s*****k
发帖数: 604 | 1 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
,就能登录了。
问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
那串字符登录了。必须用密码生成器原理重新生成一个。
请问那位大侠知道这是什么原理? |
a9
发帖数: 21638 | 2 用“计算器”的时间做种子生成随机数吧。
【在 s*****k 的大作中提到】
: 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
: 你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
: ,就能登录了。
: 问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
: 那串字符登录了。必须用密码生成器原理重新生成一个。
: 请问那位大侠知道这是什么原理?
|
z**r
发帖数: 17771 | 3 主要就是你的token和server之间是time synced,这样根据你pre-defined key chain
(4 digits in your case),两边可以算出同样的密码,然后对上就可以了
【在 s*****k 的大作中提到】
: 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
: 你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
: ,就能登录了。
: 问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
: 那串字符登录了。必须用密码生成器原理重新生成一个。
: 请问那位大侠知道这是什么原理?
|
a9
发帖数: 21638 | 4 这个东西也挺有意思。估计比普通的电子表得准。难道是精确到分钟数的?
chain
录框
成的
【在 z**r 的大作中提到】
: 主要就是你的token和server之间是time synced,这样根据你pre-defined key chain
: (4 digits in your case),两边可以算出同样的密码,然后对上就可以了
|
w*r
发帖数: 2421 | 5 RSA soft token
http://en.wikipedia.org/wiki/SecurID
【在 a9 的大作中提到】
: 这个东西也挺有意思。估计比普通的电子表得准。难道是精确到分钟数的?
:
: chain
: 录框
: 成的
|
a9
发帖数: 21638 | 6 我的问题是怎么精确对时的。
【在 w*r 的大作中提到】
: RSA soft token
: http://en.wikipedia.org/wiki/SecurID
|
S*A
发帖数: 7142 | 7 其实不是很精确。 server 端允许有一定漂移,例如一个序列。
每次用的时候同时也是 sync client 上面的漂移到什么地方了。
server 端有密钥,可以算出上一个和下一个是什么。如果对的话
可以调整。如果调整的话会要用户等一下连续输入两个序列。
【在 a9 的大作中提到】
: 我的问题是怎么精确对时的。
|
N**********d
发帖数: 9292 | 8 一开始要同步一下的
按一下,显示数字,输入系统
然后等数字消失,再按,显示数字,再输入系统,这才算完
【在 a9 的大作中提到】
: 我的问题是怎么精确对时的。
|
v*s
发帖数: 946 | 9 这种要输入密码的token还没见过呢。
能不能发个照片看看?
【在 s*****k 的大作中提到】
: 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
: 你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
: ,就能登录了。
: 问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
: 那串字符登录了。必须用密码生成器原理重新生成一个。
: 请问那位大侠知道这是什么原理?
|
S*A
发帖数: 7142 | 10 就和名片那么大的计算器差不多。
【在 v*s 的大作中提到】
: 这种要输入密码的token还没见过呢。
: 能不能发个照片看看?
|
|
|
N****w
发帖数: 21578 | 11 比较普通的是里面带一个 public key
给你的密码加个随机的salt数算一个数,这个 salt 其实就在生成的那串数字里
输入到公司服务器后能解密
最牛的是里面可能有个啥随机序列发生器跟公司的基准是同步的
【在 S*A 的大作中提到】
: 就和名片那么大的计算器差不多。
|
w*r
发帖数: 2421 | |
a9
发帖数: 21638 | 13 那个key fob咋搞ntp?
况且ntp也不准啊。
【在 w*r 的大作中提到】
: em.. NTP?
: http://en.wikipedia.org/wiki/Network_Time_Protocol
|
z*****a
发帖数: 471 | 14 是不是就和現在國内信用卡的密码生成器一樣呀
【在 s*****k 的大作中提到】
: 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
: 你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
: ,就能登录了。
: 问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
: 那串字符登录了。必须用密码生成器原理重新生成一个。
: 请问那位大侠知道这是什么原理?
|
r****t
发帖数: 10904 | 15 精确到秒没问题吧。
【在 a9 的大作中提到】
: 那个key fob咋搞ntp?
: 况且ntp也不准啊。
|
S*A
发帖数: 7142 | 16 RSA ID token 是允许一定时间漂移的范围的。
你每次登陆的时候就相当于在 server 上面 sync 一下,知道你在
哪个范围里。如果很长时间不用 RSA id 就容易 out of sync.
这时候要求你连续输入两组 token 上的数字来 re-sync.
