問題タブ [one-time-password]

安全なメッセージ交換のための独自のプロトコルを開発しています。各メッセージには、HMAC、時刻、ソルト、およびメッセージ自体のフィールドが含まれます。HMAC は、既知の秘密鍵を使用して他のすべてのフィールドに対して計算されます。

プロトコルは応答攻撃から保護する必要があります。長い時間間隔の「時間」レコードは、リプレイ攻撃から保護します (両側でクロックを同期させる必要があります)。しかし、短い時間間隔でのリプレイ攻撃 (クロックはあまり正確ではありません) に対する保護のために、新しいメッセージが送信されるたびに増加するカウンターで "salt" フィールドを置き換えることを計画しています。受信側は、カウンター値が前のメッセージ カウンター以下のメッセージを破棄します。

私が間違っていることは何ですか？

カウンターの初期値は異なる可能性があります (パーティ ID を初期値として使用できます) が、攻撃者にはわかります (パーティ ID は暗号化されていない形式で送信されます)。( https://security.stackexchange.com/questions/8246/what-is-a-good-enough-salt-for-a-saltedhash )

しかし、攻撃者はカウンター + 1、カウンター + 2、カウンター + 3 のレインボー テーブルを事前計算できます...本当にランダムなソルトを使用しない場合は?

そのため、私たちは職場で興味深い問題を抱えており、他の会社でもこの問題が発生していることを知っています. 基本的には、VPN のみで動作するユーザー (請負業者のように考えてください) にラップトップを出荷します。彼らはドメイン ログオンとログイン前の VPN 接続 (すべての Windows クライアント) を使用します。これはすべて正常に機能しますが、ユーザーが VPN に接続できず、キャッシュされたアカウントでログインできない場合があるため、解決策はローカル アカウントでログインさせることです。問題は、これらのパスワードは何らかの方法でローテーションする必要があり、ローカルの管理者パスワードを与えるつもりはないということです。だから私は製品、またはコーディングを始めるのに適した場所を探しています.

アイデア: ログイン前に使用できるボタン。このボタンをクリックすると、管理者 (または事前構成済みのユーザーを使用) であるユーザーが生成され、番号が提供されます。次に、この番号をヘルプデスクに中継します。ヘルプデスクは、ウェブアプリまたはコンソール アプリに入力します。生成されたばかりのボタンのパスワードが吐き出され、ユーザーに中継されて、アカウントでログインできるようになり、ヘルプデスクがトラブルシューティングを行います。それで、これを行う製品はありますか？

コード: 製品が存在しない場合、ワンタイム パスワードを生成する最良の方法は何だと思いますか? バックエンドは十分にシンプルで、ユーザーの作成/変更、ヘルプデスク ツールなどがあります。私が興味を持っているのは、アイデアのように gina.dll とボタンにスタックしようとするか、単にサービスを作成するかです。デスクトップと対話し、ctrl+alt+backspace+f12 のようなキー シーケンスが押されるのを待っていますか? もちろん、サービスはタイマーで、たとえば 4 時間後に、そのユーザーのパスワードをリセットし、ログインしている場合はログオフを強制します。これは、低レベルのフックに必要な場合は C#、C++ で記述する可能性が最も高いでしょう。

javacard.security.Signature クラスの ALG_HMAC_SHA1 メソッドを使用したい。しかし、私の javacard フレームワークのバージョンは 2.2.1 であるため、Signature クラスにはこのバージョンのこのメソッドは含まれていません。このメソッドは 2.2.2 以降に含まれています。フレームワークのバージョンアップをしなくてもこの方法は使えますか？

私はOwncloud用のワンタイムパスワードアプリを使用しています.魔女はログオンフォームに2番目のパスワードフィールドを追加します.魔女はマルチOTPサービスに対して認証します.

問題は、otp 入力フィールドからのテキストフィールドのラベルが非表示にならないことです。

次の .js が該当します。

または、こちらをご覧ください: http://pastebin.com/8YX2FEGt

誰かがこの問題を修正したのでしょうか？

Web アプリの管理者を認証するためのログイン メカニズムを実装したいと考えています。しかし、私はsslを使用していないので、ユーザーがhtmlフォームを介してパスワードを送信することに頼ることはできません.

そこで、ワンタイムパスワードを使おうと思った（実は知らなかった、概念を再発明したところ、すでにそのようなものが存在することがわかった）。

私が欲しいのは、私の実装がどれほど安全かについてのあなたの意見です:

1) クライアントは、ランダムで一意のハッシュを要求します。サーバーはそのハッシュを生成し、それをセッション変数に格納して、ハッシュをクライアントに返します。

2) クライアントは、そのハッシュから、クライアントとサーバーだけが知っているカスタム アルゴリズムを使用してパスワードを取得します。そのパスワードはサーバーに送り返されます。

3）サーバーは同じことを行い、パスワードが一致するかどうかを確認します。一致する場合、ユーザーは認証されます。

これはまったくクラックできますか？

Laravel 4.1.23 サイトでhttps://github.com/ChristianRiesen/otpを使用して 2 要素認証を統合する作業を行っています。シークレットは正常に生成され、QR コード画像も生成され、Google Authenticator は画像。

ただし、Google Authenticator アプリケーション内で iPhone で生成されたコードは検証されません。README.md の例に従いました。

私のコントローラーには、次のようなコードがあります。

次に、私のビュー (2fa.blade.php) には、次のようなコードがあります。

それはすべて機能しているようです。フォームは、次のコントローラー関数に投稿します。

これはレポの使用例にかなり厳密に従っていますが、キー (トークン) は検証されません。ここで何か不足していますか？Laravelは何かを台無しにしていますか?

どんな助けでも大歓迎です。