Discussion:
tokeny
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Jeremiasz Kafelski
2009-06-09 16:43:44 UTC
Permalink
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?

Drugie pytanie czy ktoś wie jak działa taki token od blizzarda?
http://www.allegro.pl/item658058461_blizzard_authenticator.html
£ukasz Czerpak
2009-06-10 13:56:17 UTC
Permalink
Post by Jeremiasz Kafelski
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?
Drugie pytanie czy ktoś wie jak działa taki token od blizzarda?
http://www.allegro.pl/item658058461_blizzard_authenticator.html
Tanie to nie bardzo.
Do wyboru masz albo Vasco albo RSA.
--
pozdrawiam,
Łukasz Czerpak
Jeremiasz Kafelski
2009-06-12 17:07:26 UTC
Permalink
Post by £ukasz Czerpak
Post by Jeremiasz Kafelski
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?
Drugie pytanie czy ktoś wie jak działa taki token od blizzarda?
http://www.allegro.pl/item658058461_blizzard_authenticator.html
Tanie to nie bardzo.
Do wyboru masz albo Vasco albo RSA.
A takie ogolno -dostepne? Na pewno byly by duzo lepsze niz jakies
specjalistyczne
MarcinF
2009-06-13 10:58:03 UTC
Permalink
Post by Jeremiasz Kafelski
Post by £ukasz Czerpak
Tanie to nie bardzo.
Do wyboru masz albo Vasco albo RSA.
A takie ogolno -dostepne? Na pewno byly by duzo lepsze niz jakies
specjalistyczne
a jakie to sa ogolnodostepne?
MarcinF
2009-06-10 16:46:10 UTC
Permalink
Post by Jeremiasz Kafelski
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?
jak juz ktos napisal to z tanioscia moze byc problem, ale najpierw
i tak dobrze wiedziec z czym ma sie ten system integrowac i dla
ilu ma byc uzytkownikow
Post by Jeremiasz Kafelski
Drugie pytanie czy ktoś wie jak działa taki token od blizzarda?
http://www.allegro.pl/item658058461_blizzard_authenticator.html
nie wiem jak jest w rzeczywistosci ale ze zdjecia wyglada na taki,
w ktorym generowanie kolejnego kodu nastepuje po nacisnieciu przycisku,
podstawowa slabosc takich tokenow to mozliwosc wynenerowania sobie listy kodow
Jeremiasz Kafelski
2009-06-12 17:10:48 UTC
Permalink
Post by MarcinF
Post by Jeremiasz Kafelski
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?
jak juz ktos napisal to z tanioscia moze byc problem, ale najpierw
i tak dobrze wiedziec z czym ma sie ten system integrowac i dla
ilu ma byc uzytkownikow
Taniosc? no token na allegro kosztowal ok 100zł
ilosc 30 osob.
integracja z serwisem dostepnym przez www system
skryptowy/php/ruby/etc. operacyjny moze byc mac
Post by MarcinF
Post by Jeremiasz Kafelski
Drugie pytanie czy ktoś wie jak działa taki token od blizzarda?
http://www.allegro.pl/item658058461_blizzard_authenticator.html
nie wiem jak jest w rzeczywistosci ale ze zdjecia wyglada na taki,
w ktorym generowanie kolejnego kodu nastepuje po nacisnieciu
przycisku,
Post by MarcinF
podstawowa slabosc takich tokenow to mozliwosc wynenerowania sobie
listy
Post by MarcinF
kodow
Co to znaczy listy?
Gczy znaczy to, ze wpisuje jakos haslo (nie wiem jak) na stale, a potem
tylko wazny jest czas?
MarcinF
2009-06-13 11:16:01 UTC
Permalink
Post by Jeremiasz Kafelski
Taniosc? no token na allegro kosztowal ok 100zł
ilosc 30 osob.
taki system "tokenowy" sklada sie po pierwsze z serwera
weryfikujacego poprawnosc kodow, z oprogramowania dzialajacego
na serwerach do ktorych zabezpieczamy logowanie, a dopiero na samym
koncu z tokenow ktore dajemy uzytkownikom

