Одноразовые коды

разговор на любые темы

Модераторы: ataka, konkar, deicide

Правила форума
Ответить
Аватара пользователя
94Watt
новый пользователь
Сообщения: 15
Зарегистрирован: 26 мар 2022, 04:02
Откуда: Mumbai
поблагодарил: 58 раз
были благодарны: 15 раз

Одноразовые коды

Сообщение 94Watt »

В теме предлагаю обсудить форматы одноразовых кодов, их безопасность, сферы применения и алгоритмы генерации.
Сейчас массово применяются 6-ти значные числовые коды, но может кому-то известны другие форматы?
Насколько безопасно использование этих кодов?

Описание технологии на Википедии: [External Link Removed for Guests]

TOTP генераторы онлайн:
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]

ТОТР генератор девайс :lol: :
[External Link Removed for Guests]

TOTP генератор для командной строки:
[External Link Removed for Guests]

TOTP генератор в екзешнике:
Генерирует из текста и текущего времени шестизначное число по алгоритму SHA1.
Размер файла: 512 Kb (524 800 байт)
SHA1 D40F8772FC5988F03D82A2AC698302C2349153D6
MD5 90BA3D03FBFC6E1023E0BA868072B471
[External Link Removed for Guests]
пассайт
Предоставляется "как есть", собирал на коленке. Использовать на свой страх и риск.
Время берется из операционной системы (в сеть не лезет). Часовой пояс для генерации UTC+0.

Написать генерацию в одну сторону труда не составляет. В сети выложено множество готовых решений и библиотек.
Исходными данными имеем: текущее время, текст-ключ и алгоритм SHA1. Получаем: 6-ти значное число.
А можно ли зная 6-ти значное число, время и алгоритм получить текст-ключ? Статьи про уязвимость SHA1 уже выходили.
Вернуться к началу
Аватара пользователя
sandro123
Администратор
Сообщения: 423
Зарегистрирован: 28 ноя 2021, 14:48
Откуда: паттайя
поблагодарил: 1306 раз
были благодарны: 411 раз

Re: Одноразовые коды

Сообщение sandro123 »

[Local Link Removed for Guests] писал(а): [Local Link Removed for Guests]02 дек 2023, 08:56 В теме предлагаю обсудить форматы одноразовых кодов, их безопасность, сферы применения и алгоритмы генерации.
Сейчас массово применяются 6-ти значные числовые коды, но может кому-то известны другие форматы?
Насколько безопасно использование этих кодов?

Описание технологии на Википедии: [External Link Removed for Guests]

TOTP генераторы онлайн:
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]

ТОТР генератор девайс :lol: :
[External Link Removed for Guests]

TOTP генератор для командной строки:
[External Link Removed for Guests]

TOTP генератор в екзешнике:
Генерирует из текста и текущего времени шестизначное число по алгоритму SHA1.
Размер файла: 512 Kb (524 800 байт)
SHA1 D40F8772FC5988F03D82A2AC698302C2349153D6
MD5 90BA3D03FBFC6E1023E0BA868072B471
[External Link Removed for Guests]
пассайт
Предоставляется "как есть", собирал на коленке. Использовать на свой страх и риск.
Время берется из операционной системы (в сеть не лезет). Часовой пояс для генерации UTC+0.

Написать генерацию в одну сторону труда не составляет. В сети выложено множество готовых решений и библиотек.
Исходными данными имеем: текущее время, текст-ключ и алгоритм SHA1. Получаем: 6-ти значное число.
А можно ли зная 6-ти значное число, время и алгоритм получить текст-ключ? Статьи про уязвимость SHA1 уже выходили.
век живи, век учись как говорится, вопрос конечно идиотский может быть покажется, но как есть, wiki прочитал, не понял.
eToken PASS представляет собой электронный ключ, выполненный в виде брелока, оснащённого электронным табло и кнопкой генерации одноразовых паролей. Назначение eToken PASS - генерация одноразовых паролей для обеспечения доступа пользователей к корпоративным информационным ресурсам, размещённым в автоматизированных системах, использующих технологию OTP (One Time Password).