不信你经常把 ID的数字换了才输入上一次的序列,一点一点
人为加大这个漂移。养成习惯经过足够长时间可以让你的 RSA ID
out of sync 出几秒来。
【在 r****t 的大作中提到】
: 精确到秒没问题吧。
|
a9
发帖数: 21638 | 17 看来不是用时间做种子生成随机数,而是有个字典,根据时间来决定使用哪个字典吧?
【在 S*A 的大作中提到】
: RSA ID token 是允许一定时间漂移的范围的。
: 你每次登陆的时候就相当于在 server 上面 sync 一下,知道你在
: 哪个范围里。如果很长时间不用 RSA id 就容易 out of sync.
: 这时候要求你连续输入两组 token 上的数字来 re-sync.
: 不信你经常把 ID的数字换了才输入上一次的序列,一点一点
: 人为加大这个漂移。养成习惯经过足够长时间可以让你的 RSA ID
: out of sync 出几秒来。
|
S*A
发帖数: 7142 | 18 不是啊,有个公钥,按照时间生成下个伪随机序列。序列住够长就行了。
字典那要多大的内存啊。
【在 a9 的大作中提到】
: 看来不是用时间做种子生成随机数,而是有个字典,根据时间来决定使用哪个字典吧?
|
d*b
发帖数: 21830 | 19 基本上没有一个人说对的。这个玩意的老爹叫kerberos,当然,子子孙孙无数,名字也
各有不同,但理论都是基于mit开发的kerberos:
http://web.mit.edu/kerberos/
这个算法还是需要出口许可证的,当然随便用没人管,但真要找你麻烦,这也算是一个
理由。
【在 s*****k 的大作中提到】
: 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
: 你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
: ,就能登录了。
: 问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
: 那串字符登录了。必须用密码生成器原理重新生成一个。
: 请问那位大侠知道这是什么原理?
|
s****n
发帖数: 786 | 20 teamviewer 也用了类似的方法
【在 s*****k 的大作中提到】
: 公司的VPN登录是这样的。他们给发一个计算器一样的东西。告诉你一个4位密码。
: 你用的时候,输入4位密码到这个“计算器”,就会得到一串字符串,将其输入登录框
: ,就能登录了。
: 问题是,每次生成的字符串都不一样,而且登录后如果sign out就不能再用原来生成的
: 那串字符登录了。必须用密码生成器原理重新生成一个。
: 请问那位大侠知道这是什么原理?
|
|
|
a9
发帖数: 21638 | 21 关键是这个密钥是怎么生成的。
录框
成的
【在 d*b 的大作中提到】
: 基本上没有一个人说对的。这个玩意的老爹叫kerberos,当然,子子孙孙无数,名字也
: 各有不同,但理论都是基于mit开发的kerberos:
: http://web.mit.edu/kerberos/
: 这个算法还是需要出口许可证的,当然随便用没人管,但真要找你麻烦,这也算是一个
: 理由。
|
S*A
发帖数: 7142 | 22 这个跟 Kerberos 貌似没有什么关系, Kerberos 就是个网络 protocol。
RSA SecureID 是被 RSA patented. 算法就是标准的 AES, 都被别人 reverse
engineer 过。
Since 2003, the RSA SecurID has been based on AES block cipher, the US
advanced crypto standard. The SecurID uses a 128-bit token-specific secret
key, and AES, to continuously generate a series of 60-second SecurID token-
codes by encrypting:
* a 64-bit standard ISO representation of Current Time (yr/mo/day/hour/
min/second),
* a 32-bit token-specific salt (the serial number of the token), and
* another 32 bits of padding.
