绕过2FA | Google Authenticator

Question

我们有开源的谷歌验证器https://github.com/google/google-authenticator

有没有办法逆转代码生成过程？

想象一下这样的情况：

我们有timestamp和generated code。更重要的是，我们有几对这样的数据。

我们的任务是找到将来将生成的secret code或code。

我们如何做到这一点呢？有什么已知的算法吗？我找不到任何关于这个的东西。需要多少对code+timestamp才能解决这个问题？

我可以为正确的解决方案买单。

Answer 1

看起来你假设生成的代码来自一个只接受timestamp作为输入的函数，TOTP ietf的论文表明，这是基于HMAC的一次性密码(HOTP)，基本上是将timestamp变量添加到共享secret (对称加密)的混合输入到一个足够安全的哈希函数中。

这表明对HOTP函数最好的攻击可能是暴力破解攻击，它的成功率与所选哈希函数的实现背后的数学联系在一起，在google Authenticator中，This is SHA-256

已经证明，与加密相关的代码相关的“安全级别”不是来自代码的保密性，这就是为什么在这种情况下不需要逆转它的原因。