לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


7/2006

אשליית 60 השניות של OTP


כתבתי כאן על התקיפה כנגד מנגנון ה-One Time Password של Citibank.

רק לידיעתכם, בניגוד לרושם שמנסים יצרנים ליצור, סיסמת OTP אינה תקפה לששים שניות, היא רק מתחלפת כל ששים שניות.

 

על מנת שהשרת יידע מה הסיסמא בכל רגע נתון ברכיב הוא מחזיק שעון עבור כל רכיב (או מחזיק שעון יחיד וכותב בצד את הסטייה של כל רכיב מהשעון שלו) לפיו הוא מחשב מה הסיסמה הנוכחית. מאחר ולכל רכיב יש סטייה משלו (מושפע מחום, לחות, תנאי ייצור וכדומה), השרת חייב לשמור מספר סיסמאות קדימה ואחורה עבור כל רכיב. כאשר משתמש מקיש סיסמה השרת מזהה את סטיית השעון ברכיב בהתאם לסיסמה שהוקשה.

 

כך שבפועל סיסמת OTP תקפה למספר דקות, כדי למנוע מצב שבגלל סטיית שעונים משתמש לגיטימי לא יכול להכנס למערכת.

 

המשמעות היא כמובן פרק הזמן שיש לתוקף פוטנציאלי לנסות להכנס למערכת מרגע שנחשף לסיסמא. מספר דקות זה הרבה יותר טוב ממספר שניות.

 



נכתב על ידי , 20/7/2006 06:44   בקטגוריות הזדהות  
4 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט



כינוי: 

גיל: 50




65,379
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2025 © עמותת ישראבלוג (ע"ר)