One Time Password | Tag | ohneKontur - der Blog https://www.ohnekontur.de ohne Linien und Kanten und trotzdem gefangen Fri, 28 Nov 2014 09:54:19 +0000 en-US hourly 1 https://wordpress.org/?v=6.4.5 [ One Time Password Token ] Schritt 1 ☑ https://www.ohnekontur.de/2011/12/11/one-time-password-token-schritt-1-%e2%98%91/ https://www.ohnekontur.de/2011/12/11/one-time-password-token-schritt-1-%e2%98%91/#respond Sun, 11 Dec 2011 13:24:49 +0000 http://www.ohnekontur.de/?p=1667 Nachdem die Idee mitlerweile schon einiges an Tagen auf dem Buckel hat, ist die Umsetzung etwas vorrangeschritten und es existiert ein Prototyp. Er besteht quasi nur aus einem AVR ATMEGA8, der sowohl die Prüfsumme (konkret einen SHA-256) über das Secret … Continue reading

The post [ One Time Password Token ] Schritt 1 ☑ first appeared on ohneKontur - der Blog.]]>
Nachdem die Idee mitlerweile schon einiges an Tagen auf dem Buckel hat,
ist die Umsetzung etwas vorrangeschritten und es existiert ein Prototyp.

Er besteht quasi nur aus einem AVR ATMEGA8, der sowohl die Prüfsumme (konkret einen SHA-256) über das Secret berechnet, als auch zum PC hin USB spricht.
Konkret meldet er sich als Tastatur gegenüber dem PC und kann dadurch sehr simpel und quasi überall die Prüfsumme auf den PC übertragen.
Auf der PC Seite (auf dem die Tokeneingabe verifiziert werden soll), existiert derzeit ein PAM-Modul, welches die eigaben des Tokens prüfen kann.

Als nächste Schritte steht jetzt an,
das ganze nicht nur funktionstüchtig, sondern auch ordnetlich umzustezen:
den Schaltplan (der dank eines guten Eagle-Vortrags existiert) in ein ätzbares, möglichst USB-Stickartiges Layout zu verwandelen
und den Source-Code zu struckturieren.

The post [ One Time Password Token ] Schritt 1 ☑ first appeared on ohneKontur - der Blog.]]>
https://www.ohnekontur.de/2011/12/11/one-time-password-token-schritt-1-%e2%98%91/feed/ 0
Idee für ein One Time Password Token https://www.ohnekontur.de/2011/10/07/idee-fur-ein-one-time-password-token/ https://www.ohnekontur.de/2011/10/07/idee-fur-ein-one-time-password-token/#respond Fri, 07 Oct 2011 09:52:22 +0000 http://www.ohnekontur.de/?p=1658 Aus spielerrei Gründen, und weil mich die Technik interessiert, kam mir neulich die Idee mir selber ein Token (kleines Stück Hardware) zu bauen, welches “Einmalpasswörter” zum Login erzeugt. Genauer soll es ein Baustein werden, der per USB eingesteckt wird, und … Continue reading

The post Idee für ein One Time Password Token first appeared on ohneKontur - der Blog.]]>
Aus spielerrei Gründen, und weil mich die Technik interessiert,
kam mir neulich die Idee mir selber ein Token (kleines Stück Hardware) zu bauen, welches “Einmalpasswörter” zum Login erzeugt.
Genauer soll es ein Baustein werden, der per USB eingesteckt wird, und auf Knopfdruck ein “Einmalpasswort” an den PC übergeben wird.
Das “Einmalpasswort” soll eine Kombination aus Zeichen sein, die von der Gegenseite verifiziert werden kann, und nur für eine Verwendung gültig ist.

Soviel als generelle Einleitung, auf zur eigentlichen Umsetzungsidee:
Die Idee ist, dass sowohl der Token, als auch die Gegenstelle ein Geheimnis teilen (als Beispiel “geheim123”) . Dieses Geheimnis muss vor der ersten Verwendung einmal über einen sicheren Weg ausgetauscht werden.
Danach werden Einmalpasswörter erzeugt, indem eine Prüfsumme (Hash) über das Geheimnis erstellt, und das Geheimnis selber auf ein festgelegte Art verändert wird (z.B. die letzte Stelle hochgezählt).

HASH("geheim123") ----> 576aa4c2e8948b2a10d21617d3a84085

Diese Ziffernfolge wird dann übertragen, die Gegenseite bildet ebenfalls den Hash über das Geheimnis und Prüft ob der übermittelte String übereinstimmt.
Im Anschluss wird das Geheimnis auf beiden Seiten verändert, z.B. zu “geheim124”.
Dies führt zu einem neuen Hash

HASH("geheim124") ----> 3942664d5ea817efbdbbd603b5521d6a

dieser wäre dann das zweite Einmalpasswort, und so weiter.

WICHTIG zum Thema Sicherheit !
Das hier beschriebene ist einfach nur eine Idee von einem Laien.
Es gibt keinerlei Grund zu der Annahme das das Verfahren als “Sicher” angesehen werden kann. Soll das Verfahren “Sicher” sein, dann sollte dringend etwas gewählt werden, dass mehrfach von Spezialisten reviewd wurde. Das RFC 4226 spzifiziert z.B. so etwas (ganz ähnlich zu der Idee hier).

Ich persönlich sehe das Ganze vorallem als Lernprojekt, und werde es nur zusätzlich zu einem herkömlichen Passwort verwenden (welches ich vorher allein verwendet habe).

The post Idee für ein One Time Password Token first appeared on ohneKontur - der Blog.]]>
https://www.ohnekontur.de/2011/10/07/idee-fur-ein-one-time-password-token/feed/ 0