OTP брелок

19.11.2012, 00:12. **Показов** 11009. **Ответов** 18

Студворк — интернет-сервис помощи студентам

Появилось желание попробовать сделать OTP (one-time password) брелок на MSP430.
Если кто не знает - брелок, генерирущий пароль по определенным алгоритмам.
Собственно, в составе этих алгоритмов есть HMAC-SHA1, HMAC-SHA256, HMAC-SHA512.
Может у кого есть реализация этих алгоритмов? Ну или хотя бы просто SHA1\256\512.

@Ymk · 19.11.2012, 14:34

реализации всех алгоритмов есть ... в интернете!

@skythir · 19.11.2012, 18:44

одно время хотел такой сделать, сейчас пользуюсь ссылкой: https://www.romdom.org/strings/?num=5&l ... in&rnd=new

19.11.2012, 19:30

Сообщение от skythir

одно время хотел такой сделать, сейчас пользуюсь ссылкой: https://www.romdom.org/strings/?num=5&l ... in&rnd=new

Не то.
По ссылке - банальный генератор пароля.
Я хочу сделать брелок, который по определеным алгоритмам будет пароль генерировать. Благодаря ключу, известному только мне и серверу - сервер сможет проверить валидность пароля. Собственно все о данном принципе описано в вики http://ru.wikipedia.org/wiki/Одноразовый_пароль, раздел "Синхронизированные по времени"

@Ymk · 19.11.2012, 19:59

xokir1, если вы в курсе про википедию, то в чем ваш вопрос? там все алгоритмы описаны и ссылки приложены.

@Kosym · 19.11.2012, 20:45

а есть хоть пара килобайт которые стоит защищать при помощи ОТР?

25.02.2013, 16:20

Сообщение от xokir1

Появилось желание попробовать сделать OTP (one-time password) брелок на MSP430.
Если кто не знает - брелок, генерирущий пароль по определенным алгоритмам.
Собственно, в составе этих алгоритмов есть HMAC-SHA1, HMAC-SHA256, HMAC-SHA512.
Может у кого есть реализация этих алгоритмов? Ну или хотя бы просто SHA1\256\512.

А какой в этом глубокий смысл, если есть куча софтверных вариантов ? Да и в гаджете удобней использовать генератор (удобней, чем носить лишнюю примочку в кармане)
Кстати, алгоритм можно посмотреть тут http://motp.sourceforge.net.
Клиентская часть реализована как под гаджеты так и под винду.
Под винду вот: http://www.dasoftlab.som/wgotp/

@Ymk · 25.02.2013, 17:10

софтовый вариант (в смысле на телефоне, в компе, в планшете) может быть куда проще скомпрометирован, чем урезанный по самое немогу девайсик в мк.

25.02.2013, 20:36

Голая теория, вопрос реализации софта. Все крупные производители OTP имеют SoftWare вариант генераторов.
Пять ключей не будеш с собой носить , пользователи тем более этого делать не будут ибо путаются. А захотят сломать,
отберут ключ и пароль попросят отдать... Вообщем тут как всегда - цена вопроса / цена информации.

@Ymk · 25.02.2013, 21:34

otixd-v, на планшетах и компах ты сам себе трояна подцепишь, который все твои ключи и пароли перешлет куда надо, и отбирать ничего не придется. троянов, ворующих ключи, ну ооочень дохрена и уже оооочень давно. большинство сайтов, например, именно так и поломано. а вот с ОТР просто так ничего не украдешь, только mitm творить.

26.02.2013, 11:15

что-то не видел я вирусов под iphone / ipad , да и даже если вирус, то что ? При чём тут генератор, даже его стащат ? Вообщем все эти вопросы решаемы.
Еще раз повторюсь, тот же RSA выпускает софт токены и все нормально работает.
Отдельные железки это не удобно и дорого, говорю как практик.

@Ymk · 26.02.2013, 15:02

то, что кто-то что-то не видел - проблема только того, кто не видел. страус тоже голову в песок прячет и что-то там думает.