tak wiec token to tylko ulamek kosztow, a w zaleznosci od producenta
roznie placi sie za te komponenty
Post by Jeremiasz Kafelski
integracja z serwisem dostepnym przez www system
skryptowy/php/ruby/etc. operacyjny moze byc mac
na stronach producentow powinienes znalezc liste wspieranych
przez serwerow www/systemow operacyjnych
Post by Jeremiasz Kafelski
Co to znaczy listy?
Gczy znaczy to, ze wpisuje jakos haslo (nie wiem jak) na stale, a potem
tylko wazny jest czas?
to znaczy ze mozesz sobie nacinac przycisk, przepisac kod na kartke,
po czym znow nacisnac przycisk i znow przepisac kod na kartke...
w efekcie zrobisz sobie liste kodow, ktorych bedziesz mogl uzyc
pod warunkiem ze zachowasz ich kolejnosc
Jeremiasz Kafelski
2009-06-16 05:46:32 UTC
Permalink
co do dostepnosci:
Oczywiscie ogolno-dostepne to takie, ktore sa uzywane przez kogos
innego. W tym wypadku blizzard-a
Post by MarcinF
Post by Jeremiasz Kafelski
integracja z serwisem dostepnym przez www system
skryptowy/php/ruby/etc. operacyjny moze byc mac
na stronach producentow powinienes znalezc liste wspieranych
przez serwerow www/systemow operacyjnych
A znasz jakichs producentow lub opis? Wydawalo mi sie, ze nikt nie
wymysla kola. Token np. firmy X generuje 10 pierwszych cyfr hash cyfry
123 i kolejne....
O takie wlasnie algorytmy mi chodzi. Jak to jest generowane.
Post by MarcinF
Post by Jeremiasz Kafelski
Co to znaczy listy?
Gczy znaczy to, ze wpisuje jakos haslo (nie wiem jak) na stale, a potem
tylko wazny jest czas?
to znaczy ze mozesz sobie nacinac przycisk, przepisac kod na kartke,
po czym znow nacisnac przycisk i znow przepisac kod na kartke...
w efekcie zrobisz sobie liste kodow, ktorych bedziesz mogl uzyc
pod warunkiem ze zachowasz ich kolejnosc
Czyli coś jak lista hasel jednorazowych?

Czy to jakiś błąd? To chyba normalne dzialanie. Dlaczego moze byc
niebezpieczne?
Edward Tomasz Napierala
2009-06-16 15:18:36 UTC
Permalink
Post by Jeremiasz Kafelski
Post by MarcinF
Post by Jeremiasz Kafelski
integracja z serwisem dostepnym przez www system
skryptowy/php/ruby/etc. operacyjny moze byc mac
na stronach producentow powinienes znalezc liste wspieranych
przez serwerow www/systemow operacyjnych
A znasz jakichs producentow lub opis? Wydawalo mi sie, ze nikt nie
wymysla kola. Token np. firmy X generuje 10 pierwszych cyfr hash cyfry
123 i kolejne....
O takie wlasnie algorytmy mi chodzi. Jak to jest generowane.
Nie wiem, jak w przypadku innych producentow, ale na przyklad
do obslugi tokenow RSA masz zamknieta biblioteke. Sam algorytm
generowania i weryfikowania hasel nie jest, AFAIK, jawny.
Post by Jeremiasz Kafelski
Post by MarcinF
Post by Jeremiasz Kafelski
Co to znaczy listy?
Gczy znaczy to, ze wpisuje jakos haslo (nie wiem jak) na stale, a
potem
Post by MarcinF
Post by Jeremiasz Kafelski
tylko wazny jest czas?
to znaczy ze mozesz sobie nacinac przycisk, przepisac kod na kartke,
po czym znow nacisnac przycisk i znow przepisac kod na kartke...
w efekcie zrobisz sobie liste kodow, ktorych bedziesz mogl uzyc
pod warunkiem ze zachowasz ich kolejnosc
Czyli coś jak lista hasel jednorazowych?
W przypadku tokenow "na guzik", w odroznieniu od czasowych.
Post by Jeremiasz Kafelski
Czy to jakiś błąd? To chyba normalne dzialanie. Dlaczego moze byc
niebezpieczne?
Ktos, jesli wyjdziesz do lazienki i zostawisz token na biurku,
moze spisac sobie kod, a potem - jesli w tym czasie nie uzyjesz
tokena - uwierzytelnic sie nim. Fakt, niespecjalnie przerazajace.
--
If you cut off my head, what would I say? Me and my head, or me and my body?
Krzysztof Halasa
2009-06-16 18:01:48 UTC
Permalink
Post by Edward Tomasz Napierala
Nie wiem, jak w przypadku innych producentow, ale na przyklad
do obslugi tokenow RSA masz zamknieta biblioteke. Sam algorytm
generowania i weryfikowania hasel nie jest, AFAIK, jawny.
Nie bylo to zamierzeniem producenta, ale jednak one sa jawne.
BTW jest tez oprogramowanie dostepne w zrodlach, wystarczy kupic same
tokeny.

