J'ai été chargé de créer un système de mot de passe à usage unique (OTP) qui sera éventuellement utilisé pour créer des générateurs OTP sur des appareils mobiles.Que dois-je savoir d'autre sur la mise en œuvre d'un système de mot de passe à usage unique?
Nous cherchons à utiliser HOTP (rfc 4226) en utilisant un compteur, mais peut-être avec quelques variations. Nous ne sommes pas tenus d'être conformes à OATH.
Ceci est ma première expérience dans le domaine de la sécurité/cryptographie, alors j'essaie d'éviter (et d'apprendre) les pièges de sécurité qui empêchent les recrues de sécurité, ainsi que de mieux comprendre ce que je dois faire et sais de compléter cette tâche.
En plus de ce conseil général, j'ai quelques questions précises sur la mise en œuvre de ce projet:
est-HOTP toujours considéré comme sûr, même si elle est juste en utilisant SHA-1? Un de mes collègues a suggéré que nous devrions utiliser HMAC-SHA-512. Il semble assez facile de changer l'algorithme sous-jacent que nous utilisons. Y a-t-il des effets secondaires que je devrais savoir? Comme l'augmentation du temps de traitement?
Je suis préoccupé par la synchronisation du compteur. Que devrais-je utiliser comme un avertissement pour les valeurs de compteur possibles? Quelles sont les meilleures façons de se synchroniser si l'utilisateur a dépassé sa limite de prévisualisation? Serait-il plus facile d'afficher et d'envoyer le compteur avec l'OTP correspondant, ou est-ce que cela affaiblit considérablement la sécurité?
Je ne comprends pas non plus les meilleures pratiques pour stocker de manière sécurisée des informations connexes, telles que les valeurs secrètes et les valeurs de compteur partagées.
Lorsque vous répondez, gardez à l'esprit que je suis nouveau dans ce domaine, et que j'essaie toujours de comprendre le jargon et les acronymes. Merci d'avance.