我不確定這個問題是否應該出現在此處或密碼學論壇中,但無論如何我都會嘗試。
我想了解一些關於軟體驗證器應用程式(例如 Google Authenticator、Duo、Okta 等)如何儲存 TOTP 和 HOTP 驗證的秘密(即種子)的想法。由於它們都可以離線工作,這意味著種子儲存在客戶端裝置上的某個位置。它們完全加密了嗎?或者不需要保護它們,因為設備本身的所有權是此類 OTP 驗證的唯一要求?
答案1
他們依賴設備提供的安全性。
Android 和 iOS 的安全模型比桌上型電腦嚴格得多。每個應用程式都有其私人儲存空間,其他應用程式無法存取。正常情況下,將種子儲存在此儲存中就足夠了,無需添加任何方法將其提取到應用程式中。該儲存空間還應標記為不可備份,因為這將允許提取種子或將它們儲存在不夠安全的儲存空間(第三方雲端)中。
如果設備已 root 或越獄,則可以存取此私有存儲,因此使用此類設備作為 TOTP 令牌並不安全。