Google Authenticator

Google Authenticator este un autentificator bazat pe software de la Google

Acesta implementează servicii de autentificare multi-factor utilizând parola unică bazată pe timp (TOTP; specificată în RFC 6238) și parola unică bazată pe HMAC (HOTP; specificată în RFC 4226), pentru autentificare utilizatori de aplicații software.

Atunci când se conectează la un site care acceptă Authenticator (inclusiv serviciile Google) sau utilizează aplicații terțe care acceptă Authenticator, cum ar fi manageri de parole sau servicii de găzduire de fișiere, Authenticator generează o parolă unică de șase până la opt cifre, pe care utilizatorii trebuie să o introducă pe lângă datele de conectare obișnuite.

Google oferă versiuni ale Authenticator pentru Android, Wear OS, BlackBerry și iOS.

O ramură oficială open source a aplicației Android este disponibilă pe GitHub. Cu toate acestea, această ramură a fost arhivată pe 6 aprilie 2021 și acum este doar pentru citire.

Versiunile actuale de software sunt proprietar freeware.

Caz tipic de utilizare

Aplicația mobilă se instalează mai întâi pe un smartphone pentru a utiliza Authenticator. Trebuie configurată pentru fiecare site cu care urmează să fie utilizată: site-ul furnizează utilizatorului o cheie secret partajat printr-un canal securizat, care va fi stocată în aplicația Authenticator. Această cheie secretă va fi utilizată pentru toate conectările viitoare la site.

Pentru a vă conecta la un site sau serviciu care utilizează autentificarea cu doi factori și acceptă Authenticator, utilizatorul furnizează site-ului un nume de utilizator și o parolă. Site-ul calculează apoi (dar nu afișează) parola de unică folosință necesară, formată din șase până la opt cifre, și îi cere utilizatorului să o introducă. Utilizatorul rulează aplicația Authenticator, care calculează și afișează independent aceeași parolă, pe care utilizatorul o introduce, autentificându-și identitatea.

Cu acest tip de autentificare cu doi factori, simpla cunoaștere a numelui de utilizator și a parolei este insuficientă pentru a accesa cu ușurință contul unui utilizator - atacatorul are nevoie și de cunoașterea cheii secrete partajate sau de acces fizic la dispozitivul care rulează aplicația Authenticator. O rută alternativă de atac este un atac man-in-the-middle: dacă dispozitivul utilizat pentru procesul de conectare este compromis de un malware, datele de autentificare și parola de unică folosință pot fi interceptate de malware, care apoi poate iniția sesiunea de conectare pe site sau poate monitoriza și modifica comunicarea dintre utilizator și site.

Descriere tehnică

În timpul configurării, furnizorul de servicii generează o cheie secretă de 80 de biți pentru fiecare utilizator (în timp ce RFC 4226 §4 necesită 128 de biți și recomandă 160 de biți). Acesta este transferat către aplicația Authenticator ca șir base32 de 16, 26 sau 32 de caractere sau ca cod QR.

Ulterior, când utilizatorul deschide aplicația Authenticator, aceasta calculează o valoare hash HMAC - SHA1 folosind această cheie secretă. Mesajul poate fi:

• Numărul de perioade de 30 de secunde de la Unix epoch (TOTP) ca număr întreg big endian pe 64 de biți; sau
• Un contor care este incrementat cu fiecare cod nou (HOTP).

O porțiune din HMAC este extrasă și afișată utilizatorului ca un cod de șase până la opt cifre; Ultimul nibble (4 biți) din rezultat este utilizat ca pointer, către un număr întreg pe 32 de biți, în matricea de octeți a rezultatului și maschează al 31-lea bit.

Sursă - Wiki: Google Authenticator