Aqui tienes para usar online y con alfabeto español:

https://planetcalc.com/1434/

PD: Solo por las risas, este es el comando a ejecutar en bash para solucionarlo.
echo "01001100 01101101 00110001 00110110 01100001 01101110 01010010 00110011 01100100 01010011 01000010 01101010 00100 00110010 01110011 01100111 01100100 00110010 00110001 00110110 01100101 01101110 01100100 01110010 01001001 01001000 01110000 01110000 01100011 01000111 01010010 00110001 01100010 01010011 01000010 00110011 01100010 01001000 01000010 00110001 01100010 01010111 01010010 00110001 01100010 01011000 01000010 01001011 00111101 00111101 " | tr " " "\n" | grep "0\|1" | while read A; do printf "\x`printf %02X $((2#$A))`"; done | base64 -d | tr [:upper:] [:lower:] |tr ".abcdefghijklmn2opqrstuvwxyz" ".stuvwxyzabcdefghijklmn2opqr" | rev

Cualquier distro basada en ubuntu, segun el gestor de ventanas elige una y después le instalas las aplicaciones que uses de kali (casi todas las puedes meter de los repositorios oficiales) y ya está.
¿Que es lo que no te agrada del todo de xubuntu o kubuntu?

Yo lo implementé ya en php y en html/javascript para después con cordoba portarlo a android. La version apk, lee los QRs y obtiene el TOTP de forma standar con md5 sha1 sha3 etc....
En el caso de google authenticartor, en el qr no viene el method pero es sha1. Yo en mi cliente tengo puesto el md5 por defecto.
La parte del servidor pues eso, genera el TOTP para depsués utilizarlo.

Creo que igual te puede ayudar, no lo se. Si tienes problemas echa un vistazo...

https://github.com/4nimanegra/OTPanimanegra

Está aun a medias (no es producto, es muy feo y tal), pero funcional. Testeado por ejemplo con protonmail. Algun dia, lo terminare porque no le queda nada, o no. ^^

Ahora dudo si la ultima version estaba en el github... :\ Le hecho un vistazo y si no la subo a mas tardar para mañana.

Joder, las noticias vuelan. Sólo ha tardado 2 años en publicarla.

¿Validas en cliente o en servidor? Ten en cuenta que toda variable $_GET $_POST y algunas de las variables de $_SERVER deben de limpiarse en el PHP para poder usarlas de forma segura antes de utilizarlas. (En general cualquier cosa que venga del usuario)

En tu caso,por ejemplo si te pueden meter como valor de variable:


Y si ponen un servidor a escuchar en la IP del atacante, por ejemplo con un netcat:


Desde el equipo a la escucha podrían obtener la cookie de sesion, e impersonar al que ha pinchado al URL. (O ha visitado la página si es persistente.)

Despues el usuario no tiene mas que visitar la pagina, poner la consola de javascript y poner en ella:



No se si se entiende. :\

Bueno, para ser coherente con la verdad la fuerza bruta al final siempre encuentra la contraseña correcta. Solo tienes que disponer mucho del recurso más relevante. El tiempo suficiente.

Pero el tema es que la longitud de la clave es la misma que los datos almacenados. Lo que almacenas en otros sitios no vale para nada, ose me refiero la longitud de los datos que almacenas de forma remota y de forma local son de la misma longitud. Entonces no veo muy bien la utilidad de tener esos datos que solo tienen sentido con tu password local almacenados de forma remota.
Osea, si la idéa es que no puedan coger los datos si no estás tu delante, bajo mi punto de vista, me parece casi mejor idea llevarte un USB/CD del mismo tamaño de los datos almacenados lleno de números aleatorios y descifras con eso cada vez que desees utilizar la base de datos. El USB por lo menos verás cuando te lo roban. Y no pueden cogerte las credenciales 365/24. La posibilidad de copia, la tendras igual, pero al menos no dependerás de como lo guarda un tercero y dependerá sólo de ti.
No obstante a nivel práctico, yo personalmente tiraria de cualquier cifrado simétrico con clave suficientemente larga.
Pero es sólo mi punto de vista. puedes no estar de acuerdo.

Leyendo parece que se esta hablando de un Verman (o algo asi porque deriva en este tema la barca hacia lados curiosos ). No se si se ha dicho ya, pero lo de usar claves igual de largas que el mensaje esta muy bien a nivel teórico pero no funciona a nivel práctico.
Verman ya mola y cualquier equivalencia usando ordenación o cualquier otra cosa similar esta bien pero ninguna de las opciones (verman original o derivados) mola tanto a nivel práctico. Como le tienes que pasar al receptor la secuencia de caracteres por una via segura, y es del mismo tamaño, Joder simplemente pásale el mensaje por esa vía segura.
Para que el cifrado sea util, el intringulis del asunto siempre está en lo mismo, conseguir pasar la pass simétrica, que debería ser pequeña, por un medio seguro dentro de un canal inseguro y que el mensaje que sale tenga suficiente entropia. Y ahi el poder de cómputo tiene al voz cantante.

El binario no es un lenguaje es una base numérica. Como base 10 llamada decimal, base 16 hexadecimal y base 2 o binaria.

¿Que demonios es eso de lenguaje binario?

Entiendo a que te refieres, pero bueno, bash tiene variables, while, ifs, lectura de ficheros... decir que no es un lenguaje de programación.... creo que es bastante completo como lenguaje a pesar de sus obvias limitaciones. Al final, a nivel efectivo se tira de utilizar programas auxiliares para paliar sus posibles defectos, pero es bastante efectivo para pruebas de concepto rápidas. Yo no lo ningunearía.


A rasgos generales....
En el directorio proc tienes un monton de directorios con números, esos números son los números de procesos.
Dentro de cada directorio se encuentra el archivo status donde al hacer cat puedes ver información relativa al proceso.
El programa en bash que citas se deberá dar un paseo por todos los directorios que séan números obteniendo la informacion que contiene el archivo status dentro de ellos y formateandola para que te devuelva lo que desees.
Igual puedes empezar por mirar el contenido del archivo status de un proceso dado, compararlo con la información ofrecida por el comando TOP para identificar que información deseas mostrar y muestra sólo esos datos pormateándolos por ejemplo con printf.
Después monta un bucle para que haga lo mismo con cada uno de los directorios de procesos contenidos en /proc.
Creo que a partir de aqui, ya puedes empezar a buscar y trabajar.