Комментарии 10
Я правильно понимаю, что чтобы иметь доступ к «токену», нужно с собой носить точку доступа?
Как-то это сомнительно выглядит. Хоть оно и зашифровано, но доступно всем желающим в радиоканале, повышается вектор атаки IMHO.
Как посмотреть: то же можно сказать и о bluetooth и push notifications: в той или иной степени эти пакеты тоже можно перехватить хоть они и зашифрованы.
В этом смысле надежнее всего аппаратные ключи… хотя нет, там циферки тоже можно подглядеть через плечо или шпионскими камерами :)
В этом смысле надежнее всего аппаратные ключи… хотя нет, там циферки тоже можно подглядеть через плечо или шпионскими камерами :)
Здесь гораздо хуже. Не знаю деталей того как алгоритмически сделана генерация токенов, но наверняка можно пособирав подряд кучу токенов определить последовательность и начать генерить ее самому.
И даже все еще проще — если вы постоянно вещаете свой второй ключ то украв у вас первый и находясь рядом с вами сразу же получаем второй.
По сути вы второй ключ вешаете на крючок перед входом в квартиру.
И даже все еще проще — если вы постоянно вещаете свой второй ключ то украв у вас первый и находясь рядом с вами сразу же получаем второй.
По сути вы второй ключ вешаете на крючок перед входом в квартиру.
Здесь гораздо хуже. Не знаю деталей того как алгоритмически сделана генерация токеновне понимаю что именно вы ставите под сомнение, по сути новизна в данном случае только в методе передачи токенов (не ручками/клавиатурой а через wifi) — как альтернатива тому же BLE & push notifications
все остальное (алгоритм, и, соответственно, уровень безопасности) остается неизменным, даже чуточку получше: токены передаются зашифрованными (в текущей имплементации синхронным шифрованием, но можно легко заменить его и асинхронным) и, в отличие от того же Google Authenticator, не светятся нигде вообще
можно пособирав подряд кучу токенов определить последовательность и начать генерить ее самому.
А это уже вообще не к нам вопрос, а к стандарту TOTP, вы серьезно утверждаете что можете взломатъ HMAC-based One-time Password Algorithm?
«пособирать подряд кучу токенов» тоже не так легко, они не транслируются открытым текстом
Взломать можно все. Вопрос во времени, заинтересованности и количестве данных способствующих взлому. Ваш PoC кардинально увеличивает количество данных доступных взломщику. Наверняка люди хорошо знакомые с математикой в этих одноразовых паролях смогу рассчитать и показать вам как как резко увеличивается вероятность взлома из-за этого.
наш PoC вообще ничего не меняет, я уже говорил об этом выше в комментах
если взломщик так близко что может перехватить adhoc SSID, то он с тем же успехом может перехватитъ Bluetooth или даже подсмотреть токен на аппаратных ключах.
научно доказано, восстановитъ хэш невозможно, даже с тысячей «утекших» токенов:
RFC 4226: Appendix A — HOTP Algorithm Security: Detailed Analysis
хотелось бы посмотреть на такого математика…
если взломщик так близко что может перехватить adhoc SSID, то он с тем же успехом может перехватитъ Bluetooth или даже подсмотреть токен на аппаратных ключах.
люди хорошо знакомые с математикой в этих одноразовых паролях смогу рассчитать и показать вам
научно доказано, восстановитъ хэш невозможно, даже с тысячей «утекших» токенов:
RFC 4226: Appendix A — HOTP Algorithm Security: Detailed Analysis
хотелось бы посмотреть на такого математика…
С вашим подходом перехватить токен можно просто находясь «за стенкой».
А для того чтобы перехватить аппаратный токен нужно физически отобрать у пользователя аппаратный токен, либо отобрать телефон с софтварным токеном и выпытать у него пин код от телефона — согласитесь, это на порядки сложнее.
По поводу восстановления хэша — даже без прочтения статьи, просто применив логику мне кажется очевидным что если у вас больше данных для взлома то вы взлом можете сделать быстрее.
А для того чтобы перехватить аппаратный токен нужно физически отобрать у пользователя аппаратный токен, либо отобрать телефон с софтварным токеном и выпытать у него пин код от телефона — согласитесь, это на порядки сложнее.
По поводу восстановления хэша — даже без прочтения статьи, просто применив логику мне кажется очевидным что если у вас больше данных для взлома то вы взлом можете сделать быстрее.
вашим подходом перехватить токен можно просто находясь «за стенкой».не сам токен, а зашифрованный токен (в теории, чем-то вроде aes-256)
либо отобрать телефон с софтварным токеном и выпытать у него пин код от телефона — согласитесь, это на порядки сложнее
людям пробовавшим расшифровать aes-256 может показаться что легче отобрать телефон :)
больше данных для взлома то вы взлом можете сделать быстреегляньте обсуждение здесь: > knowing many previous passwords should not give any additional advantage to the attacker.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
WifiOTP: Удобная двухфакторная аутентификация с помощью Wi-Fi SSID