我不能 100%确定这个问题是否应该出现在这里或在密码学论坛中,但无论如何我都会尝试。
我想知道软件身份验证器应用程序(例如 Google Authenticator、Duo、Okta 等)如何存储 TOTP 和 HOTP 身份验证的秘密(即种子)。由于它们都可以离线工作,这意味着种子存储在客户端设备的某个位置。它们是否完全加密?或者没有必要保护它们,因为设备本身的所有权是此类 OTP 身份验证的唯一要求?
答案1
他们依赖设备提供的安全性。
Android 和 iOS 的安全模型比台式电脑严格得多。每个应用程序都有自己的私有存储,其他应用程序无法访问。在正常情况下,将种子存储在此存储中就足够了,不需要添加任何方法将其提取到应用程序中。此存储还应标记为不可备份,因为这将允许提取种子或将它们存储在被认为不够安全的存储中(第三方云)。
如果设备已被 root 或越狱,则可以访问此私人存储,因此使用此类设备作为 TOTP 令牌并不安全。