1) A → B: nombre de usuario, marca de hora, h (contraseña)
2) A → B: nombre de usuario, h (contraseña), h (marca de tiempo)
¿Pueden las fórmulas anteriores evitar que sufran ataques de repetición?
Creo que 1 es inmune al ataque de repetición, pero no estoy seguro acerca del segundo.
¿Puede alguien ayudarme?
Ninguno protegerá contra una repetición.
En el primer caso, todo lo que el atacante debe hacer es ajustar la marca de tiempo.
En el segundo caso, dado que se supone que H () no es secreto y que se conoce la marca de tiempo, y el atacante también puede ajustar la solicitud creando una H (marca de tiempo) válida. También existe el problema de que necesita sincronizar el cliente y el servidor para que ambos tengan el mismo valor de marca de tiempo.
La mejor manera de evitar ataques de repetición es usar challenge-response (hay otros formas de hacerlo, dependiendo de sus necesidades).
Lea otras preguntas en las etiquetas attack-prevention timestamp