Authentication

通過電話進行身份驗證?

  • October 31, 2019

是否有任何已知的以不易受到重放攻擊的方式通過電話執行身份驗證的好方法?

想到的具體場景是擁有一個自動呼叫中心,通過一個或多個問題驗證身份。由於不能保證電話線是安全的(或者使用者可能只是在公共場所),因此電話可能會被竊聽。

想到的一個想法類似於 CHAP - 使用者聽到一個挑戰,在心裡對其進行散列(根據這個 CryptoSE Q&A,也許 Blum 的散列是一個很好的候選者),然後大聲說出解決方案。以前有沒有嘗試過這樣的事情,是否有任何已知的漏洞?

看看軍方的樹妖進行身份驗證。

TAN - 交易認證號碼。由於 TAN 是一次性密碼,因此不易受到重放攻擊。

TAN 和永久密碼的本質區別:呼叫中心可以在一次呼叫中詢問客戶“請告訴我 TAN 號碼 79”,下一次“請告訴我 TAN 號碼 28”。每個 TAN 將不再被詢問一次。這就是為什麼竊聽無關緊要,不再請求相同的 TAN。重放攻擊也沒有可能。限制:例如,向使用者分發 TAN 必須是安全的。

引用自:https://crypto.stackexchange.com/questions/53907