QRSA OTP Authentication
1 tys.+
Pobrane
Dla wszystkich
info
Informacje o aplikacji
Jest to aplikacja do uwierzytelniania użytkowników za pomocą swoich telefonów komórkowych, poprzez odszyfrowanie hasła jednorazowego zaszyfrowany przez serwer przy użyciu klucza publicznego. Aplikacja nadaje się do jakiejkolwiek usługi internetowej, która implementuje tę metodę uwierzytelniania.
(Patrz trackera GitHub Więcej informacji na temat sposobu wdrażania tej uwierzytelniania po stronie serwera)
Aplikacja może być używana z nieograniczonej liczby stron ufających, ponieważ ten sam klucz publiczny jest używany ze wszystkimi stronami. Gdy aplikacja jest zapisany, aplikacja generuje parę kluczy sprzętowych, które utrzymuje się przez cały okres aplikacji (aż do jego odinstalowaniu). Aktualizacja aplikacji nie kasuje klawisz jednak.
Github Tracker: https://github.com/sebastiannielsen/QRSA
Wymagania do uruchamiania aplikacji:
1. Telefon musi obsługiwać przy założeniu sprzętu. Jest to składowanie, że wykorzystuje "układ zabezpieczający" wewnątrz telefonu, co uniemożliwia skopiowanie klucza wyłączania telefonu.
2. sklepu musi być zainicjowany. Czasami jego możliwości zainicjowania sklepu poprzez utworzenie ekran blokady PIN, a potem po prostu generowania klucza. Zdejmowanie blokady ekranu zwykle zachować klucz, chyba najważniejsze właściwości był ustawiony tak, aby wymagać ekran blokady.
3. W niektórych przypadkach, bezpieczne blokady ekranu należy go używać. Zależy to od modelu telefonu.
4. Bezpieczny układ wewnątrz telefonu, musi obsługiwać operacje oparte na 2048 bit RSA / EBC / PKCS1.5
5. W niektórych przypadkach, może trwale zakorzenione telefonu wyłączenie układu zabezpieczającego ze względów bezpieczeństwa.
Aby zapisać, należy uruchomić qrsa URL: // e z przeglądarki lub podobne. Można również zapisać się za pośrednictwem adresu URL wywołania zwrotnego, za pomocą qrsa: // u. Aby skorzystać u, należy najpierw dołączyć "S", jeśli chcesz korzystać z protokołu HTTPS, lub cokolwiek innego dla HTTP. Wtedy cała URL nazywać bez programu w formacie URLSafe Base64. Klucz publiczny zostanie dołączona do końca URL. Jeśli urządzenie jest niekompatybilne, zwróci INCOMPATIBLE_DEVICE a jej swój obowiązek zwrócić znaczący komunikat dla użytkownika.
Aby uwierzytelnić, uruchomieniu qrsa URL: // s lub qrsa: // c następuje URLSafe base64 zakodowanych danych z kluczem publicznym RSA zaszyfrowanego tekstu w formacie wyściółka OTP :: :: :: Przesłanie HASH :: wyściółką. "S" działanie jest przeznaczony dla skanowanych wydarzeń i pokaże jak tekst OTP na ekranie. "C" Akcja przeznaczona jest dla zdarzeń kliknięcia. Różnica polega na tym, że zdarzenia kliknięcie spowoduje kod OTP należy umieścić w schowku użytkownika zamiast, dzięki czemu użytkownik może natychmiast przystąpić do wklejania kodu wewnątrz pola OTP.
HASH jest skonstruowana poprzez stworzenie md5 z OTP + + message OTP, gdzie + oznacza ciąg konkatenacji. Ten HASH chroni przed niektórymi formami ataków szorstkich kowalność na zaszyfrowanym tekście. Wciśnięta konstrukcja uniemożliwia atakującemu przesuwaniu separator między OTP i wiadomości.
Zauważ, że zrzuty ekranu aplikacji został celowo cenzurowane, aby zapobiec znaków towarowych i / lub prawem autorskim naruszeń (UI Androida i inne aplikacje są chronione prawami autorskimi), a interakcja w aplikacji jest poprzez okno dialogowe, które pojawiają się na górze powołania app, który spowodował, że uwierzytelnianie się zdarzyć.
Jeśli nie ma żadnych problemów w aplikacji można znaleźć przykładowy kod i więcej instrukcji na publicznej stronie GitHub, ponieważ ta aplikacja jest Open Source.
Ponadto, nie krępuj się tworzyć żadnych problemów w publicznym trackerze github.
