¿Es común que un sistema de contraseña de una sola vez se desincronice?

5

Contraseñas de un solo uso parece que pueden desempeñar un papel útil en un sistema de seguridad por capas, pero su El uso, especialmente los TANs en papel, parece que los clientes pueden ser vulnerables a no estar sincronizados con los servidores. ¿Es este un problema común con los esquemas de contraseña de un solo uso que se han implementado y, de ser así, existen las mejores prácticas que se pueden implementar para minimizar estas ocurrencias?

Si las mejores implementaciones no son vulnerables a la falta de sincronización, también sería útil tener una nota.

    
pregunta Nate 03.06.2013 - 23:12
fuente

2 respuestas

3

Divulgación: trabajo para una empresa que crea un servidor 2FA basado en OTP.

Sí, pueden y no se sincronizan suponiendo que no es una OTP basada en el tiempo. Suponiendo que estamos hablando de tokens de hardware, la razón principal por la que estas cosas se desincronizan (créanlo o no) es que a un niño pequeño le gusta presionar el botón repetidamente. Seguido por nombres de usuario y / o pines de digitación de grasa.

Si está utilizando un dispositivo que no tiene su propia fuente de alimentación, por ejemplo. Al ser alimentado por USB, no se desincroniza muy a menudo a menos que le guste presionar el botón mientras está enchufado. Para combatir este problema, muchas veces el servidor generará 15-20 futuras iteraciones de la contraseña después de una autenticación exitosa y el futuro las autenticaciones se validarán con estos valores, y luego, después de la siguiente autenticación exitosa, se generarán otros 15-20.

En caso de que las cosas no estén sincronizadas, podría ingresar los siguientes 2-4 OTP generados por el token, y el sistema escaneará desde lo que cree que es la clave actual hasta que encuentre las contraseñas correspondientes, hasta 100 iteraciones Esto te permitirá volver a sincronizar los estados clave.

    
respondido por el Steve 04.06.2013 - 04:37
fuente
2

Hay dos tipos comunes de contraseñas de un solo uso. Un tipo tiene contraseñas que son realmente válidas por un corto período de tiempo (unos pocos minutos). Este tipo permanece sincronizado mientras los relojes en el servidor y en la calculadora de contraseñas no se deriven demasiado.

Con el otro tipo de contraseñas, verdaderamente únicas, la forma típica de manejar la sincronización es que el servidor indique qué contraseña quiere: en lugar de preguntar password: , solicita password #42: , y eso le dice al usuario que introduzca la 42.a contraseña en su lista. Algunos software de OTP hacen que el servidor imprima la última contraseña que aceptó y el usuario debe ingresar la siguiente.

Otra variante hace que el servidor envíe un desafío que el usuario debe escribir en su calculadora de contraseñas. Eso no funciona con listas en papel.

    
respondido por el Gilles 04.06.2013 - 01:10
fuente

Lea otras preguntas en las etiquetas