服务器 Gind.cn
  1. 服务器 Gind.cn
  3. RSA SecurID的软件版本?
Intereting Posts
在不运行Backup Exec的情况下还原Backup Exec磁带 CentOS虚拟机,NTP同步问题 GPO卸载的程序,而不是安装它 客户端被服务器configuration拒绝 有人吃我们所有的带宽,我该怎么做? 使用Ubuntu命令连接到非encryption的无线networking 两个Windows服务器,不在域,授予对方的用户权限 inheritance的错误构思的Hyper-V瘦客户机环境:现在呢? 使用ftp或webdav? Postfix – Sendmail不可能使用Yahoo邮箱 Exchange 2010 OWA发送连接器问题 有没有办法知道编译从源代码的Apache时,最后的./configure选项? 反向代理失败 Rsync的32位Ubuntu的64位实例 作为root和apache用户运行的CentOS httpd

RSA SecurID的软件版本?

有下面的securID fob的软件版本:
RSA SecurID FOB http://www.frontierpc.com/ProductImages/Large/1010053834.jpg

我记得读到,密钥生成的algorithm已被破坏,并有一个软件工具可用,如果你从你的物理密钥冲出足够的序列,它会找出关键序列。 我在哪里可以得到这个软件?

编辑:我正在寻找非官方的软件

为了寻找能够破解RSA SecurID的软件,Nick Kavadias写道:“我记得读过关于密钥生成的algorithm已经被破坏,还有一个软件工具可用,如果你从你的物理密钥中打出足够的序列,出来的关键序列。我在哪里可以得到这个软件???“

嗨尼克,

自2003年以来,RSA SecurID已经基于AES分组密码,这是美国先进的密码标准。 SecurID使用一个128位令牌特定的密钥和AES,通过encryption来持续生成一系列60秒的SecurID令牌代码:

  • 当前时间(年/月/日/小时/分钟/秒)的64位标准ISO表示,
  • 一个32位令牌特定的salt(令牌的序列号)和
  • 另有32位填充。

对不起,尼克。 没有快乐。 在可预见的将来,没有人可能“破坏”AES。

最初于1987年推出的原始SecurID使用专有的John Brainardalgorithm来哈希64位令牌特定秘密和当前时间来生成SecurID的一系列6-8位令牌代码,每60秒不断更改。

尽pipe据我所知,从来没有人成功破解过一个经典的64位SecurID,但在RSA升级到不久之后不久,发布了旧的SecurID哈希中的新型漏洞它的AES SecurID。 这些针对Brainard哈希的理论攻击通常需要收集成千上万的SecurID令牌代码,并对一些令牌进行一系列可能有效的广泛的统计分析。 我知道有几个尝试使用这种方法来实际上破解SecurID,但他们都没有成功

我怀疑是否有真正的软件 – 毕竟只有攻击64位SecurID(一种不再使用的产品)才是有效的,但是有一些学术论文可以探索这种可能性,你的弯曲。 (对Brainard散列的最有洞察力的解构和分析是在2003年Biryukov,Lano和Preneel的论文以及前两位RSA密码学家Contini和Yin于2004年发表的另一篇论文中,我认为两者都可以在线访问。

尼克,我对你的目标有点不清楚。 RSA已经从他们的网站免费分发了数百万个AES SecurID软件版本,可以为各种手持平台定制。 他们收取他们的服务器和用来初始化这些令牌仿真应用程序的“密钥”。 毫无疑问,各种反向工程版本的SecurID代码在stream通中。 所以你可以玩真实的或模仿的SecurID代码 – 但没有128位的秘密使RSA系统工作。 而RSA的authentication服务器只会注册和支持由公司RSA数字签名的SecurID秘密“密钥”。

我希望这回答了你的问题。 说出来,如果你有更多。 我多年来一直是RSA的顾问,我的偏见是公开的,但我通常是问答。

Suerte,_Vin

RSA为某些PDA执行官方软件令牌。 我们公司在公司Blackberrys上安装令牌的软件版本,以节省用户不得不随身携带encryption狗以及他们的BB。

在PDA上安装软件可以在安装软件令牌的同一桌面PC上保留安全性(您拥有的东西以及您知道的东西)的双重因素,您可能无法连接到该资源。

控制资源访问的人使用官方分发给您的RSA软件令牌,比使用一些被破解的软件可能破坏您与发行者和RSA之间的各种协议要好得多。

在这里查看RSA的官方软件身份validation器 ,请注意,虽然您可以毫无困难地下载其中的一些,但是如果没有运行您试图访问的资源的人员发布的密钥/种子logging,他们将无法正常工作。

我不相信你可以使用你的RSA keyfob,但是有一个免费的基于社区的,开源的,基于networking的双因素authentication,称为WikID 。 他们也有一个商业计划。

如果存在,我不会推荐使用这样的软件。

你基本上是从login安排中去除安全级别。 如果有人以某种方式访问​​您的工作站/笔记本电脑(本地或远程),那么他们拥有他们在这些系统上login所需的一切。 将一个额外的物理设备作为身份validation过程的一部分,就是您拥有该设备,而远程黑客(或者盗取了您的笔记本电脑的人)却没有。

谁给了你用于访问他们的系统的物理钥匙,如果你做这样的事情就不会感到高兴,而且如果他们发现,至less可能完全撤销你的访问。 你甚至可能在诉讼情况中find你自己,因为你很有可能违反了你获得服务时所达成的任何协议。

可以模拟SecureID设备,提供您所有必需的项目。 但是这样做,你打破了双重authentication的基本devise。 无论谁给你提供设备来确保访问他们自己的系统,这无疑是不会取悦的。

双因素validation的原则是,物理项目是“你所拥有的难题的一部分”,不能被复制,并始终与你保持一致。 如果您在笔记本电脑上使用软件进行模拟,那么您的笔记本电脑将成为窃取和/或复制这些数据的目标,可能您甚至不知道已经发生了这种情况。

试试这个,但你必须知道你的令牌的序列号。 不,这不是写在标记后面的那个。