Inna sprawa ze niejawnosc algorytmu to nie jest zadna zaleta. Moze byc
wada, jesli okaze sie, ze jest on do kitu.
--
Krzysztof Halasa
Jeremiasz Kafelski
2009-06-17 09:21:53 UTC
Permalink
Post by Krzysztof Halasa
Post by Edward Tomasz Napierala
Nie wiem, jak w przypadku innych producentow, ale na przyklad
do obslugi tokenow RSA masz zamknieta biblioteke. Sam algorytm
generowania i weryfikowania hasel nie jest, AFAIK, jawny.
Nie bylo to zamierzeniem producenta, ale jednak one sa jawne.
BTW jest tez oprogramowanie dostepne w zrodlach, wystarczy kupic same
tokeny.
Inna sprawa ze niejawnosc algorytmu to nie jest zadna zaleta. Moze byc
wada, jesli okaze sie, ze jest on do kitu.
To jeszcze raz. Czy jest jakiś token. Blizzard-a, Banku czy cokolwiek
innego gdzie jawnie znany jest algorytm generujący. Tak abym mógł sobie
przestawić ten token i używac w swoim systemie.
konrad rzentarzewski
2009-06-17 11:07:54 UTC
Permalink
Art from [ ***@jggjjj.pl ] ...

: To jeszcze raz. Czy jest jakiś token. Blizzard-a, Banku czy cokolwiek
: innego gdzie jawnie znany jest algorytm generujący. Tak abym mógł sobie
: przestawić ten token i używac w swoim systemie.

kravietz na blogu reklamuje szwedzki kluczyk. chwalą się otwartym sdk.
http://blog.securitystandard.pl/news/346571.html
--
"Just because you are unique doesn't mean you are useful."
Jeremiasz Kafelski
2009-06-18 07:06:51 UTC
Permalink
Post by konrad rzentarzewski
: To jeszcze raz. Czy jest jakiś token. Blizzard-a, Banku czy
cokolwiek
Post by konrad rzentarzewski
: innego gdzie jawnie znany jest algorytm generujący. Tak abym mógł sobie
: przestawić ten token i używac w swoim systemie.
kravietz na blogu reklamuje szwedzki kluczyk. chwalą się otwartym sdk.
http://blog.securitystandard.pl/news/346571.html
W sumie tak działają czytniki kodów kreskowych. Też po prostu wpisują z
klawiatury. Wygląda fajnie. Ciekawe tylko ile kosztuje przesyłka ;)

Bardzo dziekuje za informacje.
Jesli jeszcze ktos zna jakis token i algorytm na jakim dziala by moc go
uzyc prosze napisac
Bartosz Ma³kowski
2009-06-19 07:14:11 UTC
Permalink
Post by Jeremiasz Kafelski
Jesli jeszcze ktos zna jakis token i algorytm na jakim dziala by moc go
uzyc prosze napisac
Jest coś takiego jak HOTP: http://www.ietf.org/rfc/rfc4226.txt
Całkiem zgrabny algorytm. Możesz go sobie łatwo zaimplementować w J2ME
i mieć tokeny na komórkach. Możesz też (potem?) kupić np. to
http://www.vasco.com/products/digipass/digipass_go_range/digipass_go5.aspx
i mieć sprzętowe.

