Autentizace: Jednorázová hesla – TOTP

V tomto příspěvku se podíváme, jak funguje generování jednorázového hesla pomocí algoritmu TOTP.

Time-based One-time Password zkr, TOTP, který je popsán v RFC6238 je rozšířením nám již známého HMAC-based One Time Password zkr. HOTP, kde je místo náhodného čísla C, které se s každým vygenerovaným OTP postupně zvyšuje, použito číslo, které je odvozeno z aktuálního času. Předpokladem tedy je, aby na klientovi i serveru byl stejný čas.

Štítky: ,
celý článek

Autentizace: Jednorázová hesla – HOTP

V tomto příspěvku se podíváme, na jakém principu funguje generování jednorázových hesel pomocí algoritmu HOTP.

HMAC-Based One-Time Password, zkr. HOTP, který je popsán v RFC4226, využívá pro generování jednorázového hesla (One-Time Password, zkr. OTP) algoritmus, který může být vzhledem ke své jednoduchosti a nízkým požadavkům na výpočetní výkon provozován v podstatě na jakémkoliv HW. Není tedy divu, že je tento algoritmus používán např. i v SW tokenech, které jsou k dispozici v podstatě pro všechny nejpoužívanější mobilní OS.

Štítky: ,
celý článek

Autorizace transakce v internetovém bankovnictví jednorázovým heslem

V tomto příspěvku se zamyslíme nad tím, jak bezpečně potvrdit transakci v internetovém bankovnictví.

V minulém příspěvku jsme se zabývali otázkou, zda je jednorázové heslo (One Time Password, zkr. OTP) používané v rámci autentizace bezpečné. OTP však nemusí být vždy použito jen pro autentizaci. Např. v internetovém bankovnictví se OTP dost často používá pro autorizaci transakce, kdy uživatel musí každou transakci potvrdit jednorázovým heslem, nazývaným TAN (Transaction Authentication Number) případně mTAN (mobile Transaction Authentication Number) pokud je toto OTP zasíláno na mobilní zařízení klienta ve formě SMS.

Štítky: , ,
celý článek

Autentizace: Jsou jednorázová hesla bezpečná?

Jednorázové heslo (One Time Password, zkr. OTP) je takové heslo, které může být, jak již název napovídá, použito jen jednou a po použití se stává neplatným.

To znamená, že pokud dojde k zachycení OTP útočníkem, nemůže jím být k opětovnému přihlášení použito. Opravdu? Ve většině případů tomu tak je, pokud ovšem útočník zachycené OTP nepoužije dříve než oběť.

Štítky: ,
celý článek

Autentizace: Jednorázová hesla – S/KEY

V tomto příspěvku si povíme, jak se poměrně bezpečně autentizovat jednorázovým heslem vygenerovaným pomocí S/KEY.

Systém S/KEY funguje tak, že na tajný klíč K, který vznikne spojením uživatelem zvoleného hesla a výzvy serveru aplikuje N-krát hashovací funkci a vygeneruje přesně N jednorázových hesel (One Time Password, zkr. OTP). Přičemž poslední OTP, které uživatel nikdy zadávat nebude, se spolu s výzvou uloží do DB. Způsob, jakým jsou generována jednotlivá OTP, můžeme jednoduše zapsat takto: H(K), H(H(K))…H^N(K).

Štítky: ,
celý článek

Autentizace: Jednorázová hesla – PINsafe

Existuje mnoho způsobů, jak generovat jednorázová hesla (One Time Password, zkr. OTP), dnes se podíváme na řešení nazvané PINsafe.

Princip na jakém toto řešení funguje, je poměrně jednoduchý. Vychází se z předpokladu, že každý uživatel zná svůj PIN, který představuje sdílené tajemství (shared secret) mezi uživatelem a systémem. Vlastní autentizace pak probíhá tak, že systém vygeneruje náhodné 10místné číslo, uživatel si vybaví svůj PIN, a do systému pak zadá pouze ty číslice z onoho 10místného čísla, které se nacházejí na pozicích odpovídajících jednotlivým číslicím PINu.

Štítky: ,
celý článek