问秘密暴露的SpeakEasy安全性
EN

Stack Overflow用户

提问于 2022-11-21 16:35:17

回答 1查看 11关注 0票数 0

我在我的应用程序中使用了免提软件包来实现google。在产生了如下秘密之后。

var secret = speakeasy.generateSecret({
      name: `***`
      // encoding: 'ascii'
    });

然后，我将验证如下：

let validOtp = speakeasy.totp.verify({
              secret: `***`,
              encoding: 'ascii',
              token: code
            });

如果所生成的秘密被泄露，即使没有基于时间的otp，是否也可以绕过此验证，还是仍然是安全的？

我认为最好是加密这个秘密，然后在需要时解密。这是否过分和不必要？

保存

发布于 2022-11-21 17:38:06

我在一个github问题线程中找到了我的答案。一旦密钥被泄露，攻击者就可以在任何时候生成代码。

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/74522082

复制

相似问题

问秘密暴露的SpeakEasy安全性EN