Sitat av
neonero
Jeg ser at hvis man skal ha 2FA på Protonmail, så anbefaler de en app. Men da kan man jo plutselig knytte din e-mail adresse til ditt tlf nr. Man skal så stole på de som eier firmaet bak den 2FA appen man velger. De vet jo som de eneste at mitt navn er knyttet opp mot min protonmail. Det duger vel ikke?
Nei, det er ikkje slik det funker...
2FA med TOTP - Time Based One Time Password, baserer seg ikkje på kommunikasjon mellom appen og serveren. Det funker heilt offline.
Måten det funker på er at serveren lager eit tilfeldig, stort tall, og lagrer det. Det blir vist som QR-kode for deg på nettsida. Du legger tallet (som er svært stort, eit par hundre siffer) inn i appen ved hjelp av QR-koden.
Når du får opp ein kode i appen så er koden resultat av tidspunkt (avrunda nedover til næraste 30 sekunder) og det hemmelege tallet. Det store hemmelege talet fortel ingenting om kva nettside eller kva konto det tilhøyrer; det er eit tal. Så appen veit i utgangspunktet ingenting om nettsida, og treng heller ikkje vite det. Nettsida veit heller ingenting om korleis du lagrer det store hemmelege talet.
Den matematiske funksjonen er laga slik at den sekssiffra koden du får opp ikkje røper informasjon om talet, så om tredjeparter kan generere uendeleg mange tidsbaserte koder vil ikkje det hjelpe dei med å finne det hemmelege talet.
Når du taster den inn på nettsida, gjer dei samme beregninga med samme utgangspunkt. Om dei to resultata er like, så har de samme tal, og du er autentisert. Einaste kommunikasjonen mellom appen og nettsida skjer i det du trykker koden inn på nettsida.
Om du vil kan du lagre det i
ein YubiKey. Den gjer det umulig å få tilbake tallet; du kan kun hente ut koder, men aldri få tilbake tallet i seg sjølv fra den dingsen.