AndOTP: Aplicación de Doble Factor de Código Abierto para Android

por

Implementa contraseñas de un solo uso basadas en el tiempo (TOTP) y contraseñas de un solo uso basadas en HMAC (HOTP). Simplemente escanee el código QR e inicie sesión con el código generado de 6 dígitos.

andOTP es una aplicación de autenticación de dos factores para Android 4.4+.

Este proyecto comenzó como una bifurcación de la gran aplicación OTP Authenticator escrita por Bruno Bierbaumer , que lamentablemente ha estado inactiva desde 2015. Hasta ahora, casi todos los aspectos de la aplicación se han cambiado / reescrito, por lo que el estado de la bifurcación del repositorio de Github se ha vuelto separado a petición del usuario . ¡Pero todo el crédito por la versión original y por comenzar este proyecto sigue en manos de Bruno!

Caracteristicas de AndOTP

  • Gratis y de código abierto
  • Requiere permisos mínimos
    • Acceso a la cámara para escanear códigos QR
    • Acceso al almacenamiento para la importación y exportación de la base de datos.
  • Almacenamiento encriptado con dos backends:
    • Android KeyStore
    • Contraseña / PIN
  • Múltiples opciones de respaldo:
    • Texto sin formato
    • Contraseña protegida
    • Cifrado OpenPGP
  • Diseño de material minimalista y elegante con tres temas diferentes:
    • Ligero
    • Oscuro
    • Negro (para pantallas OLED)
  • Gran usabilidad
  • Compatible con Google Authenticator
  • Algoritmos soportados:
    • TOTP (Contraseñas de un solo uso basadas en el tiempo) como se especifica en RFC 6238
    • HOTP (contraseñas de un solo uso basadas en HMAC) como se especifica en RFC 4226

Copias de Seguridad

Para mantener la información de su cuenta lo más segura posible yOTP solo la almacena en archivos de datos cifrados. Una parte de la clave de cifrado utilizada para eso se almacena en el sistema Android KeyStore. La ventaja de este enfoque es que la clave se mantiene separada de los datos de las aplicaciones y, como beneficio adicional, puede respaldarse mediante criptografía de hardware (si su dispositivo lo admite).

Sin embargo, debido a esa separación, las copias de seguridad con aplicaciones de terceros como Titanium Backup no se pueden usar con andOTP. Dichas aplicaciones solo respaldan los archivos de datos cifrados y no la clave de cifrado, lo que los hace inútiles.

¡Utilice solo las funciones de respaldo internas proporcionadas por andOTP para respaldar sus cuentas! Todo lo demás dará como resultado la pérdida de datos.

Abrir las copias de seguridad en su PC

  • OpenPGP : OpenPGP se puede usar para descifrar fácilmente las copias de seguridad cifradas con OpenPGP en su PC.
  • andOTP-decrypt : un script de Python escrito por @asmw para descifrar copias de seguridad protegidas con contraseña en su PC (necesita más pruebas).

Copias de Seguridad Automáticas

  • BroadcastReceivers: AndOTP admite una serie de transmisiones para realizar copias de seguridad automáticas, por ejemplo. a través de Tasker. Estos se guardarán en el directorio de copia de seguridad definido.

    Estos solo funcionan cuando KeyStore se utiliza como mecanismo de cifrado

    • org.shadowice.flocke.andotp.broadcast.PLAIN_TEXT_BACKUP : realice una copia de seguridad de texto sin formato. ADVERTENCIA : ¡Esto guardará sus tokens 2FA en el disco sin cifrar!
    • org.shadowice.flocke.andotp.broadcast.ENCRYPTED_BACKUP : realice una copia de seguridad cifrada de su base de datos 2FA utilizando la contraseña seleccionada en la configuración.

Migración

Conoce las diferentes formas de migrar a andOTP desde otras aplicaciones 2FA. Para migrar sus cuentas de otras aplicaciones 2FA, tiene diferentes opciones, aquí enumeraré las que conozco.

android-otp-extractor

  • Lenguaje: Python
  • Creado por : puddly
  • Requiere: un teléfono rooteado y acceso a una PC con ADB y Python 3.6+
  • Genera
    • Códigos QR para ser escaneados por andOTP
    • El archivo JSON se importará por andOTP como copia de seguridad (con la --andotp-backup opción)
  • Apoya
    • Autenticador de Google
    • Autenticador de Microsoft
    • Authy
    • Duo Mobile
    • FreeOTP

freeotp_migrate.py

  • Lenguaje: Python
  • Creado por: skorokithakis (ver # 66 )
  • Requiere: acceso a una PC con ADB y Python 3, teléfono rooteado
  • Genera: archivos JSON para importar como copia de seguridad en andOTP

freeotp-export

  • Lenguaje: JavaScript
  • Creado por: viljoviitanen
  • Requiere: un teléfono rooteado o acceso a una PC con ADB
  • Genera: códigos QR para ser escaneados por andOTP

freeotp a andotp

  • Lenguaje: Python
  • Creado por: rich-murphey
  • Requiere: cargar copia de seguridad de freeotp a la computadora, convertir y descargar al teléfono
  • Genera: un archivo de copia de seguridad andotp json.

Fuente del Repositorio de Github: AndoTP

Relacionado

Route Detect: Encuentra errores de seguridad de autenticación (Authn) y autorización (Authz)

Los errores de autenticación y autenticación de rutas HTTP de aplicaciones web son algunos de los problemas de seguridad más comunes que se encuentran en la actualidad. Estos recursos estándar de la industria resaltan la gravedad del problema: 2021 [OWASP Top 10](https://www.kitploit.com/search/label/OWASP Top 10) #1 - Control de acceso roto 2021 OWASP Top 10 #7: Fallos de identificación y autenticación (anteriormente Autenticación rota) 2023 OWASP API ¡SEGUIR LEYENDO!

Cloudflare pirateado usando Tokens de Autenticación robados en el Ataque de Okta

Cloudflare reveló recientemente que su servidor interno Atlassian fue comprometido por un presunto 'atacante de estado-nación'. Este intruso logró acceder a la wiki Confluence, la base de datos de errores Jira y el sistema de gestión de código fuente Bitbucket de la compañía. En este artículo, exploraremos los detalles del ataque, las medidas de respuesta de Cloudflare y las implicaciones para la seguridad en línea. El ¡SEGUIR LEYENDO!

AnyDesk Sufre Ciberataque: Violación de Servidores y Robo de Contraseñas

AnyDesk es conocido por su popularidad entre empresas como 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS y las Naciones Unidas. El programa facilita el acceso remoto a dispositivos a través de redes e Internet. Ataque Revelado En una declaración compartida por AnyDesk se revela que detectaron indicios de un incidente en sus servidores y tras una auditoría de seguridad, confirmaron la compromisión de sus sistemas. La empresa ¡SEGUIR LEYENDO!

Deja un comentario