excQ Geschrieben 3. Juli 2014 Geschrieben 3. Juli 2014 Hallo Community, ich habe das halbe Internet durchforstet, finde aber keine gute, bzw. schöne Beschreibung wie die genauen Funktionsabläufe beim One-Time-Passwort (Einmalpasswort) ablaufen. Woher weiß der Server die Nummer vom Token? Wie gleicht sich das ab usw.? Es geht mir vor allem um die zeitsynchronisierte Einmalpasswörter. Besten Dank, excQ
excQ Geschrieben 3. Juli 2014 Autor Geschrieben 3. Juli 2014 Ja, das habe ich natürlich auch schon gelesen. Aber wie sieht es mit dem geheimen Schlüssel (secret key) aus, welcher hinterlegt ist?
cornelinux Geschrieben 3. Juli 2014 Geschrieben 3. Juli 2014 Hi excQ, na, wie soll das mit dem aussehen? Das ist prinzipiell ein symmetrisches Verfahren, d.h. der Server und das Gerät oder die Authenticator-App kennen beide den gleichen secret key. Der Token/Authenticator berechnet mit hilfe von trunc(sha1(key + counter_neu)) den OTP-Wert und schickt den an den Server. Der Server kennt den letzten counter stand und berechnet nun: trunc(sha1(key + counter_alt+1)) trunc(sha1(key + counter_alt+2)) trunc(sha1(key + counter_alt+...)) trunc(sha1(key + counter_alt+N)) Dabei ist N so ein Synchronisationsfenster. Wenn der Server den eingetippten Wert findet, ist dann alles OK. OK? Deswegen sind so Softtoken ja auch so evil, weil man da potentiell den secret key runterkriegt und somit den Token quasi kopieren kann. Schönen Gruß Cornelius
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden