1

HOTPを使用して、2要素認証用のOTPを生成しています。私はOTPのイベントベースの生成を使用しており、クライアントとサーバーのカウンターに不一致がある場合に備えて、10回の反復のウィンドウを提供しています。

ただし、OTPを過去から再生成するとどうなるかという質問があります。

OTPは6桁の数字であるため、ユーザーが使用できる組み合わせは999999のみです。したがって、OTPは存続期間中に一意にすることはできず、ある時点で再生成されます。特定のOTPが繰り返されるパターンはありますか?

また、OTPがウィンドウサイズ10以内で再生成された場合、リプレイ攻撃に対して脆弱になるため、さらに悪化する可能性があります。

親切にこれについて私を案内してください。

4

1 に答える 1

1

いいえ、ランダム性を使用して秘密鍵がわからない場合は、予測可能なパターンが繰り返されることはありません(そうでない場合は、アルゴリズムの重要な発見と欠陥になります)。

10のウィンドウサイズを許容できますが、それ以降はそれだけを許容します。最後に確認されたカウンターよりも小さいトークンを受け入れないでください。受け入れない場合、リプレイ攻撃が開いたままになります。

もちろん、HOTP、TOTP、またはその他のものはすべての形態の攻撃の影響を受けないわけではないため、攻撃のベクトルと防御のコストについて現実的な、セキュリティへの多層的なアプローチが必要です。

より詳細な議論はおそらくここで行うのが最善です。この回答では、実装の問題に固執しようとしています。

于 2012-08-22T16:50:11.740 に答える