Pozdrawiam!

--
Bartosz Małkowski
Jeremiasz Kafelski
2009-06-19 13:21:25 UTC
Permalink
Post by Bartosz Ma³kowski
Post by Jeremiasz Kafelski
Jesli jeszcze ktos zna jakis token i algorytm na jakim dziala by moc go
uzyc prosze napisac
Jest coś takiego jak HOTP: http://www.ietf.org/rfc/rfc4226.txt
Całkiem zgrabny algorytm. Możesz go sobie łatwo zaimplementować w J2ME
i mieć tokeny na komórkach. Możesz też (potem?) kupić np. to
http://www.vasco.com/products/digipass/digipass_go_range/digipass_go5.aspx
i mieć sprzętowe.
dziekuje

Zastanawialy mnie tokeny z bankow.
Czy mozna taki token legalnie kupic? I czy jest znany algorytm na jakim
dzialaja?
MarcinF
2009-06-19 15:31:37 UTC
Permalink
Post by Jeremiasz Kafelski
Zastanawialy mnie tokeny z bankow.
Czy mozna taki token legalnie kupic? I czy jest znany algorytm na jakim
dzialaja?
ale banki ani nie wymyslily tych tokenow ani ich nie robia, kupuja je
i tak samo Ty tez mozesz sobie kupic
Jeremiasz Kafelski
2009-06-20 07:53:18 UTC
Permalink
Post by MarcinF
Post by Jeremiasz Kafelski
Zastanawialy mnie tokeny z bankow.
Czy mozna taki token legalnie kupic? I czy jest znany algorytm na jakim
dzialaja?
ale banki ani nie wymyslily tych tokenow ani ich nie robia, kupuja je
i tak samo Ty tez mozesz sobie kupic
Dokładnie o to pytam. Czy te tokeny które używają 'polskie' banki mają znane
i publicznie dostepne algorytmy gdzies opisane? I ew. czy moge je sam
przeprogramować (ziarenko)
MarcinF
2009-06-20 10:31:45 UTC
Permalink
Post by Jeremiasz Kafelski
Dokładnie o to pytam. Czy te tokeny które używają 'polskie' banki mają znane
i publicznie dostepne algorytmy gdzies opisane? I ew. czy moge je sam
przeprogramować (ziarenko)
tak, banki sobie kupuja te tokeny od takich producentow jak rsa czy vasco,
algorytmy konkretnych tokenow wygooglujesz bez trudu

jesli chodzi o mozliwosc przeprogramowania seeda w tokenie hardware
to napewno nie ma jej w przypadku tokenow rsa, nie jestem pewien
czy jakikolwiek producent daje taka opcje

