たぶんこれがOSに丸投げする方法
This account is not set to public on notestock.
資格情報マネージャーにのっかってるので、こいつをなんかのAPIでシバく形になるんだろうけど
もうすでになでなでしないとTOTPしてくれないゴーストは作れるぞ
This account is not set to public on notestock.
TOTP_SAORIで処理できるのは知ってるけど、そもそもシークレットをどうやって「安全に」保存しようか?ってとこでぐるぐる考えてる。
まああんまり考えても無駄だから適当にビットまぜまぜか、雑に鍵生成して共通鍵暗号とかでイタズラ防止の域をでないぐらいのことしかできない気がするけど…
TOTP自体は出せるけど「安全に保管するべし」をどう実装するか悩んで結局封印してる
僕はTOTPのシークレットはデバイスの外にコピーされるべきでないと思ってたんだけどRFCには安全に保管すべしとしか書いてないんだよな…
https://www.rfc-editor.org/rfc/rfc6238#section-5.1
そろそろ多要素認証の一要素としてTOTPとか使う機会増えたし、SSP本体機能かプラグインとしてTOTPできるやつ放り込みたい
