Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации
HELPSOC мнение: Редкая гадость старается сдать Вас с потрохами.
[ more…]http://helpsoc.ru/proton2025
Швейцарская компания Proton AG, развивающая сервисы Proton Mail, Proton Drive и Proton VPN, представила открытое приложение Proton Authenticator, предназначенное для аутентификации при помощи одноразовых паролей с ограниченным сроком действия, генерируемых при помощи алгоритма TOTP (Time-based One-Time Password).
Proton Authenticator может применяться как более функциональная замена проприетарным аутентификаторам, таким как Google Authenticator, Microsoft Authenticator, Authy и Duo, а также в качестве альтернативы открытым проектам FreeOTP и oathtool. Код Proton Authenticator распространяется под лицензией GPLv3. Доступны как мобильные приложения для Android и iOS, так и настольные программы для Linux, macOS и Windows. При разработке в зависимости от платформы применяются языки Kotlin, Swift и Rust.
HELPSOC мнение: Редкая гадость старается сдать Вас с потрохами.
Среди возможностей и отличительных особенностей Proton Authenticator:
Поддержка создания шифрованных резервных копий исходных секретных ключей для их сохранения на локальном носителе или размещения в облаке.
Поддержка синхронизации ключей между несколькими устройствами пользователя с применением сквозного шифрования.
Возможность ограничения
доступа к приложению при помощи биометрической аутентификации или PIN-кода.
Возможность доступа к кодам в offline-режиме, без необходимости наличия сетевого соединения. Для получения ключей может использоваться QR-код.
Алгоритм TOTP позволяет генерировать одноразовые коды подтверждения на локальном устройстве пользователя и проверять их на внешнем сервере, используя в качестве параметров секретный ключ и текущее время.
Для генерации пароля обмен данными между клиентом и сервером не требуется (достаточно один раз инициализировать ключ, распознав показанный сервером QR-код или импортировав ключ вручную).
Время жизни одноразового пароля обычно ограничивается 30 секундами, после чего требуется генерация нового пароля.
Пароль генерируется путём вычисления хэша SHA-1, SHA-256 или SHA-512 над сочетанием из ключа и очередного интервала времени, и использования нескольких младших битов хэша для выделения проверочных цифр.
HELPSOC мнение: болтун находка для шпиона, еще водители, обслуга, и главный помощник спецслужб, хацкеров, зловредов
— шпиономан:
смартфон, где уже все есть:
диктофон, камера, интернет, телефон
или его младшие составные части функционала по отдельности: диктофон, камера, интернет, телефон, устройства отдельные или в купе
к
+ ПК персональный компьютер, ии noutbook, планшет, и т.п. прочая лабуда.
Впрочем, если болтун рот не открывает, а шпиономан:
смартфон, настроен правильно: инкогнито с отключенными некоторыми функциями,
либо:
без интернета, телефона, и их родных встроенных физических адаптеров,
то и так сойдет, пригодиться.
К примеру QR-код сертификаты и прочая так называемая интернет безопасность не безопасны фактически, то есть свою работу они выполняют, но они интернет зависимы, а значит к безопасности не пригодны: зная Ваш позывной устройства, или его оборудования, или
Ваш штамп в приложении,
Ваш алгоритм защиты устройства раскроют, к Вам пришлют, например обновления, установят слежение, аудио и видео прослушку, в то время, как Ваш безопасный интернет будет работать.
Хотя некоторые могут и навредить работая, например, Proton Authenticator: при использовании им Алгоритма TOTP, а тот QR-код
Помните, зная Идентификатор, личный код устройства любой Алгоритм, можно обойти:
безопасность под угрозой.,
Давайте рассмотрим, как работает алгоритм TOTP
Сервер создает секретный ключ для пользователя.
Секретный ключ отправляется приложению предлагается QR-код выданный сервером.
Приложение на смартфоне использует текущее время и секретный ключ для генерирования одноразового пароля.
Раз в определённый промежуток времени (например каждые 30 секунд) одноразовый пароль переиздается.
При входе на сервер вы вводите одноразовый пароль.
Так как сервер владеет секретным ключом, то по своему текущему времени он может с генерировать такой-же одноразовый пароль и сравнить с тем, что прислал пользователь. Если они совпадут, то вход разрешается.
HELPSOC мнение: это Бред «сивой кобылы для лохов».
Так безопасность не работает.
А знание всех паролей из листинга выдаст боту хакера
список для перебора списка хешей до совпадения пароля и все.Время не проблема, переберут все за 30 секунд или за любое другое.
А еще безответственее использовать QR-код:
Генераторы QR-кодов собирают информацию от своих пользователей для предоставления статистических отчетов . Из-за этого Отслеживание QR-кода Благодаря возможностям продавцы (считай и хацкеры) о пользователях могут улучшить свои маркетинговые кампании и стратегии.
tags: HELPSOC мнение: болтун находка для шпиона, Proton Authenticator: при использовании им Алгоритма TOTP, инициализировать ключ, распознав показанный сервером QR-код, импортировав ключ вручную, вычисления хэша SHA-1, SHA-256 или SHA-512 над сочетанием из ключа и очередного интервала времени,
тэги: HELPSOC мнение: болтун находка для шпиона, Proton Authenticator: при использовании им Алгоритма TOTP, инициализировать ключ, распознав показанный сервером QR-код, импортировав ключ вручную, вычисления хэша SHA-1, SHA-256 или SHA-512 над сочетанием из ключа и очередного интервала времени.