probuje zgadnac do czego zmierzasz, myslisz o bankach jako zrodle
tokenow ktore moglbys uzyc w swoim systemie? bo jesli tak to
nie wiem czy byloby to oplacalne nawet gdyby dalo sie zmienic seedy
Jeremiasz Kafelski
2009-06-20 17:29:33 UTC
Permalink
Post by MarcinF
Post by Jeremiasz Kafelski
Dokładnie o to pytam. Czy te tokeny które używają 'polskie' banki mają
znane i publicznie dostepne algorytmy gdzies opisane? I ew. czy moge je
sam przeprogramować (ziarenko)
tak, banki sobie kupuja te tokeny od takich producentow jak rsa czy vasco,
algorytmy konkretnych tokenow wygooglujesz bez trudu
jesli chodzi o mozliwosc przeprogramowania seeda w tokenie hardware
to napewno nie ma jej w przypadku tokenow rsa, nie jestem pewien
czy jakikolwiek producent daje taka opcje
probuje zgadnac do czego zmierzasz, myslisz o bankach jako zrodle
tokenow ktore moglbys uzyc w swoim systemie? bo jesli tak to
nie wiem czy byloby to oplacalne nawet gdyby dalo sie zmienic seedy
Tak myslalem o takim źródle. Zreszta napisałem, że może byc to dowolna inna
instytucja. Chodzi o to by taki token nie był podejrzany, ale legalny.
Publicznie dostepny
MarcinF
2009-06-22 20:43:08 UTC
Permalink
Post by Jeremiasz Kafelski
Tak myslalem o takim źródle. Zreszta napisałem, że może byc to dowolna inna
instytucja. Chodzi o to by taki token nie był podejrzany, ale legalny.
Publicznie dostepny
nawet jesli istnieja na rynku tokeny z mozliwoscia przeprogramowania seeda,
to nie wiem czy oplata za zgubienie bankowego tokena bylaby na tyle konkurencyjna
do ceny u resellera (u ktorego dostajesz seed'y) by to mialo sens
Bartosz Ma³kowski
2009-06-23 08:07:00 UTC
Permalink
Post by MarcinF
jesli chodzi o mozliwosc przeprogramowania seeda w tokenie hardware
to napewno nie ma jej w przypadku tokenow rsa, nie jestem pewien
czy jakikolwiek producent daje taka opcje
Miałem przez pewien czas w rękach testowy eToken PRO. Guzik (i
wyświetlacz) nie działał dopóki token nie został zainicjowany. Służyła
do tego, jeśli dobrze pamiętam, przeglądarka IE z jakimś ActiveX i
strona producenta do aktywowania tokenów demo.
Ale szczegółów nie znam: nie wiem czy podawało się własny sekret czy
był dostarczany, czy też był od samego początku w tokenie, a inicjacja
służyła wyłącznie czemuś innemu.

Ale podejrzewam, że w przypadku tokenów "z banku" są tak poustawiane
Security Officer Password i tym podobne zabezpieczenia, że nawet jeśli
fizycznie możliwość zmiany sekretu istnieje, to jest skutecznie
zablokowana.

Edward Tomasz Napierala
2009-06-17 13:13:04 UTC
Permalink
Post by Krzysztof Halasa
Post by Edward Tomasz Napierala
Nie wiem, jak w przypadku innych producentow, ale na przyklad
do obslugi tokenow RSA masz zamknieta biblioteke. Sam algorytm
generowania i weryfikowania hasel nie jest, AFAIK, jawny.
Nie bylo to zamierzeniem producenta, ale jednak one sa jawne.
BTW jest tez oprogramowanie dostepne w zrodlach, wystarczy kupic same
tokeny.
Hm, mozna prosic jakis URL albo keyword, za ktorym moglbym poguglac?
Post by Krzysztof Halasa
Inna sprawa ze niejawnosc algorytmu to nie jest zadna zaleta. Moze byc
wada, jesli okaze sie, ze jest on do kitu.
True.
--
If you cut off my head, what would I say? Me and my head, or me and my body?
Krzysztof Halasa
2009-06-17 19:04:31 UTC
Permalink
Post by Edward Tomasz Napierala
Post by Krzysztof Halasa
Nie bylo to zamierzeniem producenta, ale jednak one sa jawne.
BTW jest tez oprogramowanie dostepne w zrodlach, wystarczy kupic same
tokeny.
Hm, mozna prosic jakis URL albo keyword, za ktorym moglbym poguglac?
No nie wiem, "RSA token algorithm" nie dziala?
--
Krzysztof Halasa
MarcinF
2009-06-18 15:51:40 UTC
Permalink
Post by Krzysztof Halasa
Post by Edward Tomasz Napierala
Post by Krzysztof Halasa
Nie bylo to zamierzeniem producenta, ale jednak one sa jawne.
BTW jest tez oprogramowanie dostepne w zrodlach, wystarczy kupic same
tokeny.
Hm, mozna prosic jakis URL albo keyword, za ktorym moglbym poguglac?
No nie wiem, "RSA token algorithm" nie dziala?
moze chodzi url dotyczacy tych zrodel i ich ceny...
Krzysztof Halasa
2009-06-18 18:39:44 UTC
Permalink
Post by MarcinF
Post by Krzysztof Halasa
No nie wiem, "RSA token algorithm" nie dziala?
moze chodzi url dotyczacy tych zrodel i ich ceny...
Nie pamietam szczegolow, to bylo jeszcze przez tokenami AES (oraz przed
"softwarowymi tokenami", algorytm zostal "zdjety" z serwera ACE), cena
oczywiscie byla zerowa.
--
Krzysztof Halasa
Jeremiasz Kafelski
2009-06-18 19:17:11 UTC
Permalink
Post by Krzysztof Halasa
Post by MarcinF
Post by Krzysztof Halasa
No nie wiem, "RSA token algorithm" nie dziala?
moze chodzi url dotyczacy tych zrodel i ich ceny...
Nie pamietam szczegolow, to bylo jeszcze przez tokenami AES (oraz przed
"softwarowymi tokenami", algorytm zostal "zdjety" z serwera ACE), cena
oczywiscie byla zerowa.
A te softwarowe tokeny to komorki i j2me?
Czy cos innego?

