在多个服务器之间共享相同的TOTP是否更不安全？

Question

跨多个服务器使用相同的OTP秘密是否有(“不小”)安全含义？

在我的网络上，我正在运行gitlab-ce、下云和自助服务密码以及其他一些服务。GL和NC都通过TOTP支持2FA，但作为单独的附加组件，而不是通过中心地址(如LDAP)或其他共享方式。

我正在做一个从PR到SSP的工作，以便为密码更改启用2FA，但是我想知道是否可以让GL使用相同的LDAP存储的OTP秘密。我建议支持GL，但前提是它不会削弱系统。

不集中它的后果并不大:每个应用程序/服务器都会存储自己的2FA秘密，因此用户必须单独管理它们。与技术上不需要密码管理器的密码不同，我不知道有谁能记住他们的OTP秘密并在头脑中生成代码，因此用户被迫使用管理应用程序(如Google身份验证程序或FreeOTP身份验证程序)。从一个多个秘密列表减少到一个，主要是方便。

同样，除了方便之外，集中OTP秘密存储还有已知的优势吗？

Answer 1

问题是，正如@HBruijn所指出的，攻击者可以使用用于登录到一个服务的TOTP值登录到另一个服务。在一段时间内，可能有两分钟的时间。虽然您的时间步骤可能只有30秒，但RFC指定验证服务应该在时间上来回搜索OTP值。这是推荐的，因为时钟的漂移。https://www.rfc-editor.org/rfc/rfc6238#section-6

另一点是，你的整个系统只和最安全的部分一样安全。如果任何系统/数据库泄漏OTP秘密，则所有系统都将被合并。

当您完成您的问题时，您应该考虑使用一个集中式系统，它存储秘密并执行验证。这样就不可能重播攻击，您只需在一个地方保护OTP的秘密。

您可能想看看privacyIDEA，它正是这样做的。它是一个身份验证系统，它集中地为用户管理诸如TOTP令牌或应用程序之类的身份验证设备。所有应用程序都对此服务进行身份验证。(免责声明:我是privacyIDEA的核心开发者)

这方面的问题是，所有连接的应用程序都需要连接，即每个应用程序必须能够与privacyIDEA通信。为此，应用程序必须能够充当RADIUS客户端或与认证REST对话。有几个为许多不同的应用程序插件，如OTRS，ownCloud，Wordpress，dokuwiki，Typo3.