Closed kamyweb closed 1 year ago
andry08
commented
2 years ago Non ho ben capito cosa intendi sinceramente, lo script é in grado di estrarre la chiave grezza si, e volendo si puó impostare inserendo manualmente i parametri, altrimenti si puó generare il qr code che ha già i parametri impostati, quindi se scansionato con un authenticator in grado di gestire quei parametri allora non ci sarà nessun problema. Se riesci a spiegarmi meglio gentilmente, grazie.
kamyweb
commented
2 years ago Specificherei meglio e in maniera decisamente più evidente il fine, invece del tecnicismo. Spiegherei per esempio che il software proposto da Aruba è tecnicamente lo stesso degli altri (Google Auth/Last Pass Auth/etc..) ma nasconde solo la chiave privata tramite un codice temporaneo, che questo software riesce a rendere visibile e quindi utilizzabile con il software che si preferisce. La cosa mi sembra scritta tra le righe, e non permette di scovare questo semplice e utilissimo software per sostituire l'app proprietaria con una invece che magari l'utente ha già sul proprio dispositivo.
Aggiungerei anche 2 righe per utilizzarlo via docker in modo da non dover installar nulla (a parte docker):
docker run --rm -it --entrypoint bash python:3.6.15
git clone https://github.com/andry08/ArubaOTP-seed-extractor.git
cd ArubaOTP-seed-extractor
python ./scripts/main.py extract <validation_code>Penso che in questi giorni riscriverò il readme in italiano, sia per una questione di evitare di scrivere cazzate in inglese, sia per rendere più accessibile questo tool all'utente medio (effettivamente ho concepito questo tool più per persone tecniche, tralasciando la user-friendliness, difatti il menu delle opzioni dello script non è stato fatto da me ma da un amico). Cercherò di essere più esplicativo, grazie del feedback. p.s. per quanto riguarda docker penso di lasciar stare, primo perchè non conosco abbastanza come si usa docker, e secondo perchè penso che chi voglia usare docker lo saprà fare comunque. (Inoltre nel tuo comando, manca l'installazione delle dependencies)
Credo sia importante spiegare meglio l'utilizzo di questo codice molto molto utile. Ho infatti sempre odiato ArubaOTP in quanto utilizzo normalmente LastPass Authenticator per tutti gli altri 2FA che supportano lo standard di Google Auth (30sec / 6 cifre / SHA1). Ho scoperto grazie ad un articolo che vi linkava che non bastava copiare il codice e impostare lastpass auth con 60sec/8 cifre/sha256, ma che è necessario utilizzare il vostro script per estrarre la vera chiave da quel numero.
Si suggerirei quindi di mettere nel readme qualche riferimento più esplicito sull'utilizzo del software e su come impostare i software di generazione compatibili - tra cui LastPass auth.
Se ritenete sia una cosa fattibile, posso forkare, fare le modifiche al readme e aprire pullrequest - ma eviterei invece se preferite rimanere "generici"