TOTPの混乱状態:テストスイート誕生
2025-03-02
現在のTOTP仕様は矛盾だらけです。Google、Apple、Yubicoといった主要な実装は、その実装方法で微妙に異なっており、様々なMFAアプリで独自の変種が生じています。公式RFCは非常に曖昧です。著者は、お気に入りのアプリがTOTP規格を正しく実装しているかどうかを確認するためのテストスイートを作成し、桁数、ハッシュアルゴリズム、時間ステップ、シークレットの長さ、ラベル付けにおける曖昧さを指摘しています。将来の問題を防ぐために、仕様の改善を求めています。
開発