问题标签 [challenge-response]

好吧，伙计们只是一个小游戏：

我有一个项目的一些规范。在某些时候，他们要求以下内容通过网络加密密码，称这是一个质询响应协议：

对于那些不知道它的人来说，SHA 代表 Secure Hashing Algorithm，一种加密的标准算法。

我希望这很清楚。问题是：如果我嗅探数据包 2 和 3（“挑战”和“挑战异或密码”，我确实有实际密码，只是它们之间有另一个异或！？！？还有其他方法可以实现这种协议??

假设您想在 SSL 加密的登录名/密码之上添加额外的凭据层，但您不想增加用户的复杂性。有没有办法将拥有加密狗的要求添加到具有现有跨平台浏览器功能的 Web 服务器身份验证方案中？

换句话说，要访问该网站，您需要一个用户名、密码和一个已插入客户端计算机的 USB 加密狗。加密狗可能会进行某种挑战/响应。

如果这个加密狗解决方案可以自动与 Firefox 一起使用，或者只需添加一个插件，那就太理想了。

想法和建议表示赞赏。

我们有一个使用密码验证来访问数据库的系统，用户名和加密密码存储在数据库中。当用户忘记他们的密码时，（或管理员离开去更绿的牧场）我们希望能够为当前管理员生成一个新密码或生成一个新管理员。

我们通过电话支持与客户打交道。所以我们要使用这个场景：

用户响起 - 忘记密码。

客户端软件根据其站点许可证生成质询代码

用户告诉电话支持人员挑战码

电话支持人员提供响应代码

用户输入挑战码和响应码，然后进入后门（创建新用户或重置当前用户密码）

我们希望挑战/响应只工作一次，我们不想让后门敞开。

我们应该怎么做？

我目前正在使用 Java SASL API，并且我编写了一个小程序来使用 CRAM-MD5 模拟质询响应序列。但是，我不确定如何执行此操作，因为 SaslClient 和 SaslServer 只有方法 evaluateChallenge(...) 和 evaluateResponse(...)。我希望 SaslServer 有一个像 issueChallenge(...) 或类似的方法，但它没有。那么正确的方法是什么？

您可以在下面找到我的（不工作的）代码。

问候，弗雷德

我有兴趣在 Delphi 中创建一个挑战/响应类型的过程。场景是这样的……我们有 2 台计算机……1 台属于用户，1 台属于支持技术人员。

用户被锁定在某个程序之外，为了获得 1 次访问权限，我想要：

1. 向用户呈现一个挑战短语，例如“28394LDJA9281DHQ”或某种类型的合理唯一值
2. 用户将致电支持人员并阅读此挑战（在支持人员验证其身份后）
3. 支持人员将此挑战值输入到他们系统上的程序中，该程序将生成响应，该响应与响应一样独特，例如“9232KLSDF92SD”
4. 用户输入响应，程序确定这是否是有效响应。
5. 如果是，则授予用户 1 次访问应用程序的权限。

现在，如何做到这一点是我的问题？我将有 2 个应用程序彼此之间无法联网访问。Windows 中是否有任何功能可以帮助我完成这项任务？

我相信我可以在CryptoAPI中使用一些功能，但我真的不确定从哪里开始。我很感激你能提供的任何帮助。

质询-响应身份验证如何防止中间人攻击？我阅读了 wiki 文章，但仍然无法理解。

这是一个毫无头绪的问题，但是社会主义百万富翁协议（通常与 OTR-Messaging 结合使用）是 CHAP 等“传统”挑战-响应机制无法做到的？

http://en.wikipedia.org/wiki/Socialist_millionaire

http://en.wikipedia.org/wiki/Challenge-handshake_authentication_protocol

PS：有人可以考虑添加标签“OTR”吗？

我们有一个使用 REST-ful 开发移动应用程序的计划。我们想应用 OAuth 1.0a 而不是 OAuth 2.0，因为我们不使用 SSL。我们也不想使用网络浏览器（我们认为基于 PIN 的 UX 不友好）。我们知道使用正常的 OAuth 流程是不可能的。

我不是安全架构方面的专家，但我在网上搜索了一下，发现有人使用挑战-响应模型之类的方法登录实现了。

如果我们的应用不需要保证用户名的安全并且用户信任我们在我们的应用中输入他们的密码，这种方法可以用来交换访问令牌吗？有什么破绽吗？

1. 在服务器响应未经授权的请求令牌后，客户端开始质询-响应流程。

2. 客户端向http://www.example.com/login发送请求，参数如 OAuth require: oauth_consumer_key, oauth_token, oauth_signature_method, oauth_timestamp, oauth_nonce 和附加的用户名参数 username="username"，密码参数由用户密码计算（存储在服务器中）， oauth_nonce 与 KDF 密钥派生函数/散列函数。客户端使用 OAuth 描述计算请求签名，但在省略密码参数后使用参数 username 和其他必需参数发送请求。

3. 服务器检查请求并返回访问令牌。

我想知道jCryption + Challenge Response Authentication Mechanism 是否是 SSL 的一个很好的替代方案。

我知道 SSL 要好得多，但我正在制作一个所有者不想购买 SSL 证书的项目，我想找到一个解决方案来提供无需使用即可获得的最佳安全方法SSL 的。

有任何想法吗？

我正在尝试在不使用 user:password@host 的情况下向 xmlrpc 服务器（将在 P2P 网络的节点上运行）添加身份验证，因为这会将密码泄露给所有攻击者。身份验证基本上是创建一个专用网络，防止未经授权的用户访问它。

我对此的解决方案是创建一个与此非常相似的质询响应系统，但我不知道如何将其添加到 xmlrpc 服务器代码中。我在这里发现了一个类似的问题（需要自定义身份验证的地方）。

所以我尝试创建一个每当客户端连接到服务器时都会调用的模块。这将连接到客户端上运行的质询-响应服务器，如果客户端正确响应，则返回 True。唯一的问题是我只能调用该模块一次，然后我得到一个反应堆无法重新启动错误。那么是否有某种方法可以让一个类在调用“check()”函数时连接并执行此操作？

最简单的事情是使用 SSL 连接吗？那会保护密码吗？虽然这个解决方案不是最优的，因为我试图避免为所有节点生成 SSL 证书。