我正在为我的网络安全课程实现基于时间的OTP(TOTP)。我最后一次发表演讲时,我的导师问我“如果你要通过生成二维码然后让客户端(软令牌)扫描它来分享密钥,你怎么能确定它安全?”他的意思是从数据库获取密钥然后使其QR码安全的程序?如果第三方可以访问该网页呢?没有扫描代码,第三方可以知道密钥吗?
我对他的问题很困惑。
最有可能的问题是生成QR代码,而不是真正关于共享秘密本身的安全性(没有什么可以做更多关于传输共享秘密的事情 - 你必须以某种方式共享它)。关于QR生成你必须要小心 - 不要使用外部服务(如谷歌图表)来生成QR码,你必须使用最少的外部库使用 - 理想情况下纯粹在客户端。这是一个例子https://github.com/token2/totp-toolset-local