たぶんこれがOSに丸投げする方法
このアカウントは、notestockで公開設定になっていません。
資格情報マネージャーにのっかってるので、こいつをなんかのAPIでシバく形になるんだろうけど
もうすでになでなでしないとTOTPしてくれないゴーストは作れるぞ
このアカウントは、notestockで公開設定になっていません。
TOTP_SAORIで処理できるのは知ってるけど、そもそもシークレットをどうやって「安全に」保存しようか?ってとこでぐるぐる考えてる。
まああんまり考えても無駄だから適当にビットまぜまぜか、雑に鍵生成して共通鍵暗号とかでイタズラ防止の域をでないぐらいのことしかできない気がするけど…
TOTP自体は出せるけど「安全に保管するべし」をどう実装するか悩んで結局封印してる
僕はTOTPのシークレットはデバイスの外にコピーされるべきでないと思ってたんだけどRFCには安全に保管すべしとしか書いてないんだよな…
https://www.rfc-editor.org/rfc/rfc6238#section-5.1
そろそろ多要素認証の一要素としてTOTPとか使う機会増えたし、SSP本体機能かプラグインとしてTOTPできるやつ放り込みたい
