Okt 16

One Time Passwords(OTP) sind in letzter Zeit immer häufiger in den Medien gelandet, wie zum Beispiel die Fremdrechneranmeldung von Facebook.

Eine schöne Anwendung um Tokens zu generieren ist die Verisign App “VIP Access” für Verisign Anmeldungen wie zum Beispiel bei eBay.

Aber als Entwickler ist es natürlich interessant, die Technik selber nutzen zu können. Zu diesem Thema gibt es einen informativen RFC Draft von Verisign [1] , der sich mit der Erstellung und Verifikation von OTPs befasst.

Eine Beispielimplementierung für Java ist dem Draft gleich beigefügt. Auf Basis dieser RI habe ich nun eine abgespeckte Variante für genau 6-stellige OTP geschrieben, die automatisch die aktuelle Zeit verwendet und auch eine verify-Methode mitbringt. [2]

Nach etwas Recherche zwecks Crypto-API ist es mir auch gelungen, eine BlackBerry Implementierung zu verfassen. [3]

Als nächstes soll nun noch eine Implementierung für Objective-C folgen um auch auf dem iPhone oder iPad OTPs erzeugen zu können. Danach lässt sich leicht eine Sammlung von Client Anwendungen zur Tokengenerierung schreiben, sowie eine Serverkomponente zur zentralen Verwaltung.

[1] http://www.ietf.org/id/draft-mraihi-totp-timebased-06.txt

[2] http://www.hoegertn.de/own/TOTP_java.java

[3] http://www.hoegertn.de/own/TOTP_bb.java

Einen Kommentar schreiben