某软件OTP算法分析

最新推荐文章于 2022-04-12 09:16:18 发布
最新推荐文章于 2022-04-12 09:16:18 发布
阅读量856 收藏 1
点赞数 1
分类专栏: 安全分析 文章标签: OTP 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dieTicket/article/details/106972665
版权

某软件OTP算法分析

OTP,即one time password,也就是我们常说的动态口令,目前在很多app都有应用。最近有人找我分析一款app的动态口令生成算法,记录一下。

入手点

打开app,可以看到6位的动态口令,每隔30秒自动刷新一次,每次间隔20秒才可以手动刷新。通过DDMS工具查看具体生成的时候用到了哪些函数。

这样做有一个问题就是,我们不清楚哪些函数是关键点。大概的猜想com.b之类的包是关键点,没有详细的入手点。通过看日志,我们发现有趣的地方。

打开JEB,直接在字符串部分搜索otpNumStr8,定位在了关键的地方:

之后便是无聊的来回定位时间,纯属体力活。
但是这儿需要值得注意的地方是,该app用了几个加密以及编码算法,在源码中由于混淆的原因,可能直接辨认出来,这就需要长时间的实践有一个条件反射,知道哪些方法或者变量是哪个算法的特征。比如此处看到:

需要能够反应过来这是SHA中的常量,再根据后面的方法确定是SHA-512。此外,该app还实现了AES,BASE64,URLEncode等的算法,都要对算法本身很了解才行。
说一下目标app生成OTP的思路,采用伪代码进行描述:
1.生成当前GMT时间GMTTime,格式为yyyyMMddkkmm
2.生成设备哈希值
deviceSHA-1 = sha-1(‘Mobilians MOTP HWINFO Create’ + IMEI)
deviceSHA-1 = deviceSHA-1.sub(1, 11) + deviceSHA-1.sub(13, 18)
3.生成AES的密钥
OTPID-SHA-1 = get_sha-1_key(BASE64Encode(URLEncode(OTPID)) + “&” + BASE64Encode(URLEncode(‘option1’)) + “&” + BASE64Encode(URLEncode(‘option2’)) + “&” + BASE64Encode(URLEncode(‘option3’)))
其中,get_sha-1_key算法思想如下:
首先ret = sha-1(param),对于结果ret,在前面拼接64字节的0字节后再进行一次SHA-1得到第二次的结果ret。
ret = sha-1(param + ret.sub(0,8))
对于结果ret,在前面拼接64字节的0字节后再进行一次SHA-1得到最后的的结果ret。
4.生成帐号相关数据
该步骤首先读取帐号相关文件,对其分割之后进行URL解码以及BASE64解码,得到cipher
5.采用OTPID-SHA-1对第四步拿到的帐号数据进行AES解密,对明文进行两次运算
plain = AES(cipher, plain, ‘AES-128-CBC’)
plain = BASE64Decode(URLDecode(plain))
plain = BASE64Decode(URLDecode(plain))
6.计算SHA512结果
data = ‘Mobilians AHENDPRPWKDBFMF MOTP2 OTPGeneration Computation’.toytes()
data += GMTTime
data += deviceSHA-1
data += plain
data += 0
result = SHA-512(data)
7.最后得到结果

