excQ Geschrieben 3. Juli 2014 Geschrieben 3. Juli 2014 Hallo Community, ich habe das halbe Internet durchforstet, finde aber keine gute, bzw. schöne Beschreibung wie die genauen Funktionsabläufe beim One-Time-Passwort (Einmalpasswort) ablaufen. Woher weiß der Server die Nummer vom Token? Wie gleicht sich das ab usw.? Es geht mir vor allem um die zeitsynchronisierte Einmalpasswörter. Besten Dank, excQ Zitieren
excQ Geschrieben 3. Juli 2014 Autor Geschrieben 3. Juli 2014 Ja, das habe ich natürlich auch schon gelesen. Aber wie sieht es mit dem geheimen Schlüssel (secret key) aus, welcher hinterlegt ist? Zitieren
cornelinux Geschrieben 3. Juli 2014 Geschrieben 3. Juli 2014 Hi excQ, na, wie soll das mit dem aussehen? Das ist prinzipiell ein symmetrisches Verfahren, d.h. der Server und das Gerät oder die Authenticator-App kennen beide den gleichen secret key. Der Token/Authenticator berechnet mit hilfe von trunc(sha1(key + counter_neu)) den OTP-Wert und schickt den an den Server. Der Server kennt den letzten counter stand und berechnet nun: trunc(sha1(key + counter_alt+1)) trunc(sha1(key + counter_alt+2)) trunc(sha1(key + counter_alt+...)) trunc(sha1(key + counter_alt+N)) Dabei ist N so ein Synchronisationsfenster. Wenn der Server den eingetippten Wert findet, ist dann alles OK. OK? Deswegen sind so Softtoken ja auch so evil, weil man da potentiell den secret key runterkriegt und somit den Token quasi kopieren kann. Schönen Gruß Cornelius Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.