记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

浅析Google账号的强认证方式:two-step verification

Google感觉简单的密码和不记名令牌(如cookies)不足以保证用户的安全,早已经推荐使用基于OTP和公钥技术的两步验证方法(two-step verification),来增强对用户和设备的身份认证。经典的认证框架是:“something you know”与“something you have”结合使用。这篇论文描述Google是如何实现这个框架,以及大规模投入使用后学习到的经验与方向。经典认证框架的一个简单例子:ATM取钱,你输入的6位数字密码相当于“something you know”;你插入的银行卡相当于“something you have”,攻击者想要取走你的钱,得要同时偷到你的密码和银行卡。 账号分类不是所有的账号都需要强认证方式,Google分了如下五类(1)一次性账号(th
发布时间:2015-09-24 00:45 | 阅读:173580 | 评论:0 | 标签:学术研究

OATH:强认证开放体系

OATH由很多国际IT巨头发起,致力于提供一个通用强认证的参考体系。如今国内外几乎所有公司实现的OTP解决方案都是根据OATH发布的一些规范来完成的,国内的公司如众人科技和时代亿信。         “The Initiative for Open AuTHentication (OATH) is a collaborative effort of IT industry leaders aimed at providing a reference architecture for universal strong authentication across all users and all devices over all ne
发布时间:2015-09-11 18:20 | 阅读:154767 | 评论:0 | 标签:学术研究

Intel SGX新技术学习研究引导手册

SGX是Intel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性,从SGX提出后,其吸引了一批系统和网络安全的研究者,NCCGroup的博客对SGX方面的资料进行了一个初步的总结,对研究者学习SGX技术具有很好的引导作用。这里主要根据该博文对SGX进行简单的整理。目前并没有基于SGX的产品出现,不过学术界已经给出了一些应用来说明SGX的强大,相信工业界也正在开发对应的产品。SGX能将安全应用依赖的可信计算基TCB减小到仅包含CPU和安全应用本身,将不可信的复杂OS和虚拟机监控器VMM排除在安全边界之外。 什么是SGX?         SGX全称Intel Software
发布时间:2015-05-20 02:10 | 阅读:1948687 | 评论:0 | 标签:学术研究

基于PUF的密钥生成器:FPGA实现

本文基于物理不可克隆函数PUF提出了一个实用模块化的“密钥生成器”设计,并且在FPGA设备上进行了完整的实现和评估。本文设计和实现的PUFKY,号称基于PUF的密钥生成器的第一次完整实现,包含一个PUF,一个纠错码BCH decoder和一个密码熵累加器cryptographic entropy accumulator。大多数密码应用的实现离不开一个安全密钥。安全地生成和存储密钥依赖两点最基本的需求:(1)一个真的随机源,保证生成不可预测和唯一的新鲜密钥;(2)一个受保护的存储空间,用于可靠的储存生成的密钥信息,防止其被非授权方获取。从实现的角度来看,这两点需求都不容易满足。首先,不可预测的随机性通常使用伪随机生成器PRNG(Pseudo-Random Number Generator)来实现,不过终究不是真随
发布时间:2015-05-08 07:00 | 阅读:356181 | 评论:0 | 标签:学术研究

模糊提取器:Fuzzy Extractor and Secure Sketch

密码机制中的秘密值通常是随机串,要求是均匀分布,而且需要时可以 精确再生。而在现实世界中秘密值很难满足这一点,例如,对于类似指纹等的生物特征,并不是均匀分布的随机值,而且每次需要时,也无法精确的再现(指纹都存在一定误差)。用户进行认证最常见的方式是基于Password,短的Password用户容易记忆,但是熵值很低,安全性差;而一些长的密码短语,用户不容易记忆,而且也无法使用均匀分布的随机数。要跨越这种障碍,需要一种方法能将现实中的这些秘密值转换为真正密码系统需要的均匀分布的随机数。这篇介绍的模糊提取器可以达到这一点要求。模糊提取器?Fuzzy Extractor(FE),允许输入拥有一定的噪声(或者错误),只要输入相近能提取出相同的一个均匀的随机字符串,大体构造如下:?Gen过程:输入w,输出辅助数据P(公开
发布时间:2015-05-05 08:30 | 阅读:202004 | 评论:0 | 标签:学术研究

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云