Facebook의 OTP는 왜 Google OTP를 놔두고 따로 만들어서 쓰나 하고 불편해 했는데 오늘 확인하니 Google OTP 유저를 위해 키를 입력할 수 있게 되어있었다. 언제 생겼는지는 모르겠지만 QR코드와 함께 키를 보여준다.
그런데 확인해 보니 Google OTP용 키를 새로 발급하는 게 아니라 Facebook에서 사용하던 키를 그냥 보여주는 것이었다. 서로 같은 OTP가 뜨니 같은 Seed 값을 사용한다고 할 수 있다. OTP에 사용되는 Seed 값은 사용자에게 보이면 안되는 값인데 이걸 그냥 보여주는 Facebook은 문제가 있다고 본다. 중간에 누가 이 값을 채간다면 OTP의 의미가 아예 없어지기 때문이다. Google OTP용 키를 따로 발급하거나 하는 방향으로 조치를 취해야 한다.
P.S 이 글을 보고 Google OTP를 사용할 수 있다는 사실을 알게되어 써 본 것인데 글을 다시 보니 민감한 정보인 키 값을 다 보여주고 심지어 계정 이름까지 다 보인다. 이제 Password만 알면 끝났다고 볼 수 있다.