Ключ не требует физического подключения к компьютеру пользователя, следовательно, нет необходимости в наличии свободного USB-разъёма, установке драйверов или какого-то дополнительного программного обеспечения на стороне клиентской машины. В связи с этим снимается ограничение на использование электронного ключа eToken PASS в рамках какой-то одной операционной системы. Иначе говоря, использование eToken PASS возможно в любой операционной системе, развёрнутой на стационарном компьютере, мобильном устройстве или терминале.

Одноразовые пароли имеют очевидное преимущество - жизненный цикл такого пароля ограничен рамками одной сессии, а значит, такой пароль действителен только в течение одного сеанса связи. Благодаря этому, пользователь может не беспокоиться о том, что пароль может быть подсмотрен или перехвачен, так как при регистрации пользователя в следующем сеансе будет сгенерирован новый одноразовый пароль.
то есть это получается замена ключу таблетке??
:!: :arrow: [Local Link Removed for Guests]
:!: :arrow: :arrow: [External Link Removed for Guests]
:arrow: :arrow: :arrow: [External Link Removed for Guests]
Вернуться к началу
Аватара пользователя
94Watt
новый пользователь
Сообщения: 15
Зарегистрирован: 26 мар 2022, 04:02
Откуда: Mumbai
поблагодарил: 58 раз
были благодарны: 15 раз

Re: Одноразовые коды

Сообщение 94Watt »

[Local Link Removed for Guests] писал(а): [Local Link Removed for Guests]02 дек 2023, 13:53 век живи, век учись как говорится, вопрос конечно идиотский может быть покажется, но как есть, wiki прочитал, не понял.
то есть это получается замена ключу таблетке??
Просто пинкод, подходящий текущему времени и больше ничего. Забавно, но можно распечатать пинов на текущие сутки вперед, а ключ и генератор убрать в сейф. Можно просто носить с собой бумажку и часы. Посмотрел время - по табличке сказал пин. Ни смартфонов, ни устройств, ни зарядок. Это всего лишь 120 пинкодов в час :idea:

Технология кратко, своими словами.
Есть пароль типа: AAAABBBB. Как он применялся раньше. Вася, Петя и Сервер знали этот пароль и отправляли через интернет друг другу для подтверждения себя и своих сообщений. Вася вводил пароль в виде логина на Сервер или прилеплял к сообщениям для Пети, а Сервер или Петя проверяли что введенное равно AAAABBBB. Больше пароль никто не знал.
По мере развития утилит по перехвату траффика, взлому серверов, брутфорсов, кейлоггеров и т.п. Васин пароль начал регулярно утекать и публиковаться на хакерских форумах, а оттуда перекочевывать на публичные типа phreaker.pro. :lol: То что есть в базах это уже не пароль и использовать его нельзя.

Если поменять пароль на новый и использовать его прежним способом, то он опять утечет. Чтобы этого избежать нужно: не вводить пароль на компьютере, не отправлять его Серверу и не хранить в сообщениях. Но как это сделать?
Было предложено на основании пароля AAAABBBB генерировать короткие коды при помощи функции SHA1 и текущего времени. Вместо пароля Компьютеру и Серверу вводятся эти короткие коды, которые меняются каждые 30 секунд. Сервер лишь следит чтобы код не вводился многократно в течение 30 секунд (чтобы не брутили).
Вася генерирует пинкод в 12.00 и Петя генерирует пинкод в 12.00. Если пинкоды совпали, значит пароль у них одинаковый.
Вася генерирует пинкод из пароля в 12.00 и Сервер генерирует пинкод из Васиного пароля в 12.00. Коды совпали, значит это Вася.
Добавлено: В последнем случае пароль все таки придется передать серверу, но он не будет передаваться по сети.
Вернуться к началу
Ответить

Вернуться в «ФЛЕЙМ»