袁赛因不花
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
身份认证OTP动态口令应用案例
安当加密
12-26 2825
随着互联网技术的发展,电子商务、企业办公、电子银行等互联网应用正在日益紧密的和我们的工作、生活相关联。在我们享受互联网带来便利的同时,却一直被互联网安全问题困扰着,有了杀毒软件来帮我们查杀病毒,有了防火墙来帮我们阻止可能的网络威胁等等,然而除了这些来自网络本身的安全威胁外,用户身份的认证(客户端终端安全问题)也成了互联网安全所面临的重要问题。 静态口令(即通常的账号和密码登录)进行身份验证给具有安全隐患 为了便于记忆,用户多选择有特征作为密码,容易被猜测和破解; 黑客可以从网上或电话线上截获静态密
了解OTP
月来better
02-26 5042
OTP(一种密码算法)一般指一次性密码 一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合,iKEY一次性密码已在金融、电信、网游等领域被广泛应用,有效地保护了用户的安全。 一次性密码(英语:One Time Password,简称OTP),又称动态密码或单次有效密码,是指计算器系统或其他数字设备上只能使用一次的密码,有效期为只有一次登录会话或交易。OTP 避免了一些与传统基于(
动态口令(OTP)认证技术概览
热门推荐
goldboar的专栏
12-13 2万+
动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术,动态口令认证技术包括客户端用于生成口令产生器的,动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。         一、OTP历史溯源
OTP 动态口令验证
方小白
11-25 1万+
OTP 动态口令验证。 简介 动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术。 动态口令认证技术包括客户端用于生成口令产生器的动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。 目前在安全强...
物联网安全-动态口令TOTP
会打莎士比亚的猴子的博客
04-12 1920
动态口令学习记录
OATH标准OTP算法
12-12
从OATH标准资料整理的OTP算法Java工程代码。 完整Eclipse工程代码,使用JCE。 包括:HOTP(事件OTP),TOTP(时间OTP)和 OCRA(挑战与应答OTP)。 完全来源于网上标准文档,RFC6226,RFC6238,RFC6287。
otp.zip_OTP_替换算法otp
09-14
几种页面置换算法如先进先出,最佳置换,最近最久未使用算法
otp_verify_java.rar_OTP_OTPVerify_TOTP_otp算法_一次性 口令
09-24
OPT一次性动态口令验证算法。根据动态支持TOTP和HOTP验证。
OTP.rar_MD5 password_OTP_OTP 加密_otp算法_口令认证
09-24
实现了一次性口令认证系统,采用MD5算法进行加密,得到口令的校验码
otp-win64-26.0
最新发布
06-16
otp_win64_26.0安装包
OTP测试程序,测试通过
04-07
欢迎大家下载
php 一次性动态口令,一次性口令 (OTP) 动态口令身份认证
weixin_39975261的博客
03-13 892
一次性口令 (OTP)身份认证产品生成高度安全的一次性密码,确保只有经过适当验证的用户才能获得授权访问重要应用程序和数据。我们的一次性口令认证设备可提供基于时间和事件的版本,永不过期,并且无需更换电池。它们符合 OATH标准,非常适用于远程访问解决方案。了解我们的 OTP 身份认证产品:紧凑的便携式一次性口令 (OTP)认证设备eToken PASS 是一款紧凑的便携式一次性口令 (OTP) 强认...
使用OTP动态口令(每30s变一次)进行登录认证
weixin_40010498的博客
03-22 1万+
GIT地址:https://github.com/suyin58/otp-demo 在对外网开放的后台管理系统中,使用静态口令进行身份验证可能会存在如下问题: (1) 为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解; (2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取; (3) 内部工作人员可通过合法授权取得用户密码...
动态口令(OTP,One-Time Password)原理与实践(TOTP
weixin_30655219的博客
08-07 3448
TOTP:Time-Based One-Time Password Algorithm,基于时间同步的一次性口令,动态口令 技术标准:https://tools.ietf.org/html/rfc6238 参考链接: https://blog.csdn.net/LVXIANGAN/article/details/73775969 https://www.cnblogs.com/loveyo...
基于OTP的AES数据加密
Black Shadow
09-28 2418
OTP(One Time Password)单次有效密码,即使用一次就失效的密码,也就说每次使用都是一个不同的密码。现在普遍用来作为认证的二次验证。这种二次验证的好处是能有效抵御暴力破解。要使用这种密码就得有生产此种密码的生成方式: - HTOP(HMAC-based One-time Password Algorithm) 基于计数器生成密码 - TOTP(Time-based One-t
AES入门--文件加解密
find_the_ferry的博客
10-30 1573
AES文件加解密 本文将基于openssl库使用AES对称加解密对一个文件的内容进行简单的加解密,在实际开发过程中面对的文件可能会很大,本文的实现逻辑是一次只加解密一个分页大小的内容,目前默认设定为4K,加密要求是加密之后不改变原文件的大小,这样的加密方式在使用minifilter文件过滤系统中进行透明加解密也是可以参考借鉴的。 AES加解密基础原理的文章很多了,如何用C语言实现的文章也不胜枚举了,这里就只有简单的使用现有算法的例子,了解原理可以参考一下其他文章,主要咱也没弄明白呀,哈哈哈哈(所以文章有误的
OTP动态令牌工作原理分析
wangcomputer2010的专栏
10-18 9072
OTP动态令牌是一种新型的强身份认证的信息安全产品,由于其具有使用简单,携带方便,安全性高,美观时尚等优点,已经广泛应用在网银系统,电子办公系统,网络游戏,网络支付等众多领域。 OTP原理: OTP动态密码的产生主要是通过内置在硬件中不可导出的密钥与一个变化因子通过安全算法进行计算完成的。即: 算法{密钥(也称为种子),动态因子(时间,事件,冲击响应……)}=OTP口令
用java代码实现otp算法
05-27
以下是用Java代码实现OTP算法的示例: ```java import java.security.SecureRandom; public class OTP { private static final String ALPHABET = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"; private static final int OTP_LENGTH = 6; public String generateToken() { String token = ""; try { SecureRandom secureRandom = new SecureRandom(); byte[] secretKey = new byte[OTP_LENGTH]; secureRandom.nextBytes(secretKey); StringBuilder stringBuilder = new StringBuilder(); for (int i = 0; i < OTP_LENGTH; i++) { stringBuilder.append(ALPHABET.charAt(Math.abs(secretKey[i] % ALPHABET.length()))); } token = stringBuilder.toString(); } catch (Exception ex) { ex.printStackTrace(); } return token; } } ``` 本示例使用Java的SecureRandom类生成随机字节序列,然后使用字节序列生成随机令牌。请注意,此示例中的生成的OTPs仅限于使用英文字母数字字符集,OTP长度为6。您可以根据自己的需要更改字符集和OTP长度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值