OTP S/CHIAVE - Come sono i Semi generati, sono casuali ogni volta?
https://stackoverflow.com/questions/2289993
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto guardando sviluppo di un One-time Password di sistema di autenticazione (j2me per telefono, php per il lato server)
Sto cercando di ottenere la mia testa intorno al processo, qui è quello che ho capito
- utente > ingressi casuale segreto (S) in hash di un numero n di volte
- utente > invia S^n per server
- server > salva i n e S^n
- utente > genera (S^n)-1 e la invia al server
- server > richiede l'input dell'utente e si applica la funzione di hashing 1 volta e controlli contro memorizzati in precedenza hash
Ora, dalla lettura RFC2289 (S/Chiave) C'è un seme che viene rilasciato al cliente e concatenato con la segreta dell'utente quando l'input di un identificatore univoco (al punto 4) Come è questo seme creato, è casuale, viene memorizzato.
Soluzione
Il seme è concordato il server e il client durante l'inizializzazione della sequenza della password.È pertanto fatto solo una volta prima di Otp sono utilizzati per l'autenticazione.Il seme deve essere casuale, ma il cliente dovrebbe essere in grado di scegliere.In altre parole, il server può suggerire un seme casuale, ma il cliente dovrebbe avere un'opzione per creare un suo (casuale) di semi.Il seme deve essere memorizzato dal server.Il server in realtà non lo usa durante l'autenticazione.Memorizza solo in modo che si possono presentare all'utente durante il processo di autenticazione, insieme con il numero di sequenza.Sia di semi che di numero di sequenza non sono segrete.
