نوشته‌شده در

تأیید هویت – هویت شخص ثالث با OTP

اول از همه می خواهم اشاره کنم که من کاملا انجام می دهم NOT میخواهم رمز عبور خودم را به هیچ وجه اجرا نکنم. من فقط در مورد این موضوع فکر کردم و بعد از تحقیقاتی، راه حل خوبی پیدا نشد.

امیدوارم که یک راه حل شناخته شده برای این مشکل وجود داشته باشد که من نمیتوانم پیدا کنم.

فرض کنید سه طرف متعاقب وجود دارد:

  • مشتری : فرض کنید یک گوشی هوشمند
  • uC : یک میکروکنترلر شبکه با یک کانال ناامن اضافی به سرور

  • : برخی از جادوگران باطن سرور دارای یک پایگاه داده است و برای هر دو، سرویس دهنده و UC، سرویس معتبر وب را تأیید می کند

دستیابی به تأیید اعتبار از مشتری در برابر دستگاه UC با استفاده از رمز عبور یک بار در زیر فرض های زیر؟

  • مشتری نباید قادر به تأیید هویت خود را قبل از اینکه سرور آن را "OK" داده است. فرض کنید برخی از فرایند رزرو / خرید و UC اقدام به اجازه دسترسی
  • اسرار ممکن است بین سرور <-> مشتری و بین سرور <-> uC
  • مشترک است. کانال بین مشتری و دستگاه UC باید به عنوان ناامن
  • یک کاربر ممکن است چندین مشتری داشته باشد که همه باید قادر به تأیید هویت باشند
  • دستگاه UC تنها یکی از بسیاری در زمینه است، بنابراین مشتری باید بتواند در برابر هر یک از آنها هویت ساز شود
  • Client و سرور با استفاده از یک API REST ارتباط برقرار می کند
  • دستگاه UC به وضوح محدود محاسبات قدرت / ذخیره سازی است، اما همچنین با استفاده از یک API REST برای برقراری ارتباط با سرور
  • تمام ارتباطات API از طریق TLS انجام می شود

آیا MSC زیر امکان پذیر است؟ ایده من اساسا برای استفاده از یک زنجیره هش برای ایجاد OTP بود. اما از آنجا که مشتری نباید راز ایجاد هش را بداند، نسل OTP توسط سرور انجام می شود. 

 + --------- + + --------- + + ----- +
| مشتری | | سرور | | uC |
+ --------- + + --------- + + ----- +
    | | | ---------------- 
    | | | - | فروشگاه ها h ^ n (p) |
    | | | | و n = 1000 |
    | | | | --------------- |
    | | ----------  |
    | | - | می داند p | |
    | | | و n | |
    | | | --------- | |
    | | |
    | درخواست دسترسی | |
    | ----------------------> | |
    | | ------------------  |
    | | - | بررسی کنید که آیا دسترسی | |
    | | | ممکن است اعطا شود |
    | | | ----------------- | |
    | | |
    | OTP = h ^ (n-1) (p) | |
    | <----------------------|                                  |
    |                       |                                  |
    | OTP                   |                                  |
    |---------------------------------------------------------> |
    | | | ----------------- 
    | | | - | دسترسی به دسترسی |
    | | | | فروشگاه OTP، n-- |
    | | | | ---------------- |
    | | |
    | | دسترسی به مجوز |
    | | اگر n == 0: ایجاد جدید h ^ 1000 (p) |
    | | <---------------------------------|
    |                       | ----------------------          |
    |                       |-| save granted access |          |
    |                       | | n--                 |          |
    |                       | |---------------------|          |
    |                       |                                  |
    |                       | OK, h^1000(q) if needed          |
    |                       |---------------------------------> |
    | | |

EDIT : فقط در مورد پنج دقیقه دیگر فکر کردم، متوجه شدم که این راه خوبی برای حل این مسئله نیست، زیرا سرور اساسا راز و فهرست زنجیره هش را ذخیره می کند. بنابراین در صورت نقض داده ها، OTP ها برای محاکمات بعدی n شناخته می شود.

