你能用虚拟应用“复制”一个Gemalto硬件MFA设备吗？

Question

我们使用Gemalto MFA fob和AWS。在给定的情况下，我们知道提供给AWS的fob序列号；我假定序列号构成“秘密密钥”，而TOTP算法从该种子生成基于时间的代码。我很好奇这个硬件设备是否可以使用相同的seed和TOTP算法在软件中被虚拟设备复制。是否有任何应用程序或服务存在这样做？

Answer 1

不，这是不可能的--如果能够提取它的秘密密钥，这将是任何这样的设备的一个重大弱点。

但是，如果您只是切换到使用虚拟设备(app)，当您设置它时，您将获得用于初始化设备的密钥(作为字符串或QR代码).它可以用于初始化任意数量的虚拟设备，只要它们的时钟正确，它们都将同时显示相同的代码，因为时间锚定在Unix时代(这不是必要的，但在这种情况下是必要的)。

这种做法的优点和风险不在这个答案的范围之内，但从技术上讲，这是可行的。