Un generatore di password prevedibile per i client offline

Naviga le tue risposte
4

So che sembra una domanda stupida. Perché dovresti usare un generatore di password se è prevedibile.

Supponiamo che tu abbia un server e un client - il server richiede sempre una password e ha un pool di n combinazioni di username / password possibili.

Per connettersi, il cliente deve fornire credenziali valide.

Non si desidera codificare la password nel software client, ma implementare un algoritmo che determinerà la password corretta in base al timestamp.

Sto cercando un solido algoritmo per raggiungerlo, o suggerimenti per un approccio migliore al problema.

    
posta adrian7 16.10.2015 - 12:37
fonte

1 risposta

1

Si desidera impostare un sistema di sicurezza in cui la password sia derivata, sia lato client che lato server, dalla data e ora correnti tramite un determinato algoritmo.

O

  1. mantieni l'algoritmo segreto (sicurezza per oscurità) che è una scelta terribile, poiché una volta scoperto l'algoritmo l'intero sistema va in pezzi o

  2. si introduce un segreto condiviso, che deve essere condiviso tra client e server, nel calcolo della password; in questo caso potresti usare il segreto condiviso come password, senza bisogno dell'algoritmo. (Questo è ciò che viene fatto ad esempio nei token RSA, dove il segreto condiviso è incorporato nell'hardware.)

In entrambi i casi, è necessaria una stretta sincronizzazione temporale tra client e server per essere sicuri che l'algoritmo restituisca il risultato corretto.

    
risposta data 16.10.2015 - 13:39
fonte

Leggi altre domande sui tag

OpenSSL 0.9.6a Debolezza dell'algoritmo PRNG: come sfruttare? In che modo un Registrar / Domain Lock aumenta la sicurezza?