QRSA OTP Authentication
1 N+
Lượt tải xuống
Tất cả mọi người
info
Thông tin về ứng dụng này
Đây là một ứng dụng để xác thực người dùng thông qua điện thoại di động của họ, bằng cách giải mã một mật khẩu một lần được mã hóa bởi các máy chủ bằng cách sử dụng khóa công khai. Các ứng dụng này có thể sử dụng cho bất kỳ dịch vụ web mà thực hiện phương pháp này xác thực.
(Xem tracker github để biết thêm thông tin về làm thế nào để thực hiện xác thực này trên server-side)
Các ứng dụng có thể được sử dụng với số lượng không giới hạn của các bên dựa, như là chìa khóa công cộng tương tự được sử dụng với tất cả các bên. Một khi các ứng dụng được ghi danh, các ứng dụng tạo ra một cặp khóa điện thoại cụ thể đó là hiện diện cho toàn bộ vòng đời của ứng dụng (cho đến khi gỡ bỏ cài đặt của nó). Đang cập nhật các ứng dụng sẽ không xóa các key tuy nhiên.
Github Tracker: https://github.com/sebastiannielsen/QRSA
Điều kiện cần để chạy các ứng dụng:
1. Điện thoại phải hỗ trợ phần cứng dựa trên lưu trữ. Đây là một lưu trữ mà sử dụng một "chip bảo mật" bên trong điện thoại, làm cho nó không thể sao chép các phím tắt điện thoại.
2. Các cửa hàng phải được khởi tạo. Đôi khi có thể của nó để khởi tạo các cửa hàng bằng cách thiết lập một màn hình khóa mã PIN, và sau đó chỉ cần tạo ra một chìa khóa. Loại bỏ màn hình khóa thông thường sẽ giữ chìa khóa, trừ khi các thuộc tính quan trọng đã được thiết lập để yêu cầu màn hình khóa.
3. Trong một số trường hợp, một màn hình khóa an toàn phải được sử dụng. Điều này phụ thuộc vào kiểu điện thoại.
4. Chip an toàn bên trong điện thoại, phải hỗ trợ các hoạt động dựa trên 2048 bit RSA / ECB / PKCS1.5
5. Trong một số trường hợp, một chiếc điện thoại bắt nguồn từ thể vĩnh viễn vô hiệu hóa các chip bảo mật vì lý do an ninh.
Để đăng ký, bạn phải khởi động qrsa URL: // e từ một trình duyệt hoặc tương tự. Bạn cũng có thể đăng ký qua một URL gọi lại, bằng cách sử dụng qrsa: // u. Để sử dụng u, trước tiên bạn phải thêm một "s" nếu bạn muốn sử dụng HTTPS, hoặc bất cứ điều gì khác cho HTTP. Sau đó, toàn bộ URL được gọi là, KHÔNG Đề án, định dạng URLSafe Base64. Khóa công khai sẽ được nối đến cuối URL. Nếu thiết bị không tương thích, nó sẽ trở lại INCOMPATIBLE_DEVICE và trách nhiệm của bạn là trả về một thông báo lỗi có ý nghĩa cho người dùng.
Để xác thực, bạn khởi động qrsa url: // s hoặc qrsa: // c theo sau URLSafe Base64 mã hóa dữ liệu của văn bản được mã hóa RSA khóa công khai trong các padding định dạng :: OTP :: THÔNG ĐIỆP :: HASH :: padding. "S" hành động được thiết kế cho các sự kiện quét và sẽ hiển thị như OTP văn bản trên màn hình. "C" hành động được thiết kế cho các sự kiện nhấp chuột. Sự khác biệt là sự kiện nhấp chuột sẽ gây ra các mã OTP được đặt trong clipboard của người dùng thay vào đó, nên người sử dụng ngay lập tức có thể tiến hành dán code bên trong các lĩnh vực OTP.
HASH được xây dựng bằng cách tạo ra một md5 ra OTP + ĐIỆP + OTP, nơi + biểu thị chuỗi nối. HASH này bảo vệ chống lại một số hình thức thô của các cuộc tấn công mềm dẻo trên các văn bản được mã hóa. Việc xây dựng kẹp ngăn chặn một kẻ tấn công từ di chuyển các dấu phân cách giữa OTP và ĐIỆP.
Lưu ý rằng các ảnh chụp màn hình của ứng dụng đã được kiểm duyệt cố tình ngăn chặn nhãn hiệu và / hoặc bản quyền vi phạm (giao diện của Android và các ứng dụng khác được bảo vệ bản quyền), như sự tương tác trong ứng dụng được cung cấp thông qua một hộp thoại xuất hiện trên đỉnh của sự kêu gọi ứng dụng đó gây ra chứng thực xảy ra.
Nếu có bất kỳ vấn đề về ứng dụng, bạn có thể tìm mã ví dụ và hướng dẫn thêm về trang GitHub công cộng, như ứng dụng này là mã nguồn mở.
Ngoài ra, cảm thấy tự do để tạo ra bất kỳ vấn đề trong việc theo dõi github công cộng.
