Comments 11
Привет. Очень понятно написано как мне кажется. А что насчёт применения HOTP для генерации OTP на основе динамических данных платежного поручения (номер счёта, сумма и т.д). К сожалению ЦБ обязывает это делать. Безопасно ли в HOTP К делать не общим, а каждый раз разным: К= динамические данные платежного поручения сконкатенированные со случайной величиной, при этом клиент ничего не должен знать о значении К на случай чтобы злоумышленник не мог угадывать следующие ОТП. Или тут лучше вообще что-то другое применять для генерации ОТР?
0
Привет! Спасибо. Суть стандартного алгоритма в том, что сервер и клиент знают секрет, который статичен, и знают значение счетчика. Благодаря этому они могут генерировать ключи, которые не покидают устройства и не могут быть нигде перехвачены. В схеме, где клиент не знает о K, я так понимаю сами пароли приходят к нему каким-то другим способом, и в таком случае теряются изначальные преимущества.
Можно было бы, наверное, сделать подобие оригинального алгоритма, если все же иметь пошаренный секрет, который перемешивается или склеивается с данными платежного поручения. Тогда формально они будут использованы, но основа алгоритма в целом остается. И использовать счетчик на основе времени.
Но это так, быстрая мысль.
Можно было бы, наверное, сделать подобие оригинального алгоритма, если все же иметь пошаренный секрет, который перемешивается или склеивается с данными платежного поручения. Тогда формально они будут использованы, но основа алгоритма в целом остается. И использовать счетчик на основе времени.
Но это так, быстрая мысль.
0
Спасибо, хорошая статья. Подскажите в какой программе нарисованы схемы (иллюстрации)?
0
Можно глупый вопрос?
Можно ли с этим апи обрабатывать/использовать персональные ключи выдаваемые АЦСК для подписывания документов в банках и тп?
Можно ли с этим апи обрабатывать/использовать персональные ключи выдаваемые АЦСК для подписывания документов в банках и тп?
0
Честно говоря, затрудняюсь ответить. Но вы можете проверить используемые алгоритмы и поддерживаются ли они этим АПИ, и уже от этого думать дальше.
0
Спасибо, не ожидал столь глубокой информации, т.к. всегда пологал, что при зарпосе 2FA Токена, он генерируется (рандомом или хэш юзерных данных с таймстэмп) на бэйкенде, пишется в базу и паралельно отсылается клиенту (смс, сокет, long polling и т.д.), а опосля введённый код сравнивается со значением в базе.
Отсюда и удивление, от увиденной глубины.
Все ли 2FA так работают, как Вы описали?
Отсюда и удивление, от увиденной глубины.
Все ли 2FA так работают, как Вы описали?
0
Думаю, что какие-то предки современной двухфакторки, особенно которые посылают код по почте или в смс (псевдо-2FA) работают на своих алгоритмах. В том числе, вероятно, просто генерируют число.
Однако те, которые можно забить в Google Authenticator или иные приложения/токены — точно подчиняются описанным алгоритмам.
0
А кто знает какой-нибуть сайт с поддержкой HOTP? А то с TOTP много нашел, а HOTP прям редкая птица.
0
Sign up to leave a comment.
Генерируем одноразовые пароли для 2FA в JS с помощью Web Crypto API