gpt4 book ai didi

hash - 硬件 token 设备如何工作?

转载 作者:行者123 更新时间:2023-12-02 02:28:06 27 4
gpt4 key购买 nike

最近,我的银行向我发送了这个微型设备,它可以生成执行在线交易时必须使用的唯一代码,该设备所做的只是在我按下特定的白色按钮时生成这个唯一的代码,但它看起来并不像它连接到远程服务器或任何此类服务器。

我做了一些研究,最终进入了密码学领域,研究了名为 Hash function 的东西。但我还是不明白。

我的问题

  • 我的银行服务器如何知道该设备生成的代码是否正确?
  • 既然它每 30 秒生成 5 个随机数字,为什么服务器不验证我也决定使用的随机数字?

最佳答案

这与哈希函数关系不大。加密哈希函数可能是实现的一部分,但这不是必需的。

Actually, it generates the digits on a time-based interval, if I press the button for it to generate the digits, it generates the digits and after about 25 seconds, and I press it again, the digits change not when I press it again immediately after I'd just pressed it.

这是你的提示。它是一种基于时间的伪随机或加密算法。根据时间,有一个代码。加密狗和服务器知道(或者更确切地说,可以计算)每个窗口的代码。这是shared secret - 加密狗未连接到远程服务器。服务器可能会允许使用一两个最新的 key ,以防止您在传输过程中输入刚刚过期的 key 。

(尽管我最近使用 Amazon Web Service multi-factor authentication 的经历肯定会导致在向我显示代码后的 5 秒内登录失败。换句话说,一些供应商对其计时窗口非常严格。一如既往,这是一种交易-安全性和可用性之间存在分歧。)

提到的缩写CodesInChaosTime-based One-Time Password (TOTP)HMAC-based One-Time Password (HOTP) ,双因素认证中常用的两种算法。

维基百科对 RSA SecurID 有这样的说法, two-factor-authentication 的特定品牌加密狗。

The RSA SecurID authentication mechanism consists of a "token" — either hardware (e.g. a USB dongle) or software (a soft token) — which is assigned to a computer user and which generates an authentication code at fixed intervals (usually 60 seconds) using a built-in clock and the card's factory-encoded random key (known as the "seed"). The seed is different for each token, and is loaded into the corresponding RSA SecurID server (RSA Authentication Manager, formerly ACE/Server) as the tokens are purchased.

我选择这篇文章是因为它有合理的物理描述;更高级别的文章侧重于理论而不是物理实现。

本文还确认您需要对 token 保密,否则其他人可以像您一样轻松地知道代码来冒充您的登录。

The token hardware is designed to be tamper-resistant to deter reverse engineering. When software implementations of the same algorithm ("software tokens") appeared on the market, public code has been developed by the security community allowing a user to emulate RSA SecurID in software, but only if they have access to a current RSA SecurID code, and the original 64-bit RSA SecurID seed file introduced to the server.

但是,由于验证服务器必须预先知道 token ,因此双因素 secret 也容易受到源攻击。 SecurID 是一次备受瞩目的盗窃案的受害者,该盗窃案针对的是他们自己的服务器,并最终导致其客户的服务器受到二次入侵。

最后,在 security.stackexchange 上提供了更多信息。多因素标签下的姊妹网站,以及此网站上的标签。

关于hash - 硬件 token 设备如何工作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25248989/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com