(Xem tracker github để biết thêm thông tin về làm thế nào để thực hiện xác thực này trên server-side)
Các ứng dụng có thể được sử dụng với số lượng không giới hạn của các bên dựa, như là chìa khóa công cộng tương tự được sử dụng với tất cả các bên. Một khi các ứng dụng được ghi danh, các ứng dụng tạo ra một cặp khóa điện thoại cụ thể đó là hiện diện cho toàn bộ vòng đời của ứng dụng (cho đến khi gỡ bỏ cài đặt của nó). Đang cập nhật các ứng dụng sẽ không xóa các key tuy nhiên.
Github Tracker: https://github.com/sebastiannielsen/QRSA
Điều kiện cần để chạy các ứng dụng:
1. Điện thoại phải hỗ trợ phần cứng dựa trên lưu trữ. Đây là một lưu trữ mà sử dụng một "chip bảo mật" bên trong điện thoại, làm cho nó không thể sao chép các phím tắt điện thoại.
2. Các cửa hàng phải được khởi tạo. Đôi khi có thể của nó để khởi tạo các cửa hàng bằng cách thiết lập một màn hình khóa mã PIN, và sau đó chỉ cần tạo ra một chìa khóa. Loại bỏ màn hình khóa thông thường sẽ giữ chìa khóa, trừ khi các thuộc tính quan trọng đã được thiết lập để yêu cầu màn hình khóa.
3. Trong một số trường hợp, một màn hình khóa an toàn phải được sử dụng. Điều này phụ thuộc vào kiểu điện thoại.
4. Chip an toàn bên trong điện thoại, phải hỗ trợ các hoạt động dựa trên 2048 bit RSA / ECB / PKCS1.5
5. Trong một số trường hợp, một chiếc điện thoại bắt nguồn từ thể vĩnh viễn vô hiệu hóa các chip bảo mật vì lý do an ninh.
Để đăng ký, bạn phải khởi động qrsa URL: // e từ một trình duyệt hoặc tương tự. Bạn cũng có thể đăng ký qua một URL gọi lại, bằng cách sử dụng qrsa: // u. Để sử dụng u, trước tiên bạn phải thêm một "s" nếu bạn muốn sử dụng HTTPS, hoặc bất cứ điều gì khác cho HTTP. Sau đó, toàn bộ URL được gọi là, KHÔNG Đề án, định dạng URLSafe Base64. Khóa công khai sẽ được nối đến cuối URL. Nếu thiết bị không tương thích, nó sẽ trở lại INCOMPATIBLE_DEVICE và trách nhiệm của bạn là trả về một thông báo lỗi có ý nghĩa cho người dùng.
Để xác thực, bạn khởi động qrsa url: // s hoặc qrsa: // c theo sau URLSafe Base64 mã hóa dữ liệu của văn bản được mã hóa RSA khóa công khai trong các padding định dạng :: OTP :: THÔNG ĐIỆP :: HASH :: padding. "S" hành động được thiết kế cho các sự kiện quét và sẽ hiển thị như OTP văn bản trên màn hình. "C" hành động được thiết kế cho các sự kiện nhấp chuột. Sự khác biệt là sự kiện nhấp chuột sẽ gây ra các mã OTP được đặt trong clipboard của người dùng thay vào đó, nên người sử dụng ngay lập tức có thể tiến hành dán code bên trong các lĩnh vực OTP.
HASH được xây dựng bằng cách tạo ra một md5 ra OTP + ĐIỆP + OTP, nơi + biểu thị chuỗi nối. HASH này bảo vệ chống lại một số hình thức thô của các cuộc tấn công mềm dẻo trên các văn bản được mã hóa. Việc xây dựng kẹp ngăn chặn một kẻ tấn công từ di chuyển các dấu phân cách giữa OTP và ĐIỆP.
Lưu ý rằng các ảnh chụp màn hình của ứng dụng đã được kiểm duyệt cố tình ngăn chặn nhãn hiệu và / hoặc bản quyền vi phạm (giao diện của Android và các ứng dụng khác được bảo vệ bản quyền), như sự tương tác trong ứng dụng được cung cấp thông qua một hộp thoại xuất hiện trên đỉnh của sự kêu gọi ứng dụng đó gây ra chứng thực xảy ra.
Nếu có bất kỳ vấn đề về ứng dụng, bạn có thể tìm mã ví dụ và hướng dẫn thêm về trang GitHub công cộng, như ứng dụng này là mã nguồn mở.
Ngoài ra, cảm thấy tự do để tạo ra bất kỳ vấn đề trong việc theo dõi github công cộng.
Lần cập nhật gần đây nhất
Sự an toàn bắt đầu từ việc nắm được cách nhà phát triển thu thập và chia sẻ dữ liệu của bạn. Các biện pháp bảo vệ quyền riêng tư và bảo mật dữ liệu có thể thay đổi tuỳ theo cách sử dụng, khu vực và độ tuổi. Nhà phát triển đã cung cấp thông tin này và có thể sẽ cập nhật theo thời gian.
Không chia sẻ dữ liệu với bên thứ ba
Tìm hiểu thêm về cách nhà phát triển khai báo thông tin về hoạt động chia sẻ dữ liệu
Không thu thập dữ liệu nào
Tìm hiểu thêm về cách nhà phát triển khai báo thông tin về hoạt động thu thập dữ liệu
Tính năng mới
1.4:
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.
Thông tin hỗ trợ của ứng dụng
Giới thiệu về nhà phát triển
Sebastian Nielsen
sebastian@sebbe.eu
Sweden
undefined