QRSA OTP Authentication

1 илј.+
Преземања
Оцена на содржината
Сите
Слика од екранот
Слика од екранот

За апликацијава

Ова е еден стан да се идентификувате корисници преку својот мобилен телефон, со декрипција лозинка еднократен заштитен од страна на серверот со јавен клуч. Во стан е употреблив за било кој веб-услуги кои ги спроведува овој метод на проверка за автентичност.
(Видете на github тракерот за повеќе информации за тоа како да се спроведе оваа проверка на страна на серверот)
Апликацијата може да се користи со неограничен број на трети лица, како истиот јавен клуч се користи со сите партии. Откако стан се запишани, апликацијата ги генерира keypair уред специфични која е присутна за целиот живот на стан (до својата деинсталиран). Ажурирање на стан не ќе ги избрише клучните сепак.

Github Тракер: https://github.com/sebastiannielsen/QRSA

Предуслови за водење на апликација:
1. телефон мора да поддржува хардвер базирани складирање. Ова е складирање кој користи "Безбедност чип" во внатрешноста на телефонот, што го прави невозможно да се копија на клучните исклучите телефонот.
2. продавница мора да се иницијализира. Понекогаш нејзиното можно да се иницијализира на продавница со поставување на заклучување на екранот ПИН, а потоа само генерирање на клуч. Отстранување на заклучување на екранот обично ќе го носам клучот, освен ако на клучот беше подесување да побара заклучување на екранот.
3. Во некои случаи, мора да се користи безбедна заклучување на екранот. Ова зависи од моделот на телефонот.
4. безбедна чип внатре телефон, мора да поддржува операции врз основа на 2048 битен RSA / ЕЦБ / PKCS1.5
5. Во некои случаи, вкоренети телефон може трајно онеспособување сигурносен чип, од безбедносни причини.

За да се запишат, мора да се стартува рачно qrsa: // e од прелистувачот или слична. Вие исто така може да се запишат со URL за повратен повик, со користење на qrsa: // u. За да го користите u, прво мора да се додаде "S" ако сакате да го користите HTTPS, или нешто друго, за HTTP. Тогаш целиот URL, за да се нарече, без шема, во URLSafe Base64 формат. Јавниот клуч ќе биде додаден на крајот на URL-то. Ако уредот не е во согласност, ќе се врати INCOMPATIBLE_DEVICE и ваша одговорност е да се врати значајна порака за грешка на корисникот.

Да се ​​идентификувате, ќе го стартувате на URL-то qrsa: // s или qrsa: // C проследено со URLSafe Base64 кодирани податоци на криптираниот текст на RSA јавен клуч во ПОСТАВА формат :: ОТП :: ПОРАКА :: хаш :: баласт. "S" акција е наменета за скенирани настани и ќе се покаже како ОТП текст на екранот. "Ц" акција е наменета за клик настани. Разликата е во тоа клик настани ќе предизвика код ОТП да се стави во таблата со исечоци на корисникот, наместо тоа, така што корисникот може веднаш да се продолжи со вметнување на код во полето за ОТП.
Хаш е изградена од страна на создавање на MD5 од ОТП + ПОРАКА + ОТП, каде + означува низа сплет. Ова хаш штити од некои груби форми на кроткоста напади врз криптираниот текст. На сендвич конструкција спречува напаѓачот од поместување на сепаратор помеѓу ОТП и порака.

Имајте на ум дека од екранот на апликацијата е намерно цензурирани за спречување на трговски марки и / или авторско право прекршоци (интерфејс на Android и други апликации се заштитени со авторски права), како и интеракција во стан е обезбедена преку дијалог, кои се појавуваат на врвот на повик стан, што предизвика проверка за да се случи.

Ако има било какви прашања на стан, можете да најдете пример код и повеќе упатствата на страницата јавноста GitHub, како овој стан е со отворен код.
Исто така, се чувствуваат слободни да се создаде било прашања во тракер јавноста Github.
Ажуриранa на
1.8.2016

Безбедност на податоците

Предуслов за безбедност е да знаете како програмерите ги прибираат и споделуваат вашите податоци. Практиките за приватност и безбедност на податоците може да се разликуваат според вашиот начин на користење, регион и возраст. Програмерот ги обезбедил овие информации и може да ги ажурира во иднина.
Не се споделуваат податоци со трети страни
Дознајте повеќе како програмерите изјавуваат споделување податоци
Не се прибираат податоци
Дознајте повеќе како програмерите изјавуваат прибирање податоци

Што има ново

1.4:
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.

Поддршка за апликацијата

Информации за програмерот
Sebastian Nielsen
sebastian@sebbe.eu
Sweden
undefined