QRSA OTP Authentication
1 tūkst.+
Lejupielādes
Visiem
info
Par šo lietotni
Tas ir app, lai autentificētu lietotājus, izmantojot savu mobilo tālruni, ar atšifrēšanas vienreizēju paroli šifrētu ar serveri, izmantojot publisko atslēgu. App ir izmantojamas jebkuras tīmekļa pakalpojumu, kas īsteno šo metodi autentifikāciju.
(Skatīt GitHub tracker, lai iegūtu vairāk informācijas par to, kā īstenot šo autentifikāciju uz servera pusē)
App var izmantot ar neierobežotu skaitu pārbaudītājiem, jo pats publiskā atslēga tiek izmantota ar visām iesaistītajām pusēm. Kad lietotne ir uzņemti, app rada ierīce specifisku keypair kas ir klāt visā kalpošanas laikā lietotni (līdz tā atinstalēta). app atjaunināšana netiks dzēst atslēgu tomēr.
GitHub Tracker: https://github.com/sebastiannielsen/QRSA
Priekšnoteikumi darbojas app:
1. tālrunim ir jāatbalsta aparatūras balstītu uzglabāšanu. Tas ir uzglabāšanas, kas izmanto "drošības Chip" iekšpusē tālruni, padarot neiespējamu kopēt atslēgu pie tālruni.
2. veikals ir inicializēts. Dažreiz tā iespējams inicializēt veikalu, izveidojot PIN bloķēšanas ekrānu, un tad tikai radot atslēgu. Noņemot bloķēšanas ekrānu parasti turēt taustiņu, ja vien galvenās īpašības bija setup pieprasīt bloķēšanas ekrānu.
3. Dažos gadījumos, droša slēdzene ekrānam ir jāizmanto. Tas ir atkarīgs no telefona modeļa.
4. Droša mikroshēma iekšā telefonu, ir jāatbalsta darbības pamatā 2048 bitu RSA / ECB / PKCS1.5
5. Atsevišķos gadījumos iesakņojies tālrunis var neatgriezeniski atspējot drošības mikroshēmu drošības apsvērumu dēļ.
Uzņemt, jums ir uzsākt URL qrsa: // e no pārlūkprogrammā vai līdzīga. Jūs varat uzņemt arī caur atzvanīšanas URL, izmantojot qrsa: // u. Lai izmantotu u, vispirms pievienot ar "S", ja jūs vēlaties izmantot HTTPS, vai kaut kas cits HTTP. Tad viss URL saukt bez shēmā, URLSafe base64 formātā. Publiskā atslēga tiks pievienots beigām URL. Ja ierīce nav saderīga, tā atgriezīsies INCOMPATIBLE_DEVICE un tā savu atbildību, lai atgrieztos jēgpilnu kļūdas ziņojums lietotājam.
Autentificēt, jūs uzsākt url qrsa: // s vai qrsa: // c seko URLSafe base64 kodētu datiem RSA publiskā atslēga šifrētu tekstu formātā PADDING :: OTP :: MESSAGE :: HASH :: polsterējums. "S" darbība ir paredzēta, lai skenētos notikumiem un rādīs kā OTP tekstu uz ekrāna. "C" darbība ir paredzēts klikšķi notikumiem. Atšķirība ir tā, ka klikšķu notikumiem radīs OTP kods jāliek lietotāja starpliktuvē vietā, lai lietotājs uzreiz var doties līmēšana kodu iekšpusē OTP laukā.
HASH ir veidots, izveidojot md5 no OTP + message + OTP, kur + apzīmē string konkatenācija. Tas HASH aizsargā pret dažiem neapstrādātiem formām piekāpība uzbrukumiem šifrētu tekstu. Iestiprināta konstrukcija novērš uzbrucējs no pārvietojas atdalītāju starp OTP un ziņu.
Ņemiet vērā, ka ekrānšāviņi lietotnes ir tīši cenzēti, lai novērstu preču zīmes un / vai autortiesību pārkāpumus (UI Android un citas progr ir autortiesību aizsargāta), kā mijiedarbība app sniedz caur dialoglodziņā, kas parādās virs aicinājuma app, kas izraisīja autentifikācijas notikt.
Ja ir kādi jautājumi par app, jūs varat atrast piemērs kodu un vairāk instrukcijas par publiskā GitHub lapā, jo tas app ir Open Source.
Arī justies brīvi, lai izveidotu jebkādus jautājumus publiskajā GitHub tracker.
