[GTER] RES: Sequestro de DNS no Registro.br

Rubens Kuhl rubensk at gmail.com
Thu Dec 1 11:45:20 -02 2016


2016-12-01 10:44 GMT-02:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Eu acabei de me sentir um burraldo aqui...
> Não sabia que era possível mais de um Device rodarem o mesmo token.
> Valeu Bruno Valente.
>
>
> Fizemos o teste!
> Na hora de ativar o 2FA no Registro.BR, em três colegas tiramos foto do
> mesmo QR-code.
> Funcionou para os 3!
>

O QR-code contém um shared secret, o que o programa de TOTP mostra é um
hash do shared secret e a hora corrente.



>
>
> Ainda não chegamos no problema que o Francisco Paletta falou.
> Não analisamos como seria a troca do Token no caso de desligamento de um
> dos colegas.
> Mas vamos chegar lá!
>

Desativa o token da conta e ativa de novo. Isso força a criação de um novo
token, que aí precisa ser difundido para quem de direito.

É fácil testar, só pedir para um de vocês ser demitido... ;-)


Rubens



More information about the gter mailing list