War mir ja so auch nicht 100 % klar: Ein TOTP-Code (diese sechsstelligen Nummern für zwei-Faktor-Authentifizierung) ist insbesondere, wie der Name eigentlich schon sagt, auch nur einmal benutzbar.
Heißt also, wenn jemand den Code bei euch abschnorchelt während ihr euch einloggt, kann entweder die Angreifer*in sich einloggen, oder ihr – nicht beide. Der validierende Server darf den Code nur einmal akzeptieren (RFC 6238, 5.2).
scy /
npub1ds…dpdsr
2024-03-08 15:52:12
Author Public Key
npub1ds9uccvzttwannk5cnf09k8f6wxeuvy84srqhlc98q794n8p5vaq0dpdsrPublished at
2024-03-08 15:52:12Event JSON
{
"id": "1d7f65006bcd3e038d7975a26a172e8f21dfb522b8f867ec7f671cefcd9bfa24",
"pubkey": "6c0bcc61825addd9ced4c4d2f2d8e9d38d9e3087ac060bff05383c5acce1a33a",
"created_at": 1709913132,
"kind": 1,
"tags": [
[
"proxy",
"https://chaos.social/users/scy/statuses/112060867067134557",
"activitypub"
]
],
"content": "War mir ja so auch nicht 100 % klar: Ein TOTP-Code (diese sechsstelligen Nummern für zwei-Faktor-Authentifizierung) ist insbesondere, wie der Name eigentlich schon sagt, auch nur einmal benutzbar.\n\nHeißt also, wenn jemand den Code bei euch abschnorchelt während ihr euch einloggt, kann entweder die Angreifer*in sich einloggen, oder ihr – nicht beide. Der validierende Server darf den Code nur einmal akzeptieren (RFC 6238, 5.2).",
"sig": "4d47f21cdc1d456ca28cd20003116da7bc24a57f2f4a525fb592e932d642903a64c268d1ecbdaf0ee331caf41df98a84facc63e71778e2cd2087bafab7720037"
}