Einmalpasswort OTP Funktionsweise

[excQ]

Hallo Community,

ich habe das halbe Internet durchforstet, finde aber keine gute, bzw. schöne Beschreibung wie die genauen Funktionsabläufe beim One-Time-Passwort (Einmalpasswort) ablaufen.

Woher weiß der Server die Nummer vom Token? Wie gleicht sich das ab usw.? Es geht mir vor allem um die zeitsynchronisierte Einmalpasswörter.

Besten Dank,

excQ

[SilentDemise]

ernsthaft? Einmalkennwort

[excQ]

Ja, das habe ich natürlich auch schon gelesen. Aber wie sieht es mit dem geheimen Schlüssel (secret key) aus, welcher hinterlegt ist?

[cornelinux]

Hi excQ,

na, wie soll das mit dem aussehen?

Das ist prinzipiell ein symmetrisches Verfahren, d.h. der Server und das Gerät oder die Authenticator-App kennen beide den gleichen secret key.

Der Token/Authenticator berechnet mit hilfe von

trunc(sha1(key + counter_neu))

den OTP-Wert und schickt den an den Server. Der Server kennt den letzten counter stand und berechnet nun:

trunc(sha1(key + counter_alt+1))

trunc(sha1(key + counter_alt+2))

trunc(sha1(key + counter_alt+...))

trunc(sha1(key + counter_alt+N))

Dabei ist N so ein Synchronisationsfenster. Wenn der Server den eingetippten Wert findet, ist dann alles OK. OK?

Deswegen sind so Softtoken ja auch so evil, weil man da potentiell den secret key runterkriegt und somit den Token quasi kopieren kann.

Schönen Gruß

Cornelius