Bardzo podobaja mi sie te rozwazania. Moze w koncu cos sie uda zrobic.
Pewnie zastosowan bylo by bez liku. Od OpenID i www po jakies szyfrowanie
dysku.


Zwyklemu uzytkownikowi tak na prawde potrzeba 2 rzeczy. Dysku zaszyfrowanego
i sposobu autentykacji. Wszelkiego rodzaju podpisy czy szyfrowanie listow
juz mniej. W ostatecznosci wyslac mozna zaszyfrowany dysk. Choc problem
bylby z bezpecznym kanalem. Ale te 2 funkcjonalnosci sa najwazniejsze
MarcinF
2009-06-18 21:09:56 UTC
Permalink
Post by Jeremiasz Kafelski
A te softwarowe tokeny to komorki i j2me?
Czy cos innego?
java, blackberry, iphone, windows, mac, windows mobile...
Post by Jeremiasz Kafelski
Bardzo podobaja mi sie te rozwazania. Moze w koncu cos sie uda zrobic.
Pewnie zastosowan bylo by bez liku. Od OpenID i www po jakies szyfrowanie
dysku.
rsa ma token zintegrowany z karta inteligentna usb, takie 2w1,
kodow jednorazowych mozna uzywac do logowania do zdalnych uslug,
a karty inteligentnej do szyfrowania dysku czy logowania do domeny

http://rsa.com/experience/sid800/RSA_SID800_Final.html
Jeremiasz Kafelski
2009-06-19 07:41:12 UTC
Permalink
Post by MarcinF
Post by Jeremiasz Kafelski
A te softwarowe tokeny to komorki i j2me?
Czy cos innego?
java, blackberry, iphone, windows, mac, windows mobile...
Fajnie czy to jest open source? Mozesz podac jakies adresy?
MarcinF
2009-06-19 15:38:00 UTC
Permalink
Post by Jeremiasz Kafelski
Post by MarcinF
Post by Jeremiasz Kafelski
A te softwarowe tokeny to komorki i j2me?
Czy cos innego?
java, blackberry, iphone, windows, mac, windows mobile...
Fajnie czy to jest open source? Mozesz podac jakies adresy?
nie, to nie jest open source, tu masz link do calej rodziny
produktow, miedzy innymi do tokenow software:

http://rsa.com/node.aspx?id=3049
Krzysztof Halasa
2009-06-19 23:14:37 UTC
Permalink
Post by MarcinF
nie, to nie jest open source, tu masz link do calej rodziny
Przeciez napisalem ze kod do tokenow RSA byl open-source. Nie wiem, moze
juz nie jest dostepny, patenty itd - ale na pewno komplet informacji da
sie znalezc.
--
Krzysztof Halasa
MarcinF
2009-06-19 23:26:20 UTC
Permalink
Post by Krzysztof Halasa
Przeciez napisalem ze kod do tokenow RSA byl open-source. Nie wiem, moze
juz nie jest dostepny, patenty itd - ale na pewno komplet informacji da
sie znalezc.
1. odpowiedzialem na temat konkretnych produktow tzn. tokenow software