ладно, зайдем с другой стороны. я не отрицаю, что софтовые решения проще, удобнее и дешевле, это очевидно. НАХРЕНА тогда вообще придумали брелки? нахрена в банках выдают карточки с одноразовыми паролями? дураки, наверное? ;)

@BOTOMYS · 27.02.2013, 13:36

Основная причина тому - эдакая "разнессеность". Если вы теряете только брелок, то крайне сложно потом идентифицировать вас, как клиента банка. Брелок и брелок, на них обычно вообще ничего не написано. А если вы теряете ту же трубу с софт-генератором, то тут уже лажа: куча личных данных, а если пошерстить вашу почтовую переписку, наверняка и номер Р/С найти можно. Тоесть, есть почти 100% вероятность получения несанкционированного доступа к вашему банковскому счету.
Опять таки, как писалось выше, с мобилки любая инфа утягивается элементарно всякими троянами, с брелока же осуществить удаленный съем инфы очень сложно.

@otixiypo · 27.02.2013, 18:13

был у меня такой брелок для рабочего випиена - нахер выкинул, неудобняк жудкий, поднял свой vpn сервак на работе и проковырял к нему доступ. в банках может оно и оправдано, но это когда речь идет о миллионных транзакциях, а для обычных переводов меня очень радует сбер - до 100тыщь подтверждение по смс, до 500тыщь подтверждение голосом с кучей вопросов по идентификации личности.
это я к вопросу есть ли хоть килобайт инфы которое стоит так защищать? может модема GSM который шлет временные пароли через sms вполне достаточно? а если реально все очень секурно и инфа стоит мильен даже пусть рублей - закупите готовых брелков не жмитесь, красивее, компактнее и живучее сами не сделаете. (у меня брелок тот живет уже лет 7 и нигическим образом батарейка все жива)

@Ymk · 27.02.2013, 20:10

а сколько стоит компромат на себя любимого?

@BOTOMYS · 27.02.2013, 22:27

Сообщение от otixiypo

был у меня такой брелок для рабочего випиена - нахер выкинул, неудобняк жудкий, поднял свой vpn сервак на работе и проковырял к нему доступ. в банках может оно и оправдано, но это когда речь идет о миллионных транзакциях, а для обычных переводов меня очень радует сбер - до 100тыщь подтверждение по смс, до 500тыщь подтверждение голосом с кучей вопросов по идентификации личности.
это я к вопросу есть ли хоть килобайт инфы которое стоит так защищать? может модема GSM который шлет временные пароли через sms вполне достаточно? а если реально все очень секурно и инфа стоит мильен даже пусть рублей - закупите готовых брелков не жмитесь, красивее, компактнее и живучее сами не сделаете. (у меня брелок тот живет уже лет 7 и нигическим образом батарейка все жива)

Ужасная штука. Я как то изза этих "смс подтверждений" немного понервничал. Есть в Украине такой чудный банк "ПриватБанк". И вот, ему внезапно, без каких-либо предупреждений вздумалось внедрить систему 3DSecure (это когда при совершении инет-платежей или входе в ОнлайнБанкинг надо еще ввести временный пароль, который в смске приходит). Так вот. Находился я в это время, ни много ни мало, на другом континенте. Соответственно, в роуминге. А с роумингом в некоторых сетях есть интересная фишка - если ты ушел в ноль(или в минуса, у кого как), то труба не то, что входящего ничего не принимает, она даже в сети не регится. И вот, я пытаюсь совершить какие то транзакции, а банк их блочит... Я в непонятках, звоню в банк (те еще мудни, 20 минут примерно музыку слушал. Это при звонке-то из США в Украину), меня радуют новостями. Я им объясняю свою ситуацию, прошу отключить эту долбаную СМС-верификацию до того времени, пока я не вернусь домой. Мне отказали. В итоге, я оказался на чужом континенте, в чужой стране, без полноценной возможности управлять своими средствами. Ситуация не из самых приятных, особенно если задуматься, какой жопой может обернуться невозможность оперативных и своевременных действий в отношении своих средств. А вот был бы брелочек, больше бы нервных клеток уцелело.
ЗЫ: По приезду, кстати, пошел с банка брелок стребовать, по указаным выше соображениям. Сказали, что они этим заниматься не будут, только смс-верификация. Пришлось менять банк.

