OTP Key Reversing
|
10-12-2012, 21h38
Message : #1
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
OTP Key Reversing
Yop tout le monde, ça fait longtemps que je n'ai pas posté sur le forum
Alors voilà , j'aurais un projet (sous certaines conditions) qui serait de Reverse les OTP Key. Alors tout d'abord vous allez me dire pour la plupart d'entre vous, qu'est-ce qu'un OTP Key? Une OTP Key c'est tout simplement une clé qui vous fournis un mot de passe à usage unique tout x intervalle de temps. J'ai découvert ces clés à l'école tout simplement, car je vois toujours mes profs ayant cette clé sur leur trousseau de clés. A quoi peuvent donc bien servir ces clés? Eh bien tout simplement à se connecter aux base élèves, évaluations, tableau de bord etc via l'éducation nationale. Les clés sont certifiées "RSA" comme nous pouvons le remarquer en dessous de la clé sur la photo. J'ai un document sur le OTP en lui même : http://n.favrefelix.free.fr/site/school/3/otp.pdf Mais j'ai une incertitude, j'avais cru entendre un de mes profs dire que ces clés marchaient via le réseau, cet à dire que la clé recevrait les nouveau mot de passe à usage unique par le biais du réseau sans fil. Schéma: Code : OTP Key - [WaitRequest] <-------------------------- Server [Send request for x interval of time to OTP Key]- Je fait ça en théorie, mais j'aimerais avoir la confirmations que ces clés utilisent bien le réseau pour recevoir les nouveau mot de passes à usage unique, car sinon l’intérêt devient plus réduit Si vous connaissez le système et que vous voyez de grosse erreurs de ma part je suis preneur de toute critique ! Je cherche à comprendre comment marchent ces clé et non pas à expliquer ! :> Cordialement, ReVeRse, See u soon on IRC
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
10-12-2012, 22h01
Message : #2
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: OTP Key Reversing
http://fr.wikipedia.org/wiki/SecurID
l'article semble dire qu'avec une XSS y'a moyen de voler un token, reste que les tentatives de XSS sont de plus en plus repérées par les navigateurs il est également question d'un phishing moyennant un faux certificat SSL, autant dire que si jamais c'est possible c'est tout de même pas trivial |
|
10-12-2012, 22h12
Message : #3
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: OTP Key Reversing
Je cherche pas trop à accéder au données élèves etc, mais plutôt savoir si il y a moyen d'envoyer du bullshit sur les OTP Key de profs :p
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
10-12-2012, 22h45
Message : #4
|
|
b0fh
Membre actif Messages : 210 Sujets : 17 Points: 309 Inscription : Jul 2012 |
RE: OTP Key Reversing
Les SecurID, recevoir leurs token par réseau sans fil ?
Complete. And. Utter. Bullshit. Ces trucs contiennent un générateur pseudo-aléatoire cryptographique. Le serveur connait la clef secrète du token et peut prédire le contenu de la clef (a +/- quelques cycles près, pour compenser le clock drift de la clef). Si tu veux t'en convaincre il suffit d'en avoir une (ici je crois que Credit Suisse les donne pour l'ebanking) et de vérifier que ça marche indépendamment du lieu. Pour les versions récentes je ne sais pas, mais je sais que les vieilles versions avaient un gros problème, du à une implémentation incorrecte du PRNG, qui permettait de prédire assez facilement le nombre complet (assez facilement veut dire, une chance sur 100 de trouver le bon nombre, au lieu d'une chance sur 1 million) |
|
10-12-2012, 22h48
Message : #5
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: OTP Key Reversing
Arf, je me doutais bien que c'était un truc comme ça :/ Dommage
Merci encore de l'info
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
12-12-2012, 19h58
(Modification du message : 12-12-2012, 20h00 par Xylitol.)
Message : #6
|
|
Xylitol
Membre Messages : 34 Sujets : 3 Points: 11 Inscription : Sep 2011 |
RE: OTP Key Reversing |
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)