für Sie ist:

Sie sollten nicht erwarten, dass der Verteidigungsrat genau mit tragfähigen Angriffen übereinstimmt. Es ist nicht ihre Aufgabe und es ist immer eine komplexe verschwommene Linie, die fast unmöglich zu korrigieren ist, und Fehler können gelinde gesagt problematisch sein.

Seien Sie daher vorsichtig. Vor allem, wenn das wenig schadet.

Dr. Jimbob ist völlig korrekt. Soziale Entwicklung. Insbesondere ein Social-Engineering-Angriff, wenn der Angreifer Ihr Passwort hat. Ich kann mir ein Szenario vorstellen, in dem eine unsichere Benutzerdatenbank brutal erzwungen wird. Ich stelle mir vor, dass eine angemessene Anzahl von Benutzern mit einer Telefonnummer verknüpft sein könnte, sogar in der Datenbank. Wenn Passwörter geknackt und eine Telefonnummer zugeordnet sind, senden Sie sie an einen Twilio IVR. Wenn sie antworten, teilt der IVR ihnen mit, dass ihr Konto möglicherweise kompromittiert wurde, und wird deaktiviert, sofern sie nicht den Bestätigungscode eingeben, den sie erhalten sollen. Dann lösen Sie ein Login aus und wenn sie mit dem Code antworten, sind Sie dabei. Genau deshalb heißt es, dass niemand jemals danach fragen wird. Wie bereits erwähnt, sind gebrauchte wertlos, aber es ist golden, wenn Sie einen unbenutzten aufgeben.

Meine Antwort ist falsch.

Diese Codes werden von "einem Algorithmus" generiert. Selbst wenn jemand diesen Algorithmus kennt, kennt er weder den Startpunkt noch die aktuelle Position in der Folge der berechenbaren Codes, an der sich der Algorithmus gerade befindet.

Wenn jemand genug Codes hätte UND den Algorithmus kennt, könnte er theoretisch herausfinden, wo sich der Algorithmus in der Sequenz befindet, und neue Codes berechnen.

Obwohl ich das denke Dies gilt möglicherweise nur für die Hardware-Token, die Sie beispielsweise erhalten, wenn Sie sich bei Ihrem bevorzugten MMORPG anmelden.

Es ist höchst unwahrscheinlich, dass jemand beide erforderlichen Informationen herausarbeiten kann, um das System zu beschädigen.