¿Qué es una AUTH-KEY en la seguridad de las computadoras?

7

Estoy estudiando la seguridad en las computadoras y, en particular, en la URL Spoofing. Entiendo que una forma de suplantación de URL es el phishing. Luego leí que una contramedida contra el phishing es la clave de autenticación. Pero lo que no está bien es la clave de autenticcación hocapito.

En las notas que leí:

  

La clave contiene una semilla relacionada con los usuarios, un temporizador, una clave simétrica secreta y un contador.   En su lugar, hay un temporizador en el servidor, la misma clave simétrica es una lista de utilidades relacionadas con semillas y también un contador para cada usuario.

     

Cuando el usuario hace clic en el botón de la tecla, genera un HMAC (Seed || K || Timer || Counter) que se genera en el servidor de la misma manera: si hay una partida, se concede acceso.

     

Claramente, el temporizador no se sincronizará perfectamente, y luego el servidor generará algunos códigos HMAC con algunos valores de temporizador (dependiendo de la brecha entre el usuario y el temporizador del servidor) y buscará la coincidencia entre ellos.

     

Cada clic del usuario es registrado por el contador y, por lo tanto, los dos son contador sincronizado (entre el servidor y la clave). Esto hace que ya no se pueda utilizar un código antiguo (el contador no coincide).

     

La clave no funciona si el oponente se nota especialmente y realiza un secuestro de sesión que es la información que acaba de ingresar en el sitio de phishing y se reenvía inmediatamente al sitio real del banco.

     

Es como un hombre en el medio, el oponente hace un intermediario con sus páginas "falsas" entre el banco y el usuario. También es por esta razón que, antes de llevar a cabo algo de importancia, a menudo se solicita otra contraseña.

La clave de autenticación es una clave (que consta de semillas, temporizadores, contadores y clave simétrica secreta), que solo posee el cliente? ¿Qué se entiende por semilla? ¿Y el contador está relacionado con qué? ¿Qué es un HMAC? ¿Cómo puede coincidir si la clave es secreta?

Entendí muy poco. ¿Alguien lo sabría explicarlo de una manera sencilla? ¿O si hay sitios web donde este tema se trata de una manera más completa y fácil?

Leí la página de Wikipedia, pero no he encontrado mucho más.

    
pregunta user2081013 26.04.2014 - 17:27
fuente

3 respuestas

0

Una semilla es un valor no secreto utilizado como punto de partida. No estoy seguro de cuál es el punto de partida, pero presumiblemente el algoritmo necesita un número (relativamente bien elegido) para comenzar.

Según el artículo de Wikipedia, la clave no es conocida solo por el cliente; El servidor también lo sabe. El HMAC es un método para ocultar el secreto compartido de tal manera que cualquier persona que intercepte la comunicación no aprenda el secreto compartido y, por lo tanto, obtenga acceso permanente a su cuenta (similar a autenticación de prueba ).

    
respondido por el Brilliand 20.05.2014 - 23:45
fuente
0

La clave en este caso es un dispositivo de hardware. También conocido como Frob o Dongle o Token (o una aplicación con protección limitada contra la extracción). Necesitan un valor secreto compartido entre el servicio y está incrustado en la clave de una manera que no se puede extraer (fácilmente).

A veces esto se llama semilla, a veces clave. A veces es una combinación de un número aleatorio único para el hardware y una clave cargada. En el caso de TOTP, la semilla para el cálculo iterativo también es el secreto compartido. Pero al aprovisionar una nueva clave, también puede usar una semilla como base para calcular el secreto compartido.

El contador es un contador que cuenta el número que se presiona un botón en el dispositivo o es el intervalo de tiempo desde un cierto tiempo. La versión del botón tiene la ventaja de que no necesita un reloj (pero necesita un almacenamiento de contador no volátil), la versión del temporizador es más fácil de usar (y la más común).

Sin embargo, la "protección contra phishing" es limitada: un atacante que robe un código OTP podrá usarlo una vez, simplemente no puede iniciar sesión repetidamente. Por lo tanto, no consideraría la protección contra phishing como la mayor ganancia de seguridad para una OTP.

    
respondido por el eckes 12.08.2017 - 04:27
fuente
0

En mi caso :

Utilizo un sistema de autenticación llamado BetterSeal que utiliza Authkeys para otorgar a los usuarios / clientes la autenticación. En mi caso, si alguien intentara iniciar sesión en mi cargador / panel, necesitaría una clave de autenticación que se genere y almacene en el servidor de BetterSeals que responderá a su pregunta sobre si el cliente está o no. Tanto el cliente como el servidor deben comunicarse para obtener acceso.

  

¿Qué se entiende por semilla?

Es un hash o una especie de clave (generalmente muy larga) que es exclusiva de una determinada sesión o cliente.

  

¿Y el contador está relacionado con qué?

Creo que esto significa el límite de sesión / tiempo. (por ejemplo: 1 minuto, 1 hora, 3 meses, vida útil)

  

¿Cómo puede coincidir si la clave es secreta?

Hay una aplicación / token de autenticación web (también parece un hash / semilla) que se usa para hablar con los Authkeys. Estos están conectados entre sí. Si se elimina o elimina el token de autenticación de la aplicación / web, las claves de autenticación no se conectarán, lo que dará lugar a claves de autenticación inutilizables. Básicamente, es como perder el acceso a un servidor, lo que hace que sus credenciales de inicio de sesión sean utilizables hasta que aparezca el servidor.

    
respondido por el Peter 11.10.2017 - 21:26
fuente

Lea otras preguntas en las etiquetas