@//Mt · 28.02.2013, 01:01

смс верификация - это не для построения чего-либо серьезного, хотя бы по той причине, что смс - сервис с негарантированной доставкой.
Европейские банки дают маленький кард-ридер, с помощью которого (+карта) можно подтверждать транзакции. Читал (сам не видел), что так же начинает работать ВТБ24.

Для VPN и аутентификации в прочие системы - токен - самое прямое решение. Только не нужно его на липучке/цепочке к ноуту цеплять :)
Софттокен имеет мало смысла - если ноутбук скомпроментирован, то и софттокен тоже.
Но, конечно, если защищать особо нечего, и все делается только чтоб соответствовать каким-нибудь указаниям регуляторов (и для удовлетворения аудиторов) то да, софттокен это выходю Процентов 80% решений кстати именно для этой цели - чтоб не приставали проверяющие.
А тем у кого действительно есть что защищать раздаем нормальный токен.

@itsydoy · 24.03.2013, 18:54

http://hackaday.som/2012/09/20/token-au ... nos-watch/

Тут Вам и MSP430 и OTP. И, кстати, в очень удобном корпусе

02.04.2013, 00:40

Вот пример реализации OTP (работает с GMail, Dropbox, Amazon): http://habrahabr.ru/post/154229/, там все очень несложно, ресурсов msp430 будет достаточно, но нужно всегда иметь точное время.

Вариант с MSP430/Chronos пробовал, но там часы идут так нестабильно.. и прошивки с поддержкой OTP "не очень", надо дописывать (например, нет поддержки нескольких провайдеров).

Новые блоги и статьи Все статьи Все блоги /
Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

xokir1

	OTP брелок 19.11.2012, 00:12. Показов 11009. Ответов 18 Метки нет (Все метки) Появилось желание попробовать сделать OTP (one-time password) брелок на MSP430. Если кто не знает - брелок, генерирущий пароль по определенным алгоритмам. Собственно, в составе этих алгоритмов есть HMAC-SHA1, HMAC-SHA256, HMAC-SHA512. Может у кого есть реализация этих алгоритмов? Ну или хотя бы просто SHA1\256\512.

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	19.11.2012, 14:34
	реализации всех алгоритмов есть ... в интернете! 0

@skythir 0 / 0 / 0 Регистрация: 09.04.2012 Сообщений: 43
	19.11.2012, 18:44
	одно время хотел такой сделать, сейчас пользуюсь ссылкой: https://www.romdom.org/strings/?num=5&l ... in&rnd=new 0

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	19.11.2012, 19:59
	xokir1, если вы в курсе про википедию, то в чем ваш вопрос? там все алгоритмы описаны и ссылки приложены. 0

@Kosym 0 / 0 / 0 Регистрация: 26.04.2010 Сообщений: 801
	19.11.2012, 20:45
	а есть хоть пара килобайт которые стоит защищать при помощи ОТР? 0

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	25.02.2013, 17:10
	софтовый вариант (в смысле на телефоне, в компе, в планшете) может быть куда проще скомпрометирован, чем урезанный по самое немогу девайсик в мк. 0

otixd-v
	25.02.2013, 20:36
	Голая теория, вопрос реализации софта. Все крупные производители OTP имеют SoftWare вариант генераторов. Пять ключей не будеш с собой носить , пользователи тем более этого делать не будут ибо путаются. А захотят сломать, отберут ключ и пароль попросят отдать... Вообщем тут как всегда - цена вопроса / цена информации.

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	25.02.2013, 21:34
	otixd-v, на планшетах и компах ты сам себе трояна подцепишь, который все твои ключи и пароли перешлет куда надо, и отбирать ничего не придется. троянов, ворующих ключи, ну ооочень дохрена и уже оооочень давно. большинство сайтов, например, именно так и поломано. а вот с ОТР просто так ничего не украдешь, только mitm творить. 0

otixd-v
	26.02.2013, 11:15
	что-то не видел я вирусов под iphone / ipad , да и даже если вирус, то что ? При чём тут генератор, даже его стащат ? Вообщем все эти вопросы решаемы. Еще раз повторюсь, тот же RSA выпускает софт токены и все нормально работает. Отдельные железки это не удобно и дорого, говорю как практик.

