È comune che un sistema One-Time-Password diventi non sincronizzato?

Naviga le tue risposte
5

Le password monouso sembrano essere in grado di svolgere un ruolo utile in un sistema di sicurezza a più livelli, tuttavia l'uso, specialmente i TAN basati su carta sembrano come i clienti potrebbero essere vulnerabili a non essere sincronizzati con i server. Si tratta di un problema comune con gli schemi di password One-Time che hai visto implementati e, in caso affermativo, ci sono le migliori pratiche che possono essere implementate per minimizzare queste occorrenze?

Se le migliori implementazioni non sono vulnerabili a non sincronizzarsi sarebbe anche utile.

    
posta Nate 03.06.2013 - 23:12
fonte

2 risposte

3

Divulgazione: lavoro per un'azienda che costruisce un server 2FA basato su OTP.

Sì, possono e diventano non sincronizzati presumendo che non sia un OTP basato sul tempo. Supponendo che stiamo parlando di token hardware, il motivo principale per cui queste cose diventano non sincronizzate (che ci crediate o no) è di solito perché a un bambino di un bambino piace premere ripetutamente il pulsante. Seguito da nomi utente e / o spilli grassi.

Se utilizzi un dispositivo che non dispone di una propria fonte di alimentazione, ad es. Alimentato tramite USB, non viene fuori sincrono molto spesso a meno che non ti piaccia premere il pulsante mentre viene collegato. Per ovviare a questo problema, spesso il server genera 15-20 iterazioni future della password dopo un'autenticazione corretta e in futuro le autenticazioni verranno convalidate rispetto a questi valori e quindi dopo la successiva autenticazione riuscita genererà un altro 15-20.

Nel caso in cui le cose vadano fuori sincrono potresti potenzialmente inserire i prossimi 2-4 OTP generati dal token, e il sistema eseguirà la scansione da quella che pensa sia la chiave corrente fino a quando non trova le password corrispondenti, fino a dire 100 iterazioni. Ciò ti consentirà di risincronizzare gli stati della chiave.

    
risposta data 04.06.2013 - 04:37
fonte
2

Esistono due tipi comuni di password monouso. Un tipo ha le password che sono effettivamente valide per un breve periodo di tempo (alcuni minuti). Questo tipo rimane sincronizzato finché gli orologi sul server e sulla calcolatrice della password non ne derivano troppo.

Con l'altro tipo, password veramente monouso, il modo tipico per gestire la sincronizzazione è che il server indica quale password desidera: invece di chiedere password: , chiede password #42: , e che dice all'utente di inserisci la 42a password nella sua lista. Alcuni software OTP fanno stampare al server l'ultima password accettata e l'utente deve inserire la successiva.

Un'altra variante ha il server che invia una sfida che l'utente deve digitare nel suo calcolatore di password. Questo non funziona con gli elenchi di carta.

    
risposta data 04.06.2013 - 01:10
fonte

Leggi altre domande sui tag

Prevenire l'accesso fraudolento a risorse riservate sul web? Archiviazione sicura in un ambiente di hosting condiviso semi-affidabile