Uchovanie TOTC kodov v db

Hesla sa nikdy neuchovavaju v db v cistej podobe, vzdy sa pouziva nejaka forma hashu.
To je samozrejme mozne kvoli tomu ze uzivatel pozna heslo a system len porovnava hash.
Co vsak v pripade ze autentifikacna metoda je TOTC kde uzivatel heslo "nepozna" a pozna ho len system? Zahashovanie by znamenalo ze server nemoze overit uzivatelov kod kedze uzivatel pracuje s povodnym "heslom" na zaklade ktoreho vygeneruje autentifikacny kod.

V nejlepsim pripade secret zaencryptujes a decrypt key posles uzivateli spolu s tokenem, takze decrypt key vlastni jen on a ne ty (takze ani pripadnej utocnik na db nedokaze decryptovat)... kdyz si smaze cookie tak musis vse regenerovat...

eh, taky pristup pre TOTC je mi na dve veci ... mozno pre OTC by som si to vedel predstavit ale bolo by to pre uzivatela asi neprakticke uchovat si OTC kody + este nejake dodatocne heslo.

promin asi sem nepochopil co je TOTC, asi pouzivas nestandardni zkatku, protoze google taky nevi. predpokladal jsem ze to je neco jako Tokenovani v OAuth :) no tak asi ne...

OTC je one time code, TOTC je time based one time code - v skratke je to klasicka 2FA kde si najcastejsie vygenerujes heslo a na jeho zaklade vyrenderujes QR kod ktory si naskenujes telefonom(google authenticator je asi najrozsirenejsi) a ten ti potom periodicky(30s) generuje ciselny kod o danej dlzke(najcastejeie 6 znakov). Ten pri prihlasovani zadas namiesto hesla.

IOTA tutorial 34: Time-Based One-Time Password (TOTP) - YouTube

PS: aha vidim, T/OTP vs T/OTC...nejak som zvyknuty pouzivat "code" a nie "password"

aha takze TOTP... ne TOTC... uz jsem doma...

no tak to storujem encryptovany klicem co je ulozenej na serveru... Takze by museli krome db kompromitovat celej server/file storage... samotnyho me nenapada nic lepsiho...

jasne, chapem ako to myslis. myslim ze to je vhodna cesta.

pokud má systém znát hesla, je to vždy těžko řešitelné a máš přibližně tyhle možnosti:
- enterprise grade - KMS/HSM - specializovaný HW, který je určen k uchování hesel/certifikátů, klientům často kupujeme věci jako Thales nebo Luna či v AWS je věc jménem CloudHSM, používáme i pro TOTP, na tomhle běží velká část českého bankovnictví
- hoby - SW uložiště hesel - něco na způsob gpg nebo Vault od Hashicorpu (používáme na některých projektech i s TOTP) - zpravidla oddělené jednoúčelové servery, které jsou pod pečlivější kontrolou
- naivní s uložením hesel do souborů pod rootem, do konfigů, do databáze s symetrickou šifrou - to je špatně, tady si koleduješ o velký průser
- použití protokolu jako oauth2 či něco nad DH

S TOTP to je trochu jiné, uživatel ti poskytne pouze otisk generovaných hesla a nikoliv samotné heslo, systém nikdy původní heslo (privátní klíč neuvidí). Důležité je v tomhle případě nikoliv uchovat ten otisk utajený, ale zamezit jeho neautorizované změně, což je nejčastější způsob útoku na OTP zabezpečení.