One Time Password (HOTP) basata su HMAC è stata pubblicata come informativa IETF RFC 4226 nel dicembre 2005. A maggio 2011, Time-based One-time Password Algorithm (TOTP) è diventato ufficialmente RFC 6238. Quali vantaggi introduce?

Answer

Uno dei vantaggi è puramente il lato umano della sicurezza. Dallabstract dellRFC 6238:

Lalgoritmo HOTP specifica un algoritmo OTP basato su eventi, in cui il fattore di spostamento è un contatore di eventi. Le basi di lavoro attuali il fattore di spostamento su un valore temporale. Una variante basata sul tempo dellalgoritmo OTP fornisce valori OTP di breve durata, desiderabili per una maggiore sicurezza .

(Enfasi mia.)

Le password TOTP sono di breve durata, si applicano solo a un dato quantità di tempo umano. Le password HOTP sono potenzialmente più longeve, si applicano per una quantità sconosciuta di tempo umano.

Il riferimento alla “sicurezza avanzata” fa riferimento ad (almeno) due aree: Il valore di un compromesso chiave e capacità di attaccarne una.

In primo luogo, se una password HOTP corrente dovesse essere compromessa, sarà potenzialmente valida per un “lungo periodo”. Garantire un uso frequente dellHOTP nel tempo umano non fa parte di il design HOTP, quindi non è noto per quanto tempo la corrente La password HOTP sarà valida per e dobbiamo presumere il caso peggiore, ovvero che sarà un tempo “lungo”. Ciò consente allautore dellattacco di utilizzare una password compromessa a proprio piacimento. Ma se il TOTP corrente fosse compromesso, non sarà utile per molto tempo perché in un incremento di tempo TOTP verrà invalidato. Naturalmente, in teoria, lattaccante potrebbe afferrare e utilizzare la password in un tempo trascurabile, ma impedisce un aspetto umano pratico. Ad esempio, qualcuno che dà unocchiata alla tua attuale chiave Paypal (che ruota ogni 30 secondi, IIRC) non può tornare a casa e provare a usarla più tardi, dovrebbe cercare un computer in questo momento. Qualcuno che lo comprometta key potrebbe non rendersene conto fino a dopo che la chiave è scaduta. Ecc.

Secondo, se stai attaccando una chiave, il tuo lavoro viene potenzialmente invalidato o arretrato ogni volta che aumenta il TOTP perché lobiettivo si è spostato. Forse un utente malintenzionato ha scoperto un attacco contro uno schema OTP che gli consente di prevedere la password successiva solo se ha un certo numero delle ultime 10 password, ma per farlo occorrono circa 2 ore di tempo di elaborazione. Se lOTP cambia ogni minuto , il loro attacco è praticamente inutile. Anche gli attacchi di forza bruta sono inibiti, perché la password successiva viene scelta ogni volta nella stessa distribuzione; è possibile che la forza bruta esaurisca lo spazio della password e non trovi la password. TOTP non lo fa “t eliminare quel tipo di attacchi, ma si spera che limi ts quali hanno la capacità di essere efficaci.

Commenti

  • Ci sono casi in cui HOTP richiede una connessione Internet mentre TOTP non ' t? O viceversa?
  • Penso che la vera sfida sia trovare il tempo per essere SINCRONIZZATO sul lato client insieme al server, in caso di TOTP.
  • @JaderDias – Nessuno dei due gli algoritmi richiedono una connessione a Internet
  • Ogni tentativo casuale di forza bruta ha la stessa probabilità di successo, indipendentemente dalla rotazione della password di destinazione. Quindi TOTP non ' inibisce realmente gli attacchi di forza bruta: il numero medio di tentativi di violare una password rimane lo stesso, ma il limite superiore viene rimosso.

Risposta

Nessuno dei due vale la pena. La modifica dei codici numerici è stata inventata da RSA nel 1984 per bloccare i keylogger. Oltre il 90% delle attuali violazioni di Internet avviene a seguito di phishing e “stiamo osservando lincidenza di interi paesi con più macchine infette da malware rispetto a quelle pulite (i banditi boleto, finora hanno intascato 1 miliardo di dollari in contanti, & stanno ancora andando forte).

TOTP e HOTP sono quasi completamente inefficaci contro i rischi “odierni.

Hai bisogno di soluzioni che includano lautenticazione reciproca e le transazioni verifica, non aggeggi vecchi di 30 anni.

Commenti

  • Questa risposta non ha senso in relazione alla domanda. TOTP e HOTP sono intesi come una forma di autenticazione (di solito come un fattore what-you-have poiché i valori vengono letti da un token). Non hanno nulla a che fare con altri aspetti della creazione di un canale sicuro.
  • @Chris Devo mancare qualcosa … come risponde alla domanda sui potenziali vantaggi (confrontando RFC 4226 e RFC 6238)? Inoltre, dichiari TOTP and HOTP are almost completely ineffective against todays' risks. – disponi di una fonte affidabile per eseguire il backup di tale dichiarazione?(Nota che non sto chiedendo un link a qualche strano blog, ma un puntatore a uno o più articoli scientifici che forniscono analisi e prove della “completa inefficacia” che affermi di esistere.)
  • @Chris: Hai dimenticato il tag di chiusura: </rant>
  • @PriiduNeemre In realtà ha dimenticato [8]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *