Che altro devo sapere circa l'attuazione di un sistema di one-time-password?
https://stackoverflow.com/questions/3198374
-
02-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sono stato incaricato con la creazione di un'One Time Password (OTP) sistema che finirà per essere utilizzato per creare generatori di OTP su dispositivi mobili.
Stiamo cercando di utilizzare HOTP (RFC 4226) usando un contatore, ma forse con alcune varianti. Noi non siamo tenuti a essere compatibile giuramento.
Questa è la mia prima esperienza nella sicurezza / regno di crittografia, quindi sto cercando di evitare (e conoscere) le insidie ??di sicurezza che rookies sicurezza intrappolare, così come ottenere una migliore comprensione di ciò che avrò bisogno di fare e sapere per completare questa operazione.
In aggiunta a questo consiglio generale, ho un paio di domande specifiche su realizzazione di questo progetto:
Is HOTP ancora considerato sicuro, anche se è solo utilizzando SHA-1? Uno dei miei colleghi ha suggerito dovremmo utilizzare HMAC-SHA-512. Sembra abbastanza facile da interruttore che alla base dell'algoritmo stiamo usando. Ci sono effetti collaterali qui che dovrei sapere? Come ad esempio un aumento del tempo di elaborazione?
devo preoccupazioni per la sincronizzazione del contatore. Cosa dovrei essere usando come sano look-ahead per i possibili valori del contatore? Quali sono i migliori modi per tornare in sincronia, se l'utente ha cliccato avanti passato il nostro limite di look-ahead? Sarebbe più facile per visualizzare e inviare il contatore con il corrispondente OTP, o fa che indebolire significativamente la sicurezza?
Anche io non hanno una buona comprensione delle migliori pratiche per la memorizzazione in modo sicuro le informazioni correlate, come ad esempio i valori segreti e contatore condivise.
Quando si risponde, si prega di tenere a mente Sono nuovo di questo dominio, e sto ancora cercando di recuperare il gergo e acronimi. Grazie in anticipo.
Soluzione
HMAC-SHA1 è un po 'più forte di SHA1, che credo abbia stato rotto . la mia memoria è un po 'di nebbia, ma googling intorno trovato un po' più informazioni HMAC-SHA-1 vs SHA-1 qui .
