|
xokir1
|
|
OTP брелок19.11.2012, 00:12. Показов 11009. Ответов 18
Метки нет (Все метки)
Появилось желание попробовать сделать OTP (one-time password) брелок на MSP430.
Если кто не знает - брелок, генерирущий пароль по определенным алгоритмам. Собственно, в составе этих алгоритмов есть HMAC-SHA1, HMAC-SHA256, HMAC-SHA512. Может у кого есть реализация этих алгоритмов? Ну или хотя бы просто SHA1\256\512. |
|
| 19.11.2012, 00:12 | |
|
Ответы с готовыми решениями:
18
Проект №2. Брелок для опроса меток. Не RFID. Глюк при чтении OTP ALLIGATOR брелок |
|
0 / 0 / 0
Регистрация: 18.03.2010
Сообщений: 2,230
|
|
| 19.11.2012, 14:34 | |
|
реализации всех алгоритмов есть ... в интернете!
0
|
|
|
0 / 0 / 0
Регистрация: 09.04.2012
Сообщений: 43
|
|
| 19.11.2012, 18:44 | |
|
одно время хотел такой сделать, сейчас пользуюсь ссылкой: https://www.romdom.org/strings/?num=5&l ... in&rnd=new
0
|
|
|
xokir1
|
||
| 19.11.2012, 19:30 | ||
По ссылке - банальный генератор пароля. Я хочу сделать брелок, который по определеным алгоритмам будет пароль генерировать. Благодаря ключу, известному только мне и серверу - сервер сможет проверить валидность пароля. Собственно все о данном принципе описано в вики http://ru.wikipedia.org/wiki/Одноразовый_пароль, раздел "Синхронизированные по времени" |
||
|
0 / 0 / 0
Регистрация: 18.03.2010
Сообщений: 2,230
|
|
| 19.11.2012, 19:59 | |
|
xokir1, если вы в курсе про википедию, то в чем ваш вопрос? там все алгоритмы описаны и ссылки приложены.
0
|
|
|
0 / 0 / 0
Регистрация: 26.04.2010
Сообщений: 801
|
|
| 19.11.2012, 20:45 | |
|
а есть хоть пара килобайт которые стоит защищать при помощи ОТР?
0
|
|
|
otixd-v
|
||
| 25.02.2013, 16:20 | ||
Кстати, алгоритм можно посмотреть тут http://motp.sourceforge.net. Клиентская часть реализована как под гаджеты так и под винду. Под винду вот: http://www.dasoftlab.som/wgotp/ |
||
|
0 / 0 / 0
Регистрация: 18.03.2010
Сообщений: 2,230
|
|
| 25.02.2013, 17:10 | |
|
софтовый вариант (в смысле на телефоне, в компе, в планшете) может быть куда проще скомпрометирован, чем урезанный по самое немогу девайсик в мк.
0
|
|
|
otixd-v
|
|
| 25.02.2013, 20:36 | |
|
Голая теория, вопрос реализации софта. Все крупные производители OTP имеют SoftWare вариант генераторов.
Пять ключей не будеш с собой носить , пользователи тем более этого делать не будут ибо путаются. А захотят сломать, отберут ключ и пароль попросят отдать... Вообщем тут как всегда - цена вопроса / цена информации. |
|
|
0 / 0 / 0
Регистрация: 18.03.2010
Сообщений: 2,230
|
|
| 25.02.2013, 21:34 | |
|
otixd-v, на планшетах и компах ты сам себе трояна подцепишь, который все твои ключи и пароли перешлет куда надо, и отбирать ничего не придется. троянов, ворующих ключи, ну ооочень дохрена и уже оооочень давно. большинство сайтов, например, именно так и поломано. а вот с ОТР просто так ничего не украдешь, только mitm творить.
0
|
|
|
otixd-v
|
|
| 26.02.2013, 11:15 | |
|
что-то не видел я вирусов под iphone / ipad , да и даже если вирус, то что ? При чём тут генератор, даже его стащат ? Вообщем все эти вопросы решаемы.
Еще раз повторюсь, тот же RSA выпускает софт токены и все нормально работает. Отдельные железки это не удобно и дорого, говорю как практик. |
|
|
0 / 0 / 0
Регистрация: 18.03.2010
Сообщений: 2,230
|
|
| 26.02.2013, 15:02 | |
|
то, что кто-то что-то не видел - проблема только того, кто не видел. страус тоже голову в песок прячет и что-то там думает.
ладно, зайдем с другой стороны. я не отрицаю, что софтовые решения проще, удобнее и дешевле, это очевидно. НАХРЕНА тогда вообще придумали брелки? нахрена в банках выдают карточки с одноразовыми паролями? дураки, наверное? ;)
0
|
|
|
0 / 0 / 0
Регистрация: 30.09.2012
Сообщений: 33
|
|
| 27.02.2013, 13:36 | |
|
Основная причина тому - эдакая "разнессеность". Если вы теряете только брелок, то крайне сложно потом идентифицировать вас, как клиента банка. Брелок и брелок, на них обычно вообще ничего не написано. А если вы теряете ту же трубу с софт-генератором, то тут уже лажа: куча личных данных, а если пошерстить вашу почтовую переписку, наверняка и номер Р/С найти можно. Тоесть, есть почти 100% вероятность получения несанкционированного доступа к вашему банковскому счету.
