Un generador de contraseña predecible para clientes sin conexión

4

Sé que esto suena como una pregunta bastante tonta. ¿Por qué usarías un generador de contraseñas si es predecible?

Pero suponga que tiene un servidor y un cliente: el servidor siempre requiere una contraseña y tiene un conjunto de n combinaciones posibles de nombre de usuario / contraseña.

Para conectarse, el cliente debe proporcionar credenciales válidas.

No desea codificar la contraseña en el software del cliente, sino implementar un algoritmo que determine la contraseña correcta según la marca de tiempo.

Estoy buscando un algoritmo robusto para lograrlo, o sugerencias para un mejor enfoque del problema.

    
pregunta adrian7 16.10.2015 - 12:37
fuente

1 respuesta

1

Desea configurar un sistema de seguridad donde la contraseña se deriva, tanto del lado del cliente como del lado del servidor, a partir de la marca de tiempo actual a través de un algoritmo determinado.

O bien

  1. mantienes el algoritmo en secreto (seguridad por oscuridad), que es una elección terrible, ya que una vez que se descubre el algoritmo, todo el sistema se desmorona, o

  2. introduce un secreto compartido, que debe compartirse entre el cliente y el servidor, en el cálculo de la contraseña; en este caso, también puede utilizar el secreto compartido como contraseña, sin necesidad del algoritmo. (Esto es lo que se hace, por ejemplo, en los tokens RSA, donde el secreto compartido está integrado en el hardware).

En ambos casos, necesita una sincronización estricta de tiempo entre el cliente y el servidor para asegurarse de que el algoritmo arroje el resultado correcto.

    
respondido por el dr01 16.10.2015 - 13:39
fuente

Lea otras preguntas en las etiquetas