2. co to jest "kod do tokenow" bo nie jestem pewien co masz na mysli ?
Krzysztof Halasa
2009-06-20 00:36:06 UTC
Permalink
Post by MarcinF
1. odpowiedzialem na temat konkretnych produktow tzn. tokenow software
Jasne, ale oryginalne watpliwosci dotyczyly jawnosci kodu/algorytmu(ow).
Post by MarcinF
2. co to jest "kod do tokenow" bo nie jestem pewien co masz na mysli ?
Kod zrodlowy, generujacy to samo co tokeny (w celu np. porownania
odpowiedzi w serwerze, albo dla "emulacji" tokenow, oczywiscie musimy
znac ich "seedy").
--
Krzysztof Halasa
MarcinF
2009-06-20 10:17:26 UTC
Permalink
Post by Krzysztof Halasa
Kod zrodlowy, generujacy to samo co tokeny (w celu np. porownania
odpowiedzi w serwerze, albo dla "emulacji" tokenow, oczywiscie musimy
znac ich "seedy").
w rsa jest cos takiego jak securid authentication engine, to jest wlasnie
kawalek softu przeznaczony dla tych ktorzy chca sobie technologie wbudowac
we wlasne systemy, ale trzeba na to kupic odpowiednia licencje

inna sprawa ze mechamizm generacji kodow oczywiscie nie jest tajemnica
i jesli ktos troche pogoogluje to dowie sie jak je obliczac, tyle ze
prawdobnie produkcyjne uzywanie tokenow bez zakupu oprogramowania
nie bedzie zgodne z licencja, nie mowiac juz o jakimkolwiek supporcie
Krzysztof Halasa
2009-06-20 12:39:31 UTC
Permalink
Post by MarcinF
inna sprawa ze mechamizm generacji kodow oczywiscie nie jest tajemnica
i jesli ktos troche pogoogluje to dowie sie jak je obliczac, tyle ze
prawdobnie produkcyjne uzywanie tokenow bez zakupu oprogramowania
nie bedzie zgodne z licencja, nie mowiac juz o jakimkolwiek supporcie
Z licencja na co? Przeciez nie na tokeny, a licencji na algorytm nie
potrzebujesz. Co innego w takich np. USA, algorytmy sa prawie na pewno
opatentowane (co nie znaczy ze nie daloby sie takich patentow uwalic),
tam przynajmniej mozna stwarzac pozory jakichs problemow.
--
Krzysztof Halasa
Krzysztof Halasa
2009-06-20 00:36:06 UTC
Permalink
Post by MarcinF
1. odpowiedzialem na temat konkretnych produktow tzn. tokenow software
Jasne, ale oryginalne watpliwosci dotyczyly jawnosci kodu/algorytmu(ow).
Post by MarcinF
2. co to jest "kod do tokenow" bo nie jestem pewien co masz na mysli ?
Kod zrodlowy, generujacy to samo co tokeny (w celu np. porownania
odpowiedzi w serwerze, albo dla "emulacji" tokenow, oczywiscie musimy
znac ich "seedy").
--
Krzysztof Halasa
MarcinF
2009-06-16 17:47:24 UTC
Permalink
Post by Edward Tomasz Napierala
Nie wiem, jak w przypadku innych producentow, ale na przyklad
do obslugi tokenow RSA masz zamknieta biblioteke. Sam algorytm
generowania i weryfikowania hasel nie jest, AFAIK, jawny.
chyba sie z Toba nie zgodze, jesli chcesz napisac wlasny serwer
weryfikujacy kody tokenow albo wrecz wbudowac ten mechanizm we
wlasna aplikacje mozesz sobie kupic licencje na ich silnik,
algorytm tez jest jawny, to AES
Post by Edward Tomasz Napierala
Ktos, jesli wyjdziesz do lazienki i zostawisz token na biurku,
moze spisac sobie kod, a potem - jesli w tym czasie nie uzyjesz
