¿Cómo un Pase de eToken de Safenet (token de hardware) genera OTP y se basa en qué algoritmo? ¿Cómo se lleva a cabo la autenticación en contra de ella?

Navega tus respuestas
0

Utilizo el token duro para iniciar sesión en una VPN, pero no entiendo el concepto. La contraseña es una combinación de un PIN + OTP generado automáticamente en eToekn Pass. ¿Cómo se realiza la autenticación en el back-end y cuál es el criterio para la caducidad de OTP?

    
pregunta Suraj Chauhan 10.06.2016 - 21:55
fuente

2 respuestas

3

Suponiendo que la contraparte conoce su PIN, y el vector de inicialización de su eToken, entonces todo lo que se necesita es que el eToken tenga un reloj .

Usando algún esquema de amplificación, posiblemente involucrando nuevamente el IV, la marca de tiempo (generalmente con una resolución de un minuto) se convierte en un búfer lo suficientemente grande como para someterse a encriptación dentro del eToken. A partir de eso, se extrae un token y se muestra en la pantalla.

Cuando envía su nombre de usuario, PIN y datos de eToken, el servidor simplemente ejecuta el mismo cálculo utilizando el IV que tiene en su base de datos, y verifica que todos los datos coinciden (opcionalmente, los valores del token de un minuto antes y un minuto después de la hora actual se puede probar, para corregir pequeñas desviaciones del reloj). 

--> username, PIN   -->      "user suraj has IV 12345 and it's now
                              june 10, 2016, at 17:12. Encrypting
                              this date with 12345 yields a number
                              whose last six digits are 488690."
--> token 488690    -->      "YES! You are logged in."

Al utilizar eTokens estándar de seis dígitos y sin acceso a la IV que se grabó en la memoria eToken, existe una posibilidad entre un millón de que un atacante pueda generar un token válido, incluso si tuvo el inicio de sesión de su cuenta. y PIN.

(Por lo general, también, estos sistemas se bloquearán después de tres o cinco intentos para ingresar un token incorrecto).

    
respondido por el LSerni 10.06.2016 - 22:14
fuente
0

El pase eToken tiene dos modos para operar. Basada en eventos y base de tiempo. Los básicos para estos son RFC4226 y RFC6238 . PERO Safenet cambió los tokens basados en eventos de esta manera, ya que ya no usan SHA1 sino SHA256, que, estrictamente hablando, no es compatible con HOTP.

Los valores OTP basados en eventos no caducan. Puede presionar el botón ahora y usar el valor OTP mañana.

El valor OTP basado en el tiempo solo es válido dentro de una ventana de tiempo, que está definida por el backend de autenticación.

La "IV" mencionada por @Iserni es una clave simétrica de 20 bytes (SHA1) o 32 bytes (SHA256), que es exclusiva del token. 

OTP = truncate(HMAC-SHA1(Key + Counter))

El contador es el contador de eventos (teclas presionadas) o el unixtime / 30.

El componente del servidor conoce el último contador y calcula un valor OTP y compara el valor OTP que el usuario proporcionó con el valor OTP que el servidor calculó. Más en los RFC.

    
respondido por el cornelinux 23.06.2016 - 21:24
fuente

Lea otras preguntas en las etiquetas

SQLmap sobre uni wifi [cerrado] Exploración de seguridad con, o sin, IP en la lista blanca del firewall, ¿no es eso una introducción de un punto débil?