Thema: Delphi [DEC] OneTimePasswords

Einzelnen Beitrag anzeigen

Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#6

Re: [DEC] OneTimePasswords

  Alt 27. Mai 2004, 19:28
Die RSA Token berechnen vorwärtsgerichtet ausgehend von einen Startwert eine Zahl nach der anderen. Würde man also den verwendeten Algorithmus kennen ist es sehr wahrscheinlich das man diese Verfahren brechen kann. Eben aus diesem Grunde hat RSA bis heute nicht das verwendete Verfahren veröffentlicht und verkauft meines Wissens nach auch nicht die Server Software. Eben auch ein weiterer Grund warum die Tokens selber in einer "einbruchssicheren" Hardware stecken. Diese Token haben primär reingarnichts mit dem S/KEY OTP Verfahren zu tun.

Das S/KEY Verfahren wurde übrigens angeblich gebrochen. Nicht der Algorithums selber ist unsicher sondern die Art und Weise wie der Server abgesichert werden muß. Hat ein Angreifer Zugriff auf die Server erlangt so ist es für ihn ein leichtes den zum Benutzerkonto gespeicherten Hashwert durch einen eigenen zu ersetzen. Das fatale daran ist das der Server eben nicht verifizieren kann ob eine solche Manipulation durchgeführt wurde. Beim nächsten Login des Benutzers könnte es auch der Angreifer sein. Allerdings, wenn ein Angreifer schon in den Server eindringen kann, dann ist es eigentlich wenig sinnvoll diese Logins zu manipulieren, denn er hat ja schon Zugang zum Server.

Gruß Hagen
  Mit Zitat antworten Zitat