La nostra azienda vende un software desktop offline (.exe), stiamo pensando di utilizzare OTP (da token hardware come nell'internet banking) per impedire alle persone di copiare il software senza autorizzazione. Fondamentalmente, ogni copia legittima avrà il proprio numero seriale e il proprio token hardware.
Pensiamo che all'avvio dell'applicazione verrà visualizzata una schermata di accesso in cui l'utente deve inserire l'OTP dal token. Il token genererà OTP in base al numero di serie, l'ora corrente e un algoritmo sicuro. L'applicazione autentificherà l'OTP inserito. Speriamo che con questo meccanismo una copia del software sia utilizzabile da una sola persona (chi possiede l'OTP).
Lo scopo è di impedire agli utenti occasionali di copiare il software (ad esempio amici, famiglia). Sappiamo che questo non è sicuro al 100%, e posso pensare a molti modi in cui i pirati seri possono ancora copiare il software illegittimamente. Ma in questo caso, siamo interessati a fermare gli utenti occasionali a copiare il software (ad esempio amici, famiglia, ecc.) Che sono comportamenti normali qui. C'è qualcosa di cui preoccuparsi nell'usare questo metodo. Il difetto più preoccupante che riesco a pensare finora è che l'utente può manipolare l'ora locale del computer (questo è molto facile da fare in Windows). C'è un tempo affidabile in un computer difficile da manomettere?