Suggerimento per la sicurezza dei bot di Telegram

Naviga le tue risposte
-1

Sto sviluppando un bot di Telegram attraverso il quale posso controllare a distanza alcuni parametri del mio computer, come accendere / spegnere il display, bloccare (ma non sbloccare) lo schermo, montare e smontare le unità, ecc.

Per impedire a qualcun altro di assumere il controllo del mio computer, il bot controlla il nome utente del mittente e esegue i comandi solo se corrisponde al mio. Tuttavia mi piacerebbe rendere il bot più sicuro, usando un qualche tipo di autenticazione prima di eseguire ogni comando. Ovviamente potrei semplicemente richiedere una password, ma non sarebbe sicuro dato che dovrei inviarlo in testo normale, e in pratica qualsiasi persona che vede i miei messaggi potrebbe averla. Così ho pensato a qualcosa come una password monouso che posso calcolare mentalmente. Ecco un esempio troppo semplice per farti capire meglio: il bot mi chiede la password e mi dice una parola a caso da una lista di parole. Quindi controllo l'ora corrente; se termina con una cifra pari, la password sarà un sinonimo della parola; mentre se termina con una cifra dispari, la password sarà l'opposto di quella parola.

Quindi, se per esempio il bot mi invia "easy" ed è 12,32, rispondo "banale". Se il bot mi invia "dark" ed è 09.47, rispondo "bright". So che non va affatto bene: è abbastanza facile indovinare, le parole possono avere più di un sinonimo, ecc. Quindi ti sto chiedendo se puoi suggerirmi un algoritmo simile (ma spero migliore), così che io possa calcola mentalmente password monouso per autenticarmi facilmente ma in sicurezza con il mio bot.

Grazie in anticipo.

    
posta profpython 12.08.2016 - 13:59
fonte

2 risposte

1

Il tuo sistema si basa sulla sicurezza attraverso l'oscurità. Si presume che l'intercettatore non conosca il tuo sistema. Quando l'attaccante lo sa, è inutile. E hai appena pubblicato il tuo sistema su Internet, quindi è già stato compromesso.

Un sistema di autenticazione a due fattori comune che non si basa su alcun canale di autenticazione alternativo o gadget elettronici sta utilizzando un elenco TAN (Numero di transazione).

  1. Genera una lista di numeri di transazioni casuali numerate
  2. salva l'elenco in cui il tuo programma può leggerlo
  3. Stampa e tienilo in tasca
  4. Quando dai un comando, il server risponde con il numero del TAN che si aspetta ("inserisci TAN # 47")
  5. Cerca il numero sul tuo elenco e inseriscilo

Ogni TAN deve essere utilizzato una sola volta, indipendentemente dal fatto che la risposta sia corretta o errata.

In alternativa potresti semplicemente utilizzare un sistema di messaggistica più sicuro con un'autenticazione utente più affidabile.

O semplicemente usa SSH per controllare a distanza il tuo computer.

    
risposta data 12.08.2016 - 15:30
fonte
-2

Bel sistema r / a.
Forse una lista di parole con parole complesse e hex?

r: rana?
a: rospo spadefoot
passwd: Spadefoot746f6164

r: 1942?
passwd: george6f7277656c6c

    
risposta data 12.08.2016 - 15:01
fonte

Leggi altre domande sui tag

Come imparare il tipo di hash mentre si conosce la password come formato di testo normale e il suo valore hash? [duplicare] Crittografia a chiave pubblica / privata per i sistemi offline