Ciao!!! > Cosa ne pensate del token OTP via software che ha realizzato Google > per il login su Gmail e gli altri servizi? > [....] Sulle effettive caratteristiche di sicurezza però mi piacerebbe > saperne di più.. Il google otp authenticator si basa sugli algoritmi standard hotp e totp, cui seed pero' viene comunicato tramite base32 per rendere piu' facile il provisioning verso l'utente finale, invece della classica 41 hex (che poi e' la lunghezza di sha1). Lascio ai matematici la spiegazione dell'algoritmo, per me e' stata una bella fatica scriverlo in diversi linguaggi (l'ho portato su C, python e ruby).
In poche parole, l'algoritmo e' buono e <vendor>lo usiamo anche noi in SecurePass come sistema di base di autenticazione</vendor>. Sebbene molto funzionale per la webmail application e tutte le altre applicazioni della "galassia" google, IMHO lo trovo poco pratico con tutti i devices mobili e quelle apps non-web based (tipo thunderbird, outlook, ...), perche' ogni volta ti chiede le varie password. Preferisco usare un misto di VPN con OTP+PIN e poi accedere ai miei servizi con la classica password interna. Il limite dell'OTP di google e' che e' usabile solo in quei servizi che sfruttano la google authentication e imho un po' difficile da integrare nelle normali apps. Prima di securepass, ho rilasciato un daemon OTP open source che implementa HOTP e parzialmente TOTP: ricordo che TOTP e' HOTP cui IV e' lo unixtime invece di un counter sequenziale 16bit. Non e' scalabile (per quello ho rallentato lo sviluppo), ma puo' renderti l'idea di come funziona quello di google. Questo e' il link: http://code.google.com/p/otpd/ Ciao ciao, Gippa ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
