Il 03/02/22 12:24, 380° ha scritto:
Damiano Verzulli <damiano@verzulli.it> writes:
[...]
Utilizzando il codice python che trovi nei commenti a questo thread:
https://www.reddit.com/r/ItalyInformatica/comments/oxateo/da_lepidaid_a_totp...
interessante articolo grazie! mi pare un'istanza di quanto già segnalato: https://blog.jacopo.io/it/post/spid-google-authenticator/
Si, sono entrambe letture interessanti per un tecnico. Grazie a te e Damiano.
--8<---------------cut here---------------start------------->8---
Se qualcuno leggesse da Lepida, mettiamo in chiaro che apprezziamo molto l'uso degli standard, e ci lamentiamo di come siano stati offuscati invece di essere sfruttati appieno.
[...] Se il contenuto di questo post per qualche motivo fosse considerato un problema da Lepida, il modo migliore per risolverlo sarebbe implementare nella gestione account un enrolling standard col QR per chi già usa TOTP con altri siti, volendo continuando a consigliare la app che ha qualche feature in più.
--8<---------------cut here---------------end--------------->8---
Che poi (l'enrolling standard con QR) è esattamente quello che si fa per identificarsi preso moltissimi fornitori di servizi, Google incluso!
quindi per ottenere i dati occorre installate mitmproxy, la app, sniffare il traffico e applicare la sostituzione monoalfabetica (ma che davero?!?!) al secret: non è proprio alla portata di tutti (anche con script python), non trovi?
Già. Non capisco perchè anche chi apparentemente non infila cose assurde e inammissibili nel proprio codice (come Lepida, a quanto pare) debba essere più realista del re insistendo con la "sicurezza attraverso l'oscurità".
per chi fosse interessato, poi il thread reddit spiega altri due modi alternativi: uno che utilizza uno script python che non necessita di app e mitmproxy, l'altro che utilizza un URI specifico e la funzione "network debugger" del browser
molto interessante, infatti.
per curiosità: hai provato a chiedere a Lepida i tuoi dati per TOTP?
Spero ben che non abbia il secret totp degli utenti, se capisco cosa intendi ... (in ogni caso occorre fidarsi se si usa l'app) rob