Мне было поручено создать систему одноразовых паролей (OTP), которая в конечном итоге будет использоваться для создания генераторов OTP на мобильных устройствах.
Мы рассматриваем возможность использования HOTP (rfc 4226) со счетчиком, но, возможно, с некоторые вариации. Мы не обязаны соблюдать OATH.
Это мой первый опыт в области безопасности/криптографии, поэтому я пытаюсь избежать (и узнать о) подводных камнях безопасности, которые заманивают в ловушку новичков в области безопасности, а также лучше понять, что мне нужно делать и знать, чтобы завершить эта задача.
В дополнение к этому общему совету у меня есть несколько конкретных вопросов по реализации этого проекта:
Является ли HOTP по-прежнему безопасным, даже если он просто использует SHA-1? Один из моих коллег предложил использовать HMAC-SHA-512. Выглядит достаточно просто, чтобы переключить базовый алгоритм, который мы используем. Есть ли здесь побочные эффекты, о которых я должен знать? Например, увеличение времени обработки?
У меня есть опасения по поводу синхронизации счетчика. Что я должен использовать в качестве разумного прогноза возможных значений счетчика? Каковы наилучшие способы восстановить синхронизацию, если пользователь нажал вперед, превысив лимит упреждающего просмотра? Было бы проще отображать и отправлять счетчик вместе с соответствующим OTP, или это значительно ослабляет безопасность?
Я также плохо разбираюсь в передовых методах безопасного хранения связанной информации, такой как общий секрет и значения счетчика.
Когда вы отвечаете, имейте в виду, что я новичок в этой области и все еще пытаюсь наверстать упущенное в жаргоне и аббревиатурах. Заранее спасибо.
