Che cos'è un AUTH-KEY nella sicurezza dei computer?

7

Sto studiando la sicurezza nei computer e in particolare l'URL spoofing. Comprendo che una forma di spoofing degli URL è il phishing. Poi ho letto che una contromisura contro il phishing è la chiave di autenticazione. Ma ciò che non è bene hocapito chiave di autenticazione.

Sugli appunti che ho letto:

The key contains a seed related to users, a timer, a secret symmetric key and a counter. There is a timer on the server instead, the same symmetric key is a list of seed -related utilities and also a counter for each user.

When the user clicks the button on the key, it generates an HMAC(Seed||K||Timer||Counter) that is generated on the server in the same way: if there is a match, access is granted.

Clearly, the timer will not be synchronized perfectly, and then the server will generate some codes HMAC with some timer values ​​(depending on the gap between the user and the server timer) and will look for the matching among those.

Each click of the user is recorded by the counter and thus the two are synchronized counter (between server and key). This causes an old code can no longer be used (the counter does not match).

The key does not work if the opponent is particularly noticed and make a session hijacking that is the data you just entered on the phishing site is immediately re-shipped to the actual site of the bank.

It's like a man in the middle, the opponent does an intermediary with its "fake" pages between the bank and the user. It is also for this reason that before carrying out of some significance is often request another password.

La chiave di autenticazione è una chiave (costituita da seed, timer, contatori e chiave simmetrica segreta), che possiede solo il client? Cosa si intende per seme? E il contatore è collegato a cosa? Cos'è un HMAC? Come può essere abbinato se la chiave è segreta?

Ho capito molto poco. Qualcuno potrebbe sapere spiegarlo in un modo semplice? O se ci sono siti web in cui questo argomento è trattato in modo più completo e facile?

Ho letto la pagina di Wikipedia, ma non ho trovato molto di più.

    
posta user2081013 26.04.2014 - 17:27
fonte

3 risposte

0

Un seme è un valore non segreto usato come punto di partenza. Non sono sicuro di quale sia il punto di partenza, ma presumibilmente l'algoritmo ha bisogno di un numero (relativamente ben scelto) da cui partire.

In base all'articolo di Wikipedia, la chiave non è nota solo al cliente; anche il server lo sa. L'HMAC è un metodo per mascherare il segreto condiviso in modo tale che chiunque intercetta la comunicazione non apprenda il segreto condiviso e quindi ottenga un accesso permanente al tuo account (simile a autenticazione più sicura ).

    
risposta data 20.05.2014 - 23:45
fonte
0

La chiave in questo caso è un dispositivo hardware. Conosciuto anche come Frob o Dongle o Token (o un'applicazione con protezione limitata contro l'estrazione). Hanno bisogno di un valore segreto condiviso tra il servizio ed è incorporato nella chiave in un modo che non può essere estratto (facilmente).

A volte questo è chiamato seme, a volte chiave. A volte è una combinazione di un numero casuale unico per l'hardware e una chiave caricata. In caso di TOTP il seme per il calcolo iterativo è anche il segreto condiviso. Ma quando si esegue il provisioning di una nuova chiave, potrebbe anche utilizzare un seme come base per il calcolo del segreto condiviso.

Il contatore è un contatore che conta il numero di un pulsante premuto sul dispositivo o è Intervallo di tempo da un certo tempo. La versione del pulsante ha il vantaggio che non ha bisogno di un orologio (ma necessita di un contatore non volatile), la versione del timer è più facile da usare (e più comune).

La "protezione da phishing" è tuttavia limitata: un utente malintenzionato che ruba un codice OTP sarà in grado di usarlo una volta, ma non potranno accedere ripetutamente. Quindi non prenderei in considerazione la protezione da phishing come il principale vantaggio per la sicurezza di un OTP.

    
risposta data 12.08.2017 - 04:27
fonte
0

Nel mio caso :

Uso un sistema di autenticazione chiamato BetterSeal che utilizza Authkeys per fornire l'autenticazione di utenti / client. Nel mio caso, se qualcuno tentasse di accedere al mio caricatore / pannello, avrebbe bisogno di un Authkey che viene generato e memorizzato sul server BetterSeals, il quale risponderebbe alla tua domanda sul lato client o meno. Sia il client che il server devono comunicare per ottenere l'accesso.

What is meant by seed?

È un hash o una sorta di chiave (solitamente molto lunga) che è unica per una determinata sessione o client.

And the counter is related to what?

Penso che questo significhi il limite / tempo della sessione. (es: 1 minuto, 1 ora, 3 mesi, durata)

How can it be match if the key is secret?

Esiste un token di autenticazione applicazione / Web (simile a un hash / seme) che viene utilizzato per parlare con Authkeys. Questi sono collegati tra loro. Se il token di autenticazione applicazione / web viene cancellato o rimosso, Authkeys non sarà connesso e porterà a un Authkeys inutilizzabile. È fondamentalmente come perdere l'accesso a un server, il che rende le credenziali di accesso utilizzabili fino a quando il server non viene visualizzato.

    
risposta data 11.10.2017 - 21:26
fonte

Leggi altre domande sui tag