Может ли кто-нибудь объяснить мне в простых программных терминах, как работают эти ключи ключей RSA? Я знаю, что Blizzard имеет их для WoW и PayPal, а также для некоторых торговых площадок.
Спасибо!
Фоб имеет часы и серийный номер, который используется как семя для PRNG. Когда вы нажмете кнопку "показать мне код", fob отобразит номер, который является продуктом этой метки времени, и серийный номер запускается через PRNG. Сервер знает ваш серийный номер fob и время и выполняет ту же операцию. Если ваши коды совпадают, вы аутентифицированы.
Вы можете рассчитать предыдущие/следующие значения N на конце сервера для учета перекоса часов.
Программные термины не нужны. Представьте себе две части аппаратного обеспечения (ваш ключ и что-то в компании), которые генерируют одинаковые номера в те же регулярные промежутки времени. Было бы практически невозможно догадаться, какое количество связано с некоторыми проприетарными алгоритмами, поэтому, если номер, который вы вводите (или автоматически отправляется с помощью ключа), совпадает с номером на сервере, ваша личность проверяется.
По крайней мере, с ключом, который у меня есть, вы также должны предоставить штырь, известный только вам и серверу. Итак, чтобы пройти аутентификацию, вам нужно как физическое, так и что-то в голове. Это сочетание довольно сложно подделать. Даже если кто-то получит ключ, если только они не знают, что ваш штырь бесполезен. И если они знают ваш контакт, эта информация бесполезна без ключа.
Безопасность сейчас! эпизод 103 рассказывает о том, как они работают. (Эта ссылка относится к заметкам о шоу, но там есть ссылка в верхней части страницы на аудиоподкаст.)
В принципе, брелоки синхронизируются с сервером, и они оба засеяны, чтобы генерировать одну и ту же последовательность псевдослучайных чисел. Сервер знает это, если вы введете правильный номер в нужное время.