Tiffany Conroy - Remote device sign-in – Authenticating without a keyboard - Codemotion Milan 2017
- 39. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . X . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . X . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . X . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . X . . . .
. . . . . . X . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . X . . . . . . . . .
- 41. 2 letters = 26 * 26 = 676 codes
AA AB AC AD AE AF AG AH AI AJ . . .
BA BB BC BD BE BF BG BH BI BJ . . .
CA CB CC CD CE CF CG CH CI CJ . . .
DA DB DC DD DE DF DG DH DI DJ . . .
EA EB EC ED EE EF EG EH EI EJ . . .
FA FB FC FD FE FF FG FH FI FJ . . .
GA GB GC GD GE GF GG GH GI GJ . . .
HA HB HC HD HE HF HG HH HI HJ . . .
IA IB IC ID IE IF IG IH II IJ . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . ZZ
- 42. 6 numbers = 1 000 000 codes
4 letters = 26 * 26 * 26 * 26 = 456 976 codes
- 45. 6 numbers or letters =
32 * 32 * 32 * 32 * 32 * 32 =
1 073 741 824 codes
- 47. Things to consider when choosing codes:
Use UPPERCASE for
readability
(but verify with case insensitivity)
- 53. a) Show which user is authenticated,
and allow to switch
b) Display a selection of users,
and allow them to choose
- 60. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . X . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . X . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
❌
X . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . X . . . .
. . . . . . X . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . X . . . . . . . . .
- 64. X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X
- 80. Require the polling token when:
a) checking the status of the code
b) exchanging the code for an access token
- 86. Mitigating the risk of:
An attacker tricking
people into giving away
access to their account