Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-01-2020, 15:28 door Anoniem

Het leest als een ingewikkelde manier om een tweede password(je) te introduceren, dat je mee-invoert via het sms-code invoerveld . FYI : diverse SMS 2FA gebruiken zowel letters als cijfers - je algoritme voorstellen gaan zo te zien alleen uit van cijfer-SMSen. Voorstellen dat mensen uit het hoofd letters een x-aantal plaatsen gaan opschuiven zou ik niet aandurven. Maar vooral : ik zie maar een heel beperkt conceptueel verschil met "voer usernaam en password in" ontvang SMS Voer de ontvangen SMS code in gevolgd door uw tweede password" Dat is alleen dat het 'tweede password' geacht wordt door de gebruiker in het hoofd/offline bewaard te worden en niet rechtstreeks in het invoerveld zit. Volgens mij zijn je voorgestelde algorithmen niet one-way - oftewel, in een threat model waarin de ontvangen sms code, en de door de gebruiker ingegeven code na processing met het tweede password bekend zijn kan een aanvaller het tweede password simpel terugberekenen. Met de noodzakelijkerwijs heel kleine ...

Beschrijf je klacht (Optioneel):

captcha