tokena - uwierzytelnic sie nim. Fakt, niespecjalnie przerazajace.
tyle ze taka zapisana liste latwo mozna swiadomie lub nieswiadomie udostepnic
komus innemu, albo nawet wielu osobom w celu zalogowania sie tam gdzie w zadnym
wypadku nie powinny miec dostepu
Marek Marczykowski
2009-06-16 17:30:28 UTC
Permalink
Post by Edward Tomasz Napierala
Post by Jeremiasz Kafelski
Post by MarcinF
Post by Jeremiasz Kafelski
integracja z serwisem dostepnym przez www system
skryptowy/php/ruby/etc. operacyjny moze byc mac
na stronach producentow powinienes znalezc liste wspieranych
przez serwerow www/systemow operacyjnych
A znasz jakichs producentow lub opis? Wydawalo mi sie, ze nikt nie
wymysla kola. Token np. firmy X generuje 10 pierwszych cyfr hash cyfry
123 i kolejne....
O takie wlasnie algorytmy mi chodzi. Jak to jest generowane.
Nie wiem, jak w przypadku innych producentow, ale na przyklad
do obslugi tokenow RSA masz zamknieta biblioteke. Sam algorytm
generowania i weryfikowania hasel nie jest, AFAIK, jawny.
A np. do tokenów gemalto (dopiero wchodzą w Polsce) dostarczają serwer
autoryzujący, który można podłączyć praktycznie do czego się chce (np.
ldap, radius).
Post by Edward Tomasz Napierala
Post by Jeremiasz Kafelski
Post by MarcinF
Post by Jeremiasz Kafelski
Co to znaczy listy?
Gczy znaczy to, ze wpisuje jakos haslo (nie wiem jak) na stale, a
potem
Post by MarcinF
Post by Jeremiasz Kafelski
tylko wazny jest czas?
to znaczy ze mozesz sobie nacinac przycisk, przepisac kod na kartke,
po czym znow nacisnac przycisk i znow przepisac kod na kartke...
w efekcie zrobisz sobie liste kodow, ktorych bedziesz mogl uzyc
pod warunkiem ze zachowasz ich kolejnosc
Czyli coś jak lista hasel jednorazowych?
W przypadku tokenow "na guzik", w odroznieniu od czasowych.
Post by Jeremiasz Kafelski
Czy to jakiś błąd? To chyba normalne dzialanie. Dlaczego moze byc
niebezpieczne?
Ktos, jesli wyjdziesz do lazienki i zostawisz token na biurku,
moze spisac sobie kod, a potem - jesli w tym czasie nie uzyjesz
tokena - uwierzytelnic sie nim. Fakt, niespecjalnie przerazajace.
Równie dobrze jak wyjdziesz i zostawisz token/klucz/kartę/whatever to
może namieszać podczas Twojej nieobecności. Z założenia takich urządzeń
się nie zostawia bez opieki, tak samo jak się nie zostawia zalogowanego
(nie zablokowanego) terminala/systemu.
--
Pozdrawiam,
Marek Marczykowski | gg:2873965
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
Micha³ (JabLuszko) Karwowski
2009-06-10 17:54:49 UTC
Permalink
Post by Jeremiasz Kafelski
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?
Może taniej wyjdzie podłączyć komórkę pod serwer i dopisać obsługę
SMS-Token?
Jeremiasz Kafelski
2009-06-12 17:08:02 UTC
Permalink
Post by Micha³ (JabLuszko) Karwowski
Post by Jeremiasz Kafelski
Czy ktoś zna jakieś tanie tokeny, które można by było uzyć do
autentykacji?
Może taniej wyjdzie podłączyć komórkę pod serwer i dopisać obsługę
SMS-Token?
;)
nie wierze internetowi i telefonii.
Kontynuuj czytanie narkive:
Loading...