15

TOTP/HOTP に基づく 2 要素認証システムを構築しています。otp を検証するには、サーバーと otp デバイスの両方が共有シークレットを認識している必要があります。

HOTP シークレットはユーザーのパスワードに非常に似ているため、同様のベスト プラクティスを適用する必要があると考えました。具体的には、暗号化されていないパスワードを決して保存せず、パスワードのソルト付きハッシュのみを保持することを強くお勧めします。

RFC も、HOTP/TOTP の Python 実装も、この側面をカバーしていないようです。

OTP 共有シークレットの一方向暗号化を使用する方法はありますか、それともばかげた考えですか?

4

2 に答える 2