看这个基本上原理都说很清楚了。这个密钥没有人知道具体 RSA
是如何生成的,都是 NDA 保密的。但是就讨论来说你可以认为是
基于 SecurID 序列号生成 32 位的伪随机数。只要保证这个 32 bit
的 salt 不重复就可以了。
http://www.linuxsecurity.com/resource_files/cryptography/initia
【在 a9 的大作中提到】
: 关键是这个密钥是怎么生成的。
:
: 录框
: 成的
|
w****y
发帖数: 2501 | 23 人家LZ问那远程密码生成器的原理,你却回答个non-secure network secure
communication protocol。虽然VPN也用到了,但答非所问呀。
【在 d*b 的大作中提到】
: 基本上没有一个人说对的。这个玩意的老爹叫kerberos,当然,子子孙孙无数,名字也
: 各有不同,但理论都是基于mit开发的kerberos:
: http://web.mit.edu/kerberos/
: 这个算法还是需要出口许可证的,当然随便用没人管,但真要找你麻烦,这也算是一个
: 理由。
|
d*b
发帖数: 21830 | 24 抽空读下document吧,这玩意的基本概念早在70年代就产生了。我老2000年就有第一个
算号的token了,那时候RSA的玩意在哪里啊?现在我老kerberos的token, RSA的token
都有,基本思想都类似,主要的区别是kerberos可以人工更新密码,RSA的不能,只能
机器每60秒更新一次。
【在 w****y 的大作中提到】
: 人家LZ问那远程密码生成器的原理,你却回答个non-secure network secure
: communication protocol。虽然VPN也用到了,但答非所问呀。
|
s****n
发帖数: 1140 | 25 我草,你说的真考普,在sandia大家都用这个,呵呵
【在 d*b 的大作中提到】
: 基本上没有一个人说对的。这个玩意的老爹叫kerberos,当然,子子孙孙无数,名字也
: 各有不同,但理论都是基于mit开发的kerberos:
: http://web.mit.edu/kerberos/
: 这个算法还是需要出口许可证的,当然随便用没人管,但真要找你麻烦,这也算是一个
: 理由。
|
S*A
发帖数: 7142 | 26 你说的 document 有 Link 么?
你说的 Kerberos 的 token 是 software token 吧。
根据这个人说的 (2004)classic SecureID 算法沿用了 15 年,
SecureID 2003 换新的算法。
http://www.ward.nu/computer/dynchap/rsasecurid.html
从这里推算 SecureID 至少是 1988 以前的,甚至更多。
如果是有 prior art, 那 SecureID 的 patent 应该很容易
challenge 掉,是吧。
token
【在 d*b 的大作中提到】
: 抽空读下document吧,这玩意的基本概念早在70年代就产生了。我老2000年就有第一个
: 算号的token了,那时候RSA的玩意在哪里啊?现在我老kerberos的token, RSA的token
: 都有,基本思想都类似,主要的区别是kerberos可以人工更新密码,RSA的不能,只能
: 机器每60秒更新一次。
|
s****n
发帖数: 1140 | 27 别理他们,他们不懂,
我现在就用这个,呵呵
不过硬件是中国制造,你说,我党要是想破解,是不是也有办法?
token
【在 d*b 的大作中提到】
: 抽空读下document吧,这玩意的基本概念早在70年代就产生了。我老2000年就有第一个
: 算号的token了,那时候RSA的玩意在哪里啊?现在我老kerberos的token, RSA的token
: 都有,基本思想都类似,主要的区别是kerberos可以人工更新密码,RSA的不能,只能
: 机器每60秒更新一次。
|
s****n
发帖数: 1140 | 28 我现在呆的国家实验室的系统就是kerberos而且必须用那个小玩意才能登录
【在 S*A 的大作中提到】
: 你说的 document 有 Link 么?
: 你说的 Kerberos 的 token 是 software token 吧。
: 根据这个人说的 (2004)classic SecureID 算法沿用了 15 年,
: SecureID 2003 换新的算法。
: http://www.ward.nu/computer/dynchap/rsasecurid.html
: 从这里推算 SecureID 至少是 1988 以前的,甚至更多。
: 如果是有 prior art, 那 SecureID 的 patent 应该很容易
: challenge 掉,是吧。
:
: token
|
s****n
发帖数: 1140 | 29 大厦我现在开始崇拜你了
token
【在 d*b 的大作中提到】
: 抽空读下document吧,这玩意的基本概念早在70年代就产生了。我老2000年就有第一个
: 算号的token了,那时候RSA的玩意在哪里啊?现在我老kerberos的token, RSA的token
: 都有,基本思想都类似,主要的区别是kerberos可以人工更新密码,RSA的不能,只能
: 机器每60秒更新一次。
|
d*b
发帖数: 21830 | 30 呵呵,这些玩意有Unix那年就有了,kerberos也好,SecureID也好,都有software
token, 因为SecureID是商业软件,丫要你搭配卖丫的网关,一般不给你玩而已。而且
非IT公司里,你要给人发个software, tech support的成本可不是玩笑。
【在 S*A 的大作中提到】
: 你说的 document 有 Link 么?
: 你说的 Kerberos 的 token 是 software token 吧。
: 根据这个人说的 (2004)classic SecureID 算法沿用了 15 年,
: SecureID 2003 换新的算法。
: http://www.ward.nu/computer/dynchap/rsasecurid.html
: 从这里推算 SecureID 至少是 1988 以前的,甚至更多。
: 如果是有 prior art, 那 SecureID 的 patent 应该很容易
: challenge 掉,是吧。
:
: token
|
