Предоставляет ли Google Authenticator информацию сайтам?
Предоставляет ли Google Authenticator какую-либо информацию сайтам, у которых учётные записи используют Google Authenticator в качестве одной из ступеней многофакторной аутентификации?
Если да, то какую именно информацию?
Допустим есть сайт, где по правилам этого сайта нельзя иметь более 1 учётной записи 1 пользователю (человеку). Однако, кто-то имеет несколько аккаунтов, используя разные устройства или одно устройство, но разные браузеры и VPN.
Если использовать Google Authenticator (на одном мобильном устройстве) в качестве одной из ступеней многофакторной аутентификации нескольких учётных записей одного сайта - сможет ли этот сайт каким-либо образом получить информацию о том, что у одного пользователя имеется несколько учётных записей на сайте?
Или можно смело использовать Google Authenticator для аутентификации нескольких учётных записей одного сайта?
Если сильно не доверяешь Гуглу - ты можешь воспользоваться другим генератором кодов (Яндекс ключ, ms authenticator, authy), или вообще можешь для интереса попробовать написать свой скрипт, который по ключу будет генерировать такие же коды.
Да, читал я эту статью TOTP на википедии.
И в этой статье написано:
Прослушивая трафик клиента, злоумышленник может перехватить посланный логин и одноразовый пароль (или хеш от него).
Это про надёжность алгоритма.
Но суть не в надёжности алгоритма, в в том, что Google Authenticator (ну или аналог) предоставляет какую-то информацию сайту, чтобы пользователь мог пройти аутентификацию.
Каким-то же образом сайт и Authenticator синхронизирует код из 6 цифр и время действия этого кода. Т.е. какой-то обмен данными происходит.
Вопрос: есть ли между Authenticator и сайтом обмен данными, по которым сайт сможет определить, что у пользователя на сайте несколько учётных записей?
При условии, что все учётные записи одного пользователя проходят многофакторную аутентификацию через один и тот же Authenticator.
По поводу других Authenticator (Яндекс ключ, ms authenticator, authy) - да, можно... но:
1. Одним приложением проще пользоваться, чем несколькими.
2. Можно запутаться где какая учётная запись к какому именно Authenticator подключена. Это конечно решаемо методом проб: ага, код из этого Authenticator не подошёл, значит другой Authenticator.)
Каким-то же образом сайт и Authenticator синхронизирует код из 6 цифр и время действия этого кода. Т.е. какой-то обмен данными происходит.
Обмен данными происходит один раз и только в одну сторону - сайт сообщает секретные данные пользователю через qr-код (либо текст), а пользователь эти данные вносит в приложение.
Далее код остаётся одним и тем же исключительно за счёт синхронизированных часов.
2. Просто каждому профилю аутентификаторе даёшь имя - тогда не перепутаешь)
Вопрос: есть ли между Authenticator и сайтом обмен данными, по которым сайт сможет определить, что у пользователя на сайте несколько учётных записей?
При условии, что все учётные записи одного пользователя проходят многофакторную аутентификацию через один и тот же Authenticator.
Такого канала нет, тк приложение даже в интернет ничего не отправляет.
В качестве эксперимента попробуй отключить телефон от интернета и настрой TOTP.
А ещё существуют железные генераторы кодов для максимальной секурности
В продолжении этого вопроса. Отсылает ли Google authenticator геопозицию аутентифицируемого?
Может ли сторона к которой я запросил доступ определить мою геопозицию?