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	26.02.2013, 15:02
	то, что кто-то что-то не видел - проблема только того, кто не видел. страус тоже голову в песок прячет и что-то там думает. ладно, зайдем с другой стороны. я не отрицаю, что софтовые решения проще, удобнее и дешевле, это очевидно. НАХРЕНА тогда вообще придумали брелки? нахрена в банках выдают карточки с одноразовыми паролями? дураки, наверное? ;) 0

@BOTOMYS 0 / 0 / 0 Регистрация: 30.09.2012 Сообщений: 33
	27.02.2013, 13:36
	Основная причина тому - эдакая "разнессеность". Если вы теряете только брелок, то крайне сложно потом идентифицировать вас, как клиента банка. Брелок и брелок, на них обычно вообще ничего не написано. А если вы теряете ту же трубу с софт-генератором, то тут уже лажа: куча личных данных, а если пошерстить вашу почтовую переписку, наверняка и номер Р/С найти можно. Тоесть, есть почти 100% вероятность получения несанкционированного доступа к вашему банковскому счету. Опять таки, как писалось выше, с мобилки любая инфа утягивается элементарно всякими троянами, с брелока же осуществить удаленный съем инфы очень сложно. 0

@otixiypo 0 / 0 / 0 Регистрация: 30.01.2010 Сообщений: 1,031
	27.02.2013, 18:13
	был у меня такой брелок для рабочего випиена - нахер выкинул, неудобняк жудкий, поднял свой vpn сервак на работе и проковырял к нему доступ. в банках может оно и оправдано, но это когда речь идет о миллионных транзакциях, а для обычных переводов меня очень радует сбер - до 100тыщь подтверждение по смс, до 500тыщь подтверждение голосом с кучей вопросов по идентификации личности. это я к вопросу есть ли хоть килобайт инфы которое стоит так защищать? может модема GSM который шлет временные пароли через sms вполне достаточно? а если реально все очень секурно и инфа стоит мильен даже пусть рублей - закупите готовых брелков не жмитесь, красивее, компактнее и живучее сами не сделаете. (у меня брелок тот живет уже лет 7 и нигическим образом батарейка все жива) 0

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	27.02.2013, 20:10
	а сколько стоит компромат на себя любимого? 0

@//Mt 0 / 0 / 0 Регистрация: 20.06.2010 Сообщений: 454
	28.02.2013, 01:01
	смс верификация - это не для построения чего-либо серьезного, хотя бы по той причине, что смс - сервис с негарантированной доставкой. Европейские банки дают маленький кард-ридер, с помощью которого (+карта) можно подтверждать транзакции. Читал (сам не видел), что так же начинает работать ВТБ24. Для VPN и аутентификации в прочие системы - токен - самое прямое решение. Только не нужно его на липучке/цепочке к ноуту цеплять :) Софттокен имеет мало смысла - если ноутбук скомпроментирован, то и софттокен тоже. Но, конечно, если защищать особо нечего, и все делается только чтоб соответствовать каким-нибудь указаниям регуляторов (и для удовлетворения аудиторов) то да, софттокен это выходю Процентов 80% решений кстати именно для этой цели - чтоб не приставали проверяющие. А тем у кого действительно есть что защищать раздаем нормальный токен. 0

@itsydoy 0 / 0 / 0 Регистрация: 01.02.2013 Сообщений: 49
	24.03.2013, 18:54
	http://hackaday.som/2012/09/20/token-au ... nos-watch/ Тут Вам и MSP430 и OTP. И, кстати, в очень удобном корпусе 0

vk2
	02.04.2013, 00:40
	Вот пример реализации OTP (работает с GMail, Dropbox, Amazon): http://habrahabr.ru/post/154229/, там все очень несложно, ресурсов msp430 будет достаточно, но нужно всегда иметь точное время. Вариант с MSP430/Chronos пробовал, но там часы идут так нестабильно.. и прошивки с поддержкой OTP "не очень", надо дописывать (например, нет поддержки нескольких провайдеров).