QRSA OTP Authentication

Това е приложение за удостоверяване на потребителите чрез своя мобилен телефон, чрез декодиране парола еднократно криптирана от сървъра с помощта на публичен ключ. Приложението е използваема за всеки уеб услуга, която реализира този метод на удостоверяване.
(Виж на GitHub тракера повече информация за това как да се приложи това удостоверяване на страната на сървъра)
Приложението може да се използва с неограничен брой разчитат страни, както и същ публичен ключ се използва с всички страни. След като приложението е записано, приложението генерира ключова двойка на конкретното устройство, че е присъствал на целия жизнен цикъл на приложението (докато му демонтиран). Актуализиране на приложението няма да изтрие ключът обаче.

Github Tracker: https://github.com/sebastiannielsen/QRSA

Предпоставки за стартиране на приложението:
1. Телефонът трябва да поддържа хардуерно базирани съхранение. Това е склад, който използва "Security Chip" вътре в телефона, което прави невъзможно да копирате ключа изключване на телефона.
2. Магазинът трябва да се инициализира. Понякога е възможно неговото инициализиране на магазина чрез създаване на екрана за заключване ПИН код, а след това просто генериране на ключ. Премахване на заключване на екрана обикновено ще пази ключа, освен ако ключовите свойства е настройка да се изисква за заключване на екрана.
3. В някои случаи, трябва да се използва защитен екран за заключване. Това е в зависимост от модела на телефона.
4. защитен чип вътре телефон, трябва да поддържа операциите въз основа на 2048 битов RSA / ЕЦБ / PKCS1.5
5. В някои случаи, а корени телефон може постоянно деактивиране на защитния чип от съображения за сигурност.

За да се запишете, трябва да започне на URL qrsa: // Е от браузъра или подобен. Можете също така да се запишат чрез URL обаждане, чрез използване на qrsa: // ф. За да използвате ф, първо трябва да прикрепите "S", ако искате да използвате HTTPS, или нещо друго за HTTP. Тогава целият URL да се нарече, БЕЗ схемата, в URLSafe Base64 формат. Публичният ключ ще бъде приложена до края на URL. Ако устройството е несъвместима, тя ще се върне INCOMPATIBLE_DEVICE и неговата Ваша отговорност е да се върне смислено съобщение за грешка на потребителя.

За да удостовери, стартиране на URL qrsa: // S или qrsa: // в последвано от URLSafe Base64 кодирани данни на шифрован текст на RSA публичен ключ в подложка за формат :: OTP :: ПОСЛАНИЕ :: HASH :: ПЪЛНЕЖ. В "и" действието е предназначена за сканирани събития и ще се покаже като OTP текст на екрана. "С" действието е предназначена за клик събития. Разликата е, че за щракване събития ще причинят кода OTP да бъдат пуснати в клипборда на потребителя, вместо, така че потребителят може веднага да се пристъпи към поставянето на кода вътре поле ОТП.
HASH е конструиран чрез създаване на md5 от OTP + ПОСЛАНИЕ + ОТП, където + означава съединяване на низове. Това HASH предпазва от някои груби форми на отстъпчивост атаки срещу криптирана текст. The скрепени изграждането пречи на нападателя от движещи сепаратора между OTP и послание.

Имайте предвид, че скрийншота на приложението е било умишлено цензурирани за предотвратяване на търговски марки и / или авторските им права нарушения (UI на Android и други приложения са със защитени авторски права), като взаимодействието в приложението се предоставя чрез диалогов прозорец, който се появи на върха на призванието приложение, което е причинило автентичността да се случи.

Ако има някакви въпроси относно приложението, можете да намерите примерен код и повече инструкции на страницата на общественото GitHub, като това приложение е Open Source.
Също така, не се колебайте да се създаде никакви проблеми в тракера обществения GitHub.