schickst du mir deine Adresse. Ich habe das Ding jetzt fertig. Würde dir ein Muster zukommen lassen.

Gruss Benedikt

Grüße
Tobi

ich arbeite gerade an einer neuen Version, welche zusätzlich noch eine RTC und Batterie hat. So kann man am Server schauen, wie alt das Passwort ist und dieses entsprechend verwerfen.

Wer gerne mit ein paar Testmuster haben möchte kann sich gerne bei mir melden.

Ahso das ganze sollte dann unter 20 EUR später im Verkauf kosten.

sauter@embedded-projects.net

Gruss Bene

ja, du hast recht. Man bei dem Blogeintrag war ich echt nicht sorgfältig genug :/
Da war natürlich ein Fehler, denn der rtrim ging ja auch ins leere. Habs korrigiert und hoffe, das war der letzte Fehler

Viele Grüße
Tobi

wieso setzt Du in Zeile 14 $crypted auf $givenOtp um dann in Zeile 31 $crypted (bis dahin unbenutzt?) mit substr($givenOtp, 1) zu ersetzen?

Hätte man sich da Zeile 14 nicht komplett sparen können?

Klar, Du nimmst in 31 das erste Zeichen weg (den Z/Y Marker) aber vorher hast Du mit $crypted ja nichts mehr gemacht?

Sorry, falls das ne doofe Frage ist – ich hab mir heute erst den Stick bestellt und wollte mich erstmal einlesen – und ich bin echt kein guter Programmierer…

vielen Dank für deine Anmerkung! Da hast du natürlich recht, hier war meine Ausführung falsch. Ich hab das gleich korrigiert. Natürlich muss der Zählstand des Sticks dann übernommen werden. Bin schon erschrocken und hab gleich meine Implementierung nochmal geprüft, aber das habe ich da auch richtig gemacht und merke mir dann den gegebenen Zählstand vom Stick.

Viele Grüße und nochmal Danke!
Tobi

Folgendes Angriffsszenario:
Dein OpenKubus liegt bei Dir auf dem Tisch. Ich schnappe ihn mir und tippere 10mal auf den Knopf. Einfach so – vielleicht in einem editor, egal. Der Counter wird im stick um 10 erhöht.
Nun verschwinde ich wieder. Du loggst Dich mit dem Stick ein, drückst den Knopf und schickst quasi den Counter 11 zum Server. Der Server hat aber noch den Counter 1.

Nun macht der Server:

6. Der Login ist erfolgreich wenn der gegebene Zählstand größer dem Zählstand am Server ist und der gegebene Datenblock mit dem intern gespeicherten übereinstimmt.
7. War der Login erfolgreich, so wird am Server der Zählstand um eins erhöht: es werden nur Einmalpasswörter akzeptiert, die einen höheren Zählstand haben (alte funktionieren also nicht mehr).

Der Counter beim Server wird nur um 1 erhöht. Das ist das Problem. Ich habe nämlich auf der Leitung mitgelauscht. Nun kann ich das mitgeschnitte 9 mal verwenden, um mich zu authentisieren, weil ich nun 9 mal den Counter 11 schicken kann und jedesmal der Server das OK findet, weil er größer als sein eigener Counter ist.
Der Counter im Server muss also auf den vom Client gesendeten Counter gesetzt werden.

Bitte korrigier mich, wenn ich hier irgendwas übersehen habe…

Schönen Gruß
Cornelius

die 25 Euro find ich ok für eine Einzellösung. Für mehrere Leute müsste man da echt nochmal schauen, welche Lösungen es da noch gibt.

Das Problem mit der Portable Firefox und Zertifikaten ist wieder der Einsatz an einem unsicheren Rechner, wo man nicht weiß ob dieser nicht manipuliert oder kompromittiert wurde. Dort könnte jemand das Zertifikat abgreifen, was mit dem Stick nicht geht. Der AES Schlüssel verlässt ja nie den Stick.

Als zusätzliche Sicherheit ist so eine portable Firefox-Lösung aber interessant. Eine Idee ist es, einen portablen FF (am besten direkt als eine ausführbare Datei) zum Download anzubieten. Dieser wird dann ausgeführt und für alle weitere Zugriffe verwendet um etwa einen manipulierten Browser am aktuellen Rechner zu entgehen.

Viele Grüße
Tobi

ist jetzt nicht ganz das, was du mit dieser lösung hier erschlagen willst, aber — prinzipiell: was hältst du von SSL client zertifikaten? denkbare lösung hierfür: USB stick + portable firefox + SSL client cert und serverseitige SSL client cert authentication … ?