Опять таки, как писалось выше, с мобилки любая инфа утягивается элементарно всякими троянами, с брелока же осуществить удаленный съем инфы очень сложно.
0
|
|
|
0 / 0 / 0
Регистрация: 30.01.2010
Сообщений: 1,031
|
|
| 27.02.2013, 18:13 | |
|
был у меня такой брелок для рабочего випиена - нахер выкинул, неудобняк жудкий, поднял свой vpn сервак на работе и проковырял к нему доступ. в банках может оно и оправдано, но это когда речь идет о миллионных транзакциях, а для обычных переводов меня очень радует сбер - до 100тыщь подтверждение по смс, до 500тыщь подтверждение голосом с кучей вопросов по идентификации личности.
это я к вопросу есть ли хоть килобайт инфы которое стоит так защищать? может модема GSM который шлет временные пароли через sms вполне достаточно? а если реально все очень секурно и инфа стоит мильен даже пусть рублей - закупите готовых брелков не жмитесь, красивее, компактнее и живучее сами не сделаете. (у меня брелок тот живет уже лет 7 и нигическим образом батарейка все жива)
0
|
|
|
0 / 0 / 0
Регистрация: 18.03.2010
Сообщений: 2,230
|
|
| 27.02.2013, 20:10 | |
|
а сколько стоит компромат на себя любимого?
0
|
|
|
0 / 0 / 0
Регистрация: 30.09.2012
Сообщений: 33
|
||
| 27.02.2013, 22:27 | ||
ЗЫ: По приезду, кстати, пошел с банка брелок стребовать, по указаным выше соображениям. Сказали, что они этим заниматься не будут, только смс-верификация. Пришлось менять банк.
0
|
||
|
0 / 0 / 0
Регистрация: 20.06.2010
Сообщений: 454
|
|
| 28.02.2013, 01:01 | |
|
смс верификация - это не для построения чего-либо серьезного, хотя бы по той причине, что смс - сервис с негарантированной доставкой.
Европейские банки дают маленький кард-ридер, с помощью которого (+карта) можно подтверждать транзакции. Читал (сам не видел), что так же начинает работать ВТБ24. Для VPN и аутентификации в прочие системы - токен - самое прямое решение. Только не нужно его на липучке/цепочке к ноуту цеплять :) Софттокен имеет мало смысла - если ноутбук скомпроментирован, то и софттокен тоже. Но, конечно, если защищать особо нечего, и все делается только чтоб соответствовать каким-нибудь указаниям регуляторов (и для удовлетворения аудиторов) то да, софттокен это выходю Процентов 80% решений кстати именно для этой цели - чтоб не приставали проверяющие. А тем у кого действительно есть что защищать раздаем нормальный токен.
0
|
|
|
0 / 0 / 0
Регистрация: 01.02.2013
Сообщений: 49
|
|
| 24.03.2013, 18:54 | |
|
http://hackaday.som/2012/09/20/token-au ... nos-watch/
Тут Вам и MSP430 и OTP. И, кстати, в очень удобном корпусе
0
|
|
|
vk2
|
|
| 02.04.2013, 00:40 | |
|
Вот пример реализации OTP (работает с GMail, Dropbox, Amazon): http://habrahabr.ru/post/154229/, там все очень несложно, ресурсов msp430 будет достаточно, но нужно всегда иметь точное время.
Вариант с MSP430/Chronos пробовал, но там часы идут так нестабильно.. и прошивки с поддержкой OTP "не очень", надо дописывать (например, нет поддержки нескольких провайдеров). |
|
| 02.04.2013, 00:40 | |
|
Помогаю со студенческими работами здесь
19
Брелок Starline a91 Вопрос STM32f429 работа с OTP One-time programmable bytes... брелок реагирующий на свист, хлопки Помогите Переделать Брелок с 315мГц на 433мГц Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Новые блоги и статьи
|
|||
|
Конвертировать закладки radiotray-ng в m3u-плейлист
damix 19.02.2026
Это можно сделать скриптом для PowerShell. Использование
. \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json>
Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом.
# Check if. . .
|
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI
Eddy_Em 18.02.2026
Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так:
https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347
Основана на STM32F303RBT6.
На борту пять. . .
|
Символьное дифференцирование
igorrr37 13.02.2026
/ *
Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет
значение производной при заданном х
Логарифм записывается как: (x-2)log(x^2+2) -. . .
|
Камера Toupcam IUA500KMA
Eddy_Em 12.02.2026
Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
|
|
И ясному Солнцу
zbw 12.02.2026
И ясному Солнцу,
и светлой Луне.
В мире
покоя нет
и люди
не могут жить в тишине.
А жить им немного лет.
|
«Знание-Сила»
zbw 12.02.2026
«Знание-Сила»
«Время-Деньги»
«Деньги -Пуля»
|
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров
8Observer8 12.02.2026
Содержание блога
Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
|
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image)
8Observer8 11.02.2026
Содержание блога
Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .
|