Comment fonctionnent les périphériques de jetons matériels?

Cela a très peu à voir avec les fonctions de hachage. Une fonction de hachage cryptographique peut être le cadre de la mise en œuvre, mais il n'est pas nécessaire.

En fait, il génère les chiffres sur un intervalle, si j'appuie sur le bouton pour générer les chiffres, il génère les chiffres et après environ 25 secondes, et je le presse de nouveau, les chiffres changent pas quand je le presse de nouveau immédiatement après que j'ai appuyé sur elle.

Il y a votre indice. Il est temps, en fonction pseudo-aléatoire ou d'un algorithme cryptographique. Basé sur le temps, il y a un code. Le dongle et le serveur de savoir – ou plutôt, peut calculer le code pour chaque fenêtre. C'est un secret partagé - le dongle ne se connecte pas à un serveur distant. Le serveur va probablement permettre à un ou deux de la plus récente des clés secrètes, pour éviter la situation où vous entrez une clé d' juste expiré alors que la transmission est en route.

(Bien que mon expérience récente avec Amazon Web Service d'authentification multi-facteurs a certainement entraîné des échecs de connexion dans un délai de 5 secondes d'un code affiché à moi. En d'autres termes, certains vendeurs sont très strictes avec leur calendrier windows. Comme toujours, c'est un compromis entre sécurité et facilité d'utilisation.)

Les abréviations CodesInChaos mentionner sont Basée sur le temps-le Temps Passe (TOTP) et HMAC-en fonction d'Un Mot de passe (HOTP)deux algorithmes couramment utilisés dans l'authentification à deux facteurs.

Wikipedia a ceci à dire à propos de la RSA SecurIDune marque particulière de deux facteurs d'authentification dongle.

L'authentification RSA SecurID mécanisme consiste en un "jeton" — matériel (par exemple une clé USB) ou d'un logiciel (un jeton logiciel) — qui est affecté à un utilisateur de l'ordinateur et qui génère un code d'authentification à intervalles fixes (généralement 60 secondes) à l'aide d'une horloge intégrée et la carte en usine codé clé aléatoire (connu sous le nom de "graine"). La graine est différente pour chaque jeton, et est chargé dans le serveur RSA SecurID (RSA Authentication Manager, anciennement AS/Serveur) que les jetons sont achetés.

J'ai choisi cet article parce qu'il a un motif raisonnable, description physique; le niveau supérieur, articles portent sur la théorie et sur la mise en œuvre physique.

L'article confirme également que vous avez besoin de garder le secret du jeton, ou quelqu'un d'autre peut usurper l'identité de vos connexions de savoir ce que les codes sont aussi facilement que vous le faites.

Le jeton matériel est conçu pour être inviolables pour dissuader l'ingénierie inverse. Lors de l'implantation d'un logiciel du même algorithme ("logiciel " tokens") apparu sur le marché, le code du public a été développé par la communauté de sécurité permettant à un utilisateur d'émuler RSA SecurID dans le logiciel, mais seulement si elles ont accès à un courant de RSA SecurID code, et l'original 64-bit RSA SecurID de graines de fichier introduit sur le serveur.

Cependant, depuis la vérification de serveur doit avoir connaissance des jetonsles deux facteurs les secrets sont vulnérables à des attaques sur la source. SecurID a été victime d'un vol qui a ciblé leurs propres serveurs et a finalement conduit à l'enseignement secondaire des incursions sur leurs clients des serveurs.

Enfin, il y a plus d'informations disponibles sur le de sécurité.stackexchange sœur-site dans le cadre du multi-facteur de balise, et aussi sur ce site sous la deux facteurs d'authentification de la balise.