(Patrz trackera GitHub Więcej informacji na temat sposobu wdrażania tej uwierzytelniania po stronie serwera)
Aplikacja może być używana z nieograniczonej liczby stron ufających, ponieważ ten sam klucz publiczny jest używany ze wszystkimi stronami. Gdy aplikacja jest zapisany, aplikacja generuje parę kluczy sprzętowych, które utrzymuje się przez cały okres aplikacji (aż do jego odinstalowaniu). Aktualizacja aplikacji nie kasuje klawisz jednak.
Github Tracker: https://github.com/sebastiannielsen/QRSA
Wymagania do uruchamiania aplikacji:
1. Telefon musi obsługiwać przy założeniu sprzętu. Jest to składowanie, że wykorzystuje "układ zabezpieczający" wewnątrz telefonu, co uniemożliwia skopiowanie klucza wyłączania telefonu.
2. sklepu musi być zainicjowany. Czasami jego możliwości zainicjowania sklepu poprzez utworzenie ekran blokady PIN, a potem po prostu generowania klucza. Zdejmowanie blokady ekranu zwykle zachować klucz, chyba najważniejsze właściwości był ustawiony tak, aby wymagać ekran blokady.
3. W niektórych przypadkach, bezpieczne blokady ekranu należy go używać. Zależy to od modelu telefonu.
4. Bezpieczny układ wewnątrz telefonu, musi obsługiwać operacje oparte na 2048 bit RSA / EBC / PKCS1.5
5. W niektórych przypadkach, może trwale zakorzenione telefonu wyłączenie układu zabezpieczającego ze względów bezpieczeństwa.
Aby zapisać, należy uruchomić qrsa URL: // e z przeglądarki lub podobne. Można również zapisać się za pośrednictwem adresu URL wywołania zwrotnego, za pomocą qrsa: // u. Aby skorzystać u, należy najpierw dołączyć "S", jeśli chcesz korzystać z protokołu HTTPS, lub cokolwiek innego dla HTTP. Wtedy cała URL nazywać bez programu w formacie URLSafe Base64. Klucz publiczny zostanie dołączona do końca URL. Jeśli urządzenie jest niekompatybilne, zwróci INCOMPATIBLE_DEVICE a jej swój obowiązek zwrócić znaczący komunikat dla użytkownika.
Aby uwierzytelnić, uruchomieniu qrsa URL: // s lub qrsa: // c następuje URLSafe base64 zakodowanych danych z kluczem publicznym RSA zaszyfrowanego tekstu w formacie wyściółka OTP :: :: :: Przesłanie HASH :: wyściółką. "S" działanie jest przeznaczony dla skanowanych wydarzeń i pokaże jak tekst OTP na ekranie. "C" Akcja przeznaczona jest dla zdarzeń kliknięcia. Różnica polega na tym, że zdarzenia kliknięcie spowoduje kod OTP należy umieścić w schowku użytkownika zamiast, dzięki czemu użytkownik może natychmiast przystąpić do wklejania kodu wewnątrz pola OTP.
HASH jest skonstruowana poprzez stworzenie md5 z OTP + + message OTP, gdzie + oznacza ciąg konkatenacji. Ten HASH chroni przed niektórymi formami ataków szorstkich kowalność na zaszyfrowanym tekście. Wciśnięta konstrukcja uniemożliwia atakującemu przesuwaniu separator między OTP i wiadomości.
Zauważ, że zrzuty ekranu aplikacji został celowo cenzurowane, aby zapobiec znaków towarowych i / lub prawem autorskim naruszeń (UI Androida i inne aplikacje są chronione prawami autorskimi), a interakcja w aplikacji jest poprzez okno dialogowe, które pojawiają się na górze powołania app, który spowodował, że uwierzytelnianie się zdarzyć.
Jeśli nie ma żadnych problemów w aplikacji można znaleźć przykładowy kod i więcej instrukcji na publicznej stronie GitHub, ponieważ ta aplikacja jest Open Source.
Ponadto, nie krępuj się tworzyć żadnych problemów w publicznym trackerze github.
Ostatnia aktualizacja
Podstawą bezpieczeństwa jest wiedza o tym, jak deweloperzy zbierają i udostępniają Twoje dane. Sposoby zapewniania prywatności i bezpieczeństwa danych mogą się różnić w zależności od użycia aplikacji, regionu i wieku użytkownika. Te informacje podał deweloper i z czasem może je aktualizować.
Żadne dane nie są udostępniane innym firmom
Dowiedz się więcej o deklarowaniu udostępniania danych przez deweloperów
Aplikacja nie zbiera danych
Dowiedz się więcej o deklarowaniu zbierania danych przez deweloperów
Co nowego
1.4:
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.