Kris on Nostr: Der Hauptzweck des Scriptes war, die betreffende Firma von der Schwäche von TOTP zu ...
Der Hauptzweck des Scriptes war, die betreffende Firma von der Schwäche von TOTP zu überzeugen und flächendeckend physische Yubikeys für Mitarbeiter mit Zugang zu Prod auszurollen.
Das eigentliche System – zeitbegrenzte beschränkte SSH-Keys, die nie persistiert werden – war gut. Der zweite Faktor im Firmenkontext schwach und ein Resultat falscher Pfennigfuchserei.
Der Autor des Scripts hat nach Einsendung des Programms an security@... einen Yubikey erhalten und TOTP wurde global abgeschaltet.
Das eigentliche System – zeitbegrenzte beschränkte SSH-Keys, die nie persistiert werden – war gut. Der zweite Faktor im Firmenkontext schwach und ein Resultat falscher Pfennigfuchserei.
Der Autor des Scripts hat nach Einsendung des Programms an security@... einen Yubikey erhalten und TOTP wurde global abgeschaltet.