Este é unha aplicación para acceder aos usuarios a través do seu teléfono móbil, por descifrar un código de uso único cifrado polo servidor usando unha clave pública. A aplicación pode ser usado para calquera servizo web que aplica este método de autenticación.
(Ver o rastreador GitHub para máis información sobre como aplicar esta identificación do lado do servidor)
A aplicación pode ser usado con número ilimitado de terceiros de confianza, como a mesma clave pública é usada con todas as partes. Xa que a aplicación está rexistrado, a aplicación xera un par de chaves de dispositivo específico que está presente para toda a vida útil da aplicación (ata a súa desinstalar). Actualizando a aplicación non pode eliminar a clave todo.
GitHub Tracker: https://github.com/sebastiannielsen/QRSA
Requisitos para executar a aplicación:
1. O teléfono debe soportar o almacenamento baseado en hardware. Este é un dispositivo de almacenamento que utiliza un "chip de seguridade" no teléfono, facendo imposible para copiar a chave de apagar o teléfono.
2. A tenda debe ser iniciado. Ás veces é posíbel iniciar o almacenamento a través da creación dunha pantalla de bloqueo PIN, e despois é só xerar unha chave. Eliminar a pantalla de bloqueo xeralmente manterá a clave, a menos que as propiedades da clave foi configurado para esixir a pantalla de bloqueo.
3. Nalgúns casos, debe ser utilizada nunha pantalla de bloqueo seguro. Iso depende do modelo do seu teléfono.
4. O chip seguro dentro do seu teléfono, debe apoiar as operacións en base a 2048 bits RSA / BCE / PKCS1.5
5. Nalgúns casos, un teléfono enraizada pode desactivar permanentemente o chip de seguridade por razóns de seguridade.
Para facelo, ten que publicar o qrsa URL: // e dun navegador ou similar. Tamén pode rexistrar a través dun URL de retorno de chamada, mediante qrsa: // u. Para usar u, primeiro ten que engadir un "s" se quere usar HTTPS, ou calquera outra cousa para HTTP. Entón, todo o URL a ser chamado, sen o esquema, en formato URLSafe Base64. A clave pública será adxunto ó final da URL. Se o seu dispositivo é incompatible, el pode voltar INCOMPATIBLE_DEVICE ea súa responsabilidade para volver unha mensaxe de erro significativo para o usuario.
Para acceder, publicar o qrsa url: // s ou qrsa: // c seguido URLSafe Base64 datos codificados do texto cifrado RSA chave pública en formato padding :: OTP :: MENSAXE :: :: hash estofado. A acción "s" está deseñado para eventos dixitalizados e amosará como texto OTP na pantalla. A acción "c" está deseñado para eventos clic. A diferenza é que os eventos de clic fará que o código de OTP para ser colocadas no portarretallos do usuario no seu lugar, para que o usuario inmediatamente pode avanzar pegar o código no campo OTP.
Hash está construído a través da creación dun md5 de OTP + MENSAXE + OTP, onde + denota concatenación. Este hash protexe contra algunhas formas ásperas de ataques maleabilidade sobre o texto cifrado. A construción prensa impide que un atacante de mover o separador entre OTP e mensaxe.
Nótese que as capturas de pantalla da aplicación foi intencionadamente censurada para evitar violacións de marcas rexistradas e / ou dereitos de autor (UI de aplicacións Android e outros están protexidos por copyright), como a interacción da aplicación subministrado a través dunha caixa de diálogo que aparece na parte superior da vocación app que causou a autenticación para pasar.
Se hai algunha pregunta sobre a aplicación, pode atopar o código de exemplo e máis instrucións na páxina GitHub público, esta aplicación é Open Source.
Ademais, Sinto-se libre para crear ningún problema en rastreador GitHub público.
Última actualización
1 de ago. de 2016