Sto studiando la sicurezza nei computer e in particolare l'URL spoofing. Comprendo che una forma di spoofing degli URL è il phishing. Poi ho letto che una contromisura contro il phishing è la chiave di autenticazione. Ma ciò che non è bene hocapito chiave di autenticazione.
Sugli appunti che ho letto:
The key contains a seed related to users, a timer, a secret symmetric key and a counter. There is a timer on the server instead, the same symmetric key is a list of seed -related utilities and also a counter for each user.
When the user clicks the button on the key, it generates an HMAC(Seed||K||Timer||Counter) that is generated on the server in the same way: if there is a match, access is granted.
Clearly, the timer will not be synchronized perfectly, and then the server will generate some codes HMAC with some timer values (depending on the gap between the user and the server timer) and will look for the matching among those.
Each click of the user is recorded by the counter and thus the two are synchronized counter (between server and key). This causes an old code can no longer be used (the counter does not match).
The key does not work if the opponent is particularly noticed and make a session hijacking that is the data you just entered on the phishing site is immediately re-shipped to the actual site of the bank.
It's like a man in the middle, the opponent does an intermediary with its "fake" pages between the bank and the user. It is also for this reason that before carrying out of some significance is often request another password.
La chiave di autenticazione è una chiave (costituita da seed, timer, contatori e chiave simmetrica segreta), che possiede solo il client? Cosa si intende per seme? E il contatore è collegato a cosa? Cos'è un HMAC? Come può essere abbinato se la chiave è segreta?
Ho capito molto poco. Qualcuno potrebbe sapere spiegarlo in un modo semplice? O se ci sono siti web in cui questo argomento è trattato in modo più completo e facile?
Ho letto la pagina di Wikipedia, ma non ho trovato molto di più.