QRSA OTP Authentication
1K+
次下載
所有人
info
關於此應用程式
这是一个应用程序来通过他们的移动电话,通过解密由使用公开密钥服务器加密的一次性密码验证用户。该应用程序是实现这种身份验证方法的Web服务使用。
(见GitHub的跟踪器的详细信息,如何实现服务器端验证这)
该应用程序可以使用无限数量的依赖方的被使用,因为相同的公共密钥与各方使用。一旦应用程序被录取时,应用程序产生一个特定于设备的密钥对是本作的应用程序的整个生命周期(直到它卸载)。更新应用程序不会抹去但关键。
Github上追踪:https://github.com/sebastiannielsen/QRSA
用于运行应用程序的先决条件:
1.手机必须支持基于硬件的存储。这是使用一个“安全芯片”在手机内,使得不可能复制关闭手机密钥的存储。
2.存储必须进行初始化。有时它可以通过设置PIN锁屏初始化存储,然后只生成密钥。卸下锁屏通常将保持关键,除非关键属性是设置需要锁屏。
3.在某些情况下,必须使用一个安全的锁屏。这取决于手机型号。
4.手机内的安全芯片,必须基于2048位RSA / ECB / PKCS1.5支持业务
5.在某些情况下,根电话可以永久停用出于安全原因,安全芯片。
要注册,必须启动URL qrsa:// E从浏览器或similiar。您也可以通过回调URL注册,使用qrsa://ü。若要使用u,必须先添加一个“S”,如果你想使用HTTPS,或其他任何用于HTTP。那么整个URL被调用,而不方案,URLSafe Base64格式。公钥将被追加到结束的URL。如果设备不兼容,它会返回INCOMPATIBLE_DEVICE和你的责任,返回一个有意义的错误信息给用户。
要验证,启动该网址qrsa:// s或qrsa:// C后跟格式PADDING :: OTP ::留言:: HASH :: PADDING RSA公钥加密文本URLSafe Base64编码的数据。在“S”行动是专为扫描事件和将显示为屏幕上的文本OTP。 “C”类动作是专为click事件。所不同的是点击事件将导致把OTP代码在用户的剪贴板代替,因此用户立即可以继续粘贴OTP字段内的代码。
HASH是通过创建一个MD5出OTP +留言+ OTP,其中+表示字符串连接构造。这HASH防止对加密文本延展性攻击一些粗糙的形式。该夹层结构防止攻击者从移动OTP和消息之间的分隔符。
请注意,App的截图已经有意审查,以防止商标和/或侵犯版权(Android和其他应用程序的用户界面受版权保护),在应用程序的交互是通过出现在调用顶部的对话框中提供应用程序导致认证的情况发生。
如果对应用程序的任何问题,你可以找到示例代码和公共GitHub的页面上更多的指令,因为这个程序是开源的。
此外,随意打造公共GitHub的追踪任何问题。
(见GitHub的跟踪器的详细信息,如何实现服务器端验证这)
该应用程序可以使用无限数量的依赖方的被使用,因为相同的公共密钥与各方使用。一旦应用程序被录取时,应用程序产生一个特定于设备的密钥对是本作的应用程序的整个生命周期(直到它卸载)。更新应用程序不会抹去但关键。
Github上追踪:https://github.com/sebastiannielsen/QRSA
用于运行应用程序的先决条件:
1.手机必须支持基于硬件的存储。这是使用一个“安全芯片”在手机内,使得不可能复制关闭手机密钥的存储。
2.存储必须进行初始化。有时它可以通过设置PIN锁屏初始化存储,然后只生成密钥。卸下锁屏通常将保持关键,除非关键属性是设置需要锁屏。
3.在某些情况下,必须使用一个安全的锁屏。这取决于手机型号。
4.手机内的安全芯片,必须基于2048位RSA / ECB / PKCS1.5支持业务
5.在某些情况下,根电话可以永久停用出于安全原因,安全芯片。
要注册,必须启动URL qrsa:// E从浏览器或similiar。您也可以通过回调URL注册,使用qrsa://ü。若要使用u,必须先添加一个“S”,如果你想使用HTTPS,或其他任何用于HTTP。那么整个URL被调用,而不方案,URLSafe Base64格式。公钥将被追加到结束的URL。如果设备不兼容,它会返回INCOMPATIBLE_DEVICE和你的责任,返回一个有意义的错误信息给用户。
要验证,启动该网址qrsa:// s或qrsa:// C后跟格式PADDING :: OTP ::留言:: HASH :: PADDING RSA公钥加密文本URLSafe Base64编码的数据。在“S”行动是专为扫描事件和将显示为屏幕上的文本OTP。 “C”类动作是专为click事件。所不同的是点击事件将导致把OTP代码在用户的剪贴板代替,因此用户立即可以继续粘贴OTP字段内的代码。
HASH是通过创建一个MD5出OTP +留言+ OTP,其中+表示字符串连接构造。这HASH防止对加密文本延展性攻击一些粗糙的形式。该夹层结构防止攻击者从移动OTP和消息之间的分隔符。
请注意,App的截图已经有意审查,以防止商标和/或侵犯版权(Android和其他应用程序的用户界面受版权保护),在应用程序的交互是通过出现在调用顶部的对话框中提供应用程序导致认证的情况发生。
如果对应用程序的任何问题,你可以找到示例代码和公共GitHub的页面上更多的指令,因为这个程序是开源的。
此外,随意打造公共GitHub的追踪任何问题。
更新日期
最新動向
1.4:
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.
- Added Md5 hash verification, to further protect against malleability attacks.
1.3:
- Improved code so the app can more reliable kill itself.
1.2:
- Added OTP into @string/app_name to match Google Play app name.
1.1:
- Changed enroll function to exclude linebreaks in the public key.
- Added new "u" enroll function. Read the description or GitHub page for more information. The "u" enroll function is recommended when enrolling from a computer.
應用程式支援
關於開發人員
Sebastian Nielsen
sebastian@sebbe.eu
Sweden
undefined