(Skatīt GitHub tracker, lai iegūtu vairāk informācijas par to, kā īstenot šo autentifikāciju uz servera pusē)
App var izmantot ar neierobežotu skaitu pārbaudītājiem, jo pats publiskā atslēga tiek izmantota ar visām iesaistītajām pusēm. Kad lietotne ir uzņemti, app rada ierīce specifisku keypair kas ir klāt visā kalpošanas laikā lietotni (līdz tā atinstalēta). app atjaunināšana netiks dzēst atslēgu tomēr.
GitHub Tracker: https://github.com/sebastiannielsen/QRSA
Priekšnoteikumi darbojas app:
1. tālrunim ir jāatbalsta aparatūras balstītu uzglabāšanu. Tas ir uzglabāšanas, kas izmanto "drošības Chip" iekšpusē tālruni, padarot neiespējamu kopēt atslēgu pie tālruni.
2. veikals ir inicializēts. Dažreiz tā iespējams inicializēt veikalu, izveidojot PIN bloķēšanas ekrānu, un tad tikai radot atslēgu. Noņemot bloķēšanas ekrānu parasti turēt taustiņu, ja vien galvenās īpašības bija setup pieprasīt bloķēšanas ekrānu.
3. Dažos gadījumos, droša slēdzene ekrānam ir jāizmanto. Tas ir atkarīgs no telefona modeļa.
4. Droša mikroshēma iekšā telefonu, ir jāatbalsta darbības pamatā 2048 bitu RSA / ECB / PKCS1.5
5. Atsevišķos gadījumos iesakņojies tālrunis var neatgriezeniski atspējot drošības mikroshēmu drošības apsvērumu dēļ.
Uzņemt, jums ir uzsākt URL qrsa: // e no pārlūkprogrammā vai līdzīga. Jūs varat uzņemt arī caur atzvanīšanas URL, izmantojot qrsa: // u. Lai izmantotu u, vispirms pievienot ar "S", ja jūs vēlaties izmantot HTTPS, vai kaut kas cits HTTP. Tad viss URL saukt bez shēmā, URLSafe base64 formātā. Publiskā atslēga tiks pievienots beigām URL. Ja ierīce nav saderīga, tā atgriezīsies INCOMPATIBLE_DEVICE un tā savu atbildību, lai atgrieztos jēgpilnu kļūdas ziņojums lietotājam.
Autentificēt, jūs uzsākt url qrsa: // s vai qrsa: // c seko URLSafe base64 kodētu datiem RSA publiskā atslēga šifrētu tekstu formātā PADDING :: OTP :: MESSAGE :: HASH :: polsterējums. "S" darbība ir paredzēta, lai skenētos notikumiem un rādīs kā OTP tekstu uz ekrāna. "C" darbība ir paredzēts klikšķi notikumiem. Atšķirība ir tā, ka klikšķu notikumiem radīs OTP kods jāliek lietotāja starpliktuvē vietā, lai lietotājs uzreiz var doties līmēšana kodu iekšpusē OTP laukā.
HASH ir veidots, izveidojot md5 no OTP + message + OTP, kur + apzīmē string konkatenācija. Tas HASH aizsargā pret dažiem neapstrādātiem formām piekāpība uzbrukumiem šifrētu tekstu. Iestiprināta konstrukcija novērš uzbrucējs no pārvietojas atdalītāju starp OTP un ziņu.
Ņemiet vērā, ka ekrānšāviņi lietotnes ir tīši cenzēti, lai novērstu preču zīmes un / vai autortiesību pārkāpumus (UI Android un citas progr ir autortiesību aizsargāta), kā mijiedarbība app sniedz caur dialoglodziņā, kas parādās virs aicinājuma app, kas izraisīja autentifikācijas notikt.
Ja ir kādi jautājumi par app, jūs varat atrast piemērs kodu un vairāk instrukcijas par publiskā GitHub lapā, jo tas app ir Open Source.
Arī justies brīvi, lai izveidotu jebkādus jautājumus publiskajā GitHub tracker.
Atjaunināta
Drošība sākas ar izpratni par to, kā izstrādātāji vāc un kopīgo jūsu datus. Datu konfidencialitātes un drošības prakse var atšķirties atkarībā no izmantojuma, reģiona un vecuma. Izstrādātājs ir sniedzis šo informāciju un laika gaitā var to atjaunināt.
Dati netiek kopīgoti ar trešajām pusēm
Uzziniet vairāk par to, kā izstrādātāji norāda datu kopīgošanu.
Dati netiek vākti
Uzziniet vairāk par to, kā izstrādātāji norāda datu vākšanu.
Jaunumi
1.4:
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.