Uso il token hardware per accedere a una VPN ma non riesco a capire il concetto. La password è la combinazione di un PIN generato automaticamente + OTP generato su eToekn Pass. Come avviene l'autenticazione al back-end e qual è il criterio per la scadenza OTP?
Supponendo che la controparte conosca il tuo PIN, e il vettore di inizializzazione per il tuo eToken, tutto ciò che è necessario è che l'eToken abbia un clock .
Usando un qualche schema di amplificazione, eventualmente coinvolgendo di nuovo l'IV, il timestamp (di solito con una risoluzione di un minuto) viene convertito in un buffer sufficientemente grande da subire la crittografia all'interno dell'eToken. Da questo, un token viene estratto e mostrato sul display.
Quando invii il tuo nome utente, il PIN e i dati eToken, il server esegue semplicemente lo stesso calcolo usando la IV che ha nel suo database e verifica che tutti i dati corrispondano (opzionalmente, i valori del token per un minuto prima e un minuto dopo il tempo presente può essere testato, al fine di correggere piccole derive dell'orologio).
--> username, PIN --> "user suraj has IV 12345 and it's now
june 10, 2016, at 17:12. Encrypting
this date with 12345 yields a number
whose last six digits are 488690."
--> token 488690 --> "YES! You are logged in."
Usando eToken standard a sei cifre, e senza accesso al IV che è stato masterizzato nella memoria eToken, c'è una possibilità su un milione che un utente malintenzionato sia in grado di generare un token valido, anche se ha avuto il login dell'account e PIN.
(Di solito, anche questi sistemi si bloccheranno dopo tre o cinque tentativi di inserimento di un token errato).
L'eToken Pass ha due modalità di funzionamento. Basato su evento e base temporale. Di base per questi sono RFC4226 e RFC6238 . BUT Safenet ha modificato i token basati su eventi in questo modo, che non usano più SHA1 ma SHA256, che è - in senso stretto - non conforme a HOTP.
I valori OTP basati su eventi non scadono. Puoi premere il pulsante ora e utilizzare il valore OTP domani.
Il valore OTP basato sul tempo è valido solo all'interno di una finestra temporale, che è definita dal back-end di autenticazione.
La "IV" menzionata da @Iserni è una chiave simmetrica da 20 byte (SHA1) o 32 byte (SHA256), che è univoca per il token.
OTP = truncate(HMAC-SHA1(Key + Counter))
Il contatore è il contatore di eventi (tasti premuti) o unixtime / 30.
Il componente server conosce l'ultimo contatore e calcola un valore OTP e confronta il valore OTP fornito all'utente con il valore OTP calcolato dal server. Altro in RFC.
Leggi altre domande sui tag authentication one-time-password