'어깨 너머로 스캔'방지

Question

앱 (Android & iOS) 프로젝트의 경우 로그인하기 전에 등록해야합니다. 앱의 카메라 기능을 사용하여 연결된 웹 페이지에서 one-time password이 포함 된 QR code을 스캔하면됩니다.

The flow on web is: see info about app and app store link -> show QR -> set pin code -> confirm. 

나는 잠시 동안 (예를 들어, 사무실에서 커피가는) 등록의 흐름을 열고 그의 책상을 떠나는 사람을 피하기 위해 메커니즘을 만들려고합니다. 그렇지 않으면 일부 공격자가 QR 단계를 완료 할 수 있으며 원래 사용자가 책상으로 돌아 오면 핀을 설정하고 확인합니다. 아마도 QR 단계가 있다는 것을 깨닫지 못했을 것입니다. '공격자'가 PIN을 모를지라도 잘못된 장치가 등록됩니다. 따라서 원래 사용자는 자신의 앱을 사용할 수 없습니다.

현재 제한 시간은 1 분입니다. 그러나 QR은 으로 새 OTP로 다시로드 될 수 있으므로 많은 영향을 미치지 않습니다.

Answer 1

QR 코드는 임의의 크기가 될 수 있으므로 실제로는 그렇게 생각하지 않습니다. QR 코드가 실제로 얼마나 가깝거나 멀리 있는지 알 수있는 방법이 없다고 생각합니다. 어깨'. 어쨌든 사용자가 걸어 나간 경우 공격자 또는 실제 사용자를 구별하는 실제 방법이 없습니다. 왜냐하면 공격자가 기술적으로 원하는만큼 가까이 갈 수 있기 때문입니다.

공격자가 코드를 스캔하고 사용자가 자리를 비 웠을 때 핀을 설정하면 어떻게 될까요? 나는 이것이 매우 안전한 등록 방법이라는 것을 예견하지는 않지만 편리 할 것이다. 은행 애플 리케이션이 내가 이것을 권하지 않는다면 침입자가 실제로 애플 리케이션으로 무엇을 할 수 있는지에 달려 있지만, 마치 나의 작은 조랑말 게임처럼 보상이 내가 생각하는 위험보다 중요하다.