آیا می توان این را تنها با ذخیره کردن فهرست زنجیره های هش در دستگاه UC حل کرد و تنها یک بار به سرور این ارتباط برقرار می کند؟ به عنوان مثال اگر مشتری مشتری UC برای شاخص فعلی خود را قبل از درخواست دسترسی از سرور نمایش دهد؟

نوشته‌شده در

حامل تلفن همراه شما فروش دادههای موقعیت مکانی شما را به شخص ثالث میدهد


حامل تلفن همراه

تمام حامل های مهم تلفن همراه جمع آوری و فروش اطلاعات مکانی خود را در زمان واقعی مشتریان به تبلیغ کنندگان ثالث، اطلاعات منتشر شده در دادگاه اخیر دادگاه نشان داد. Krebs On Security حتی کشف کرد که LocationS

به گفته AndroidCentral، پرونده به 2014 نگاه می کند، زمانی که یک کلانتر در میسوری شروع به استفاده از خدمات مخابراتی زندان به نام "Securus" کرد تا مکان یک قاضی محلی و اعضای گشت راه بزرگراه دولت را پیگیری کند

Securus توسط افسران زندان برای مدیریت تماس های انجام شده به زندانیان استفاده می شود و این سیستم همچنین اجازه می دهد تا افسران شناسایی مکان هر تلفن همراه را در کمتر از 15 ثانیه شناسایی کنند. سوء استفاده شرور از Securus این سیستم را تحت بررسی قرار داده است و این بررسی نشان می دهد که این شرکت اطلاعات خود را از طریق واسطه به نام LocationSmart به دست می آورد که آن را از حامل های سلولی خریداری می کند و سپس آن را به Securus و سایر شرکت های ثالث فروخته است. رابرت شیائو حتی متوجه شد که LocationSmart این اطلاعات را بدون تایید هویت از بین می برد. معنی این است که هر کسی که در مورد این موضوع می داند می تواند مکان های هر تلفن از سوی هر حامل اصلی در ایالات متحده را ردیابی کند.

به طور حیرت انگیز (یا شاید نه)، این قانونی است که در قانون مجازات ارتباطات الکترونیکی مطرح است، از به اشتراک گذاری اطلاعات مکان با دولت، اما شامل مقررات مشابه برای محدود کردن اشتراک گذاری مکان با سایر اشخاص ثالث نیست.

این اولین بار نیست که حامل های سلولی فروش اطلاعات شخصی را به تبلیغ کنندگان شخص ثالث منتقل می کنند. همانطور که دسترسی خصوصی به اینترنت در سال گذشته گزارش شده است، شرکت های مخابراتی ایالات متحده مدت طولانی اطلاعات مربوط به صورت حساب شما را برای هر کسی که با آدرس IP تلفن همراه شما در دسترس است، در دسترس شما قرار می دهد. در این مرحله مشخص شد که آیا حامل ها نیز محل فروش، داده ها را به فروش رسانده اند، هرچند رسوایی Securus تأیید کرده است که آنها انجام می دهند.

به عبارت دیگر، هر وبسایتی که بازدید می کنید، ممکن است دسترسی به نه تنها به اطلاعات صورتحساب شما – سلول شماره تلفن، آدرس خانه، و غیره – اما همچنین به مکان فعلی شما.

شما می توانید با استفاده از VPN در هنگام دسترسی به اینترنت در دستگاه های تلفن همراه خود خود را محافظت کنید، زیرا این باعث می شود که وب سایت هایی که بازدید می کنید از امکان پرسیدن اطلاعات مربوط به صورتحساب خود را در زمان واقعی از کارگزاران داده

مهم است که توجه داشته باشید که با استفاده از VPN، مکان شما را از اجرای قانون محروم نکنید، زیرا حامل ها و کارگزاران داده ها آنها را با اطلاعات مکان نامعلوم ارائه می دهند. با این حال، از اطلاعات شما از تبلیغات شخص ثالث محافظت می کند که فقط دسترسی به مجموعه داده های ناشناس دارند.

Image Featured from Pixabay


VPN Service "title =" VPN Service "/>    </div> <p><a href=