Comprendo che Lamport OTP utilizza le catene hash per generare password. È praticamente fattibile usarli? Dove si sta attualmente utilizzando Lamport OTP?
Ho letto alcuni articoli online che affermano che gli OTP di Lamport sono intensivi dal punto di vista computazionale e quindi su questi si preferiscono altri schemi. Esiste un servizio noto che utilizza questo? (Come le banche OTP)
Dato che gli OTP di Lampport non richiedono un segreto condiviso, è estremamente fattibile usarli, in particolare dove i servizi richiedono un'autenticazione successiva.
Assumi il seguente
A = Hash(B)
B = Hash(C)
.
.
.
Y = Hash(Z)
L'intera catena di hash sopra verrà generata sul client e verrà archiviata. Gli scambi tra client e server saranno i seguenti.
[Client] -----------A-----------> [Server] Stores A
[Client] -----------B-----------> [Server] Verifies if Hash(B) == A; If yes, authenticates and discard A and stores B. If No, authentication failure.
[Client] -----------C-----------> [Server] Verifies if Hash(C) == B; If yes, authenticates and discard B and stores C. If No, authentication failure.
E venendo alla tua domanda, ecco un esempio su come utilizzare OTP Lamport per proteggere le interazioni del servizio clienti.
Leggi altre domande sui tag one-time-password