NO332479B1 - Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler - Google Patents

Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler Download PDF

Info

Publication number
NO332479B1
NO332479B1 NO20090934A NO20090934A NO332479B1 NO 332479 B1 NO332479 B1 NO 332479B1 NO 20090934 A NO20090934 A NO 20090934A NO 20090934 A NO20090934 A NO 20090934A NO 332479 B1 NO332479 B1 NO 332479B1
Authority
NO
Norway
Prior art keywords
otp
user
channel
authentication
time passwords
Prior art date
Application number
NO20090934A
Other languages
English (en)
Other versions
NO20090934L (no
Inventor
Petter Taugbøl
Arne Riiber
Original Assignee
Encap As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Encap As filed Critical Encap As
Priority to NO20090934A priority Critical patent/NO332479B1/no
Priority to PCT/NO2010/000084 priority patent/WO2010101476A1/en
Priority to US13/254,199 priority patent/US20120066749A1/en
Priority to EP10712588A priority patent/EP2404255A1/en
Publication of NO20090934L publication Critical patent/NO20090934L/no
Publication of NO332479B1 publication Critical patent/NO332479B1/no

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Description

Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler.
Oppfinnelsens anvendelsesområde
Oppfinnelsen er innenfor feltet autentisering av brukere i elektroniske tjenester ved hjelp av OTP (engangs passord), og spesielt bruken av minst to kanaler for verifikasjon av engangspassord mellom tjener og mobil anordning.
Bakgrunn og tidligere kjent teknikk
Tilbydere av tjenester i elektroniske kanaler står ovenfor utfordringene med å autentisere brukerne av deres tjenester. Det å kunne tilby sikker autentisering av brukere er nødvendig for mange elektroniske tjenester.
Tjenestetilbydere som krever sterk brukerautentisering utsteder ofte en eller flere autentiseringsfaktorer til en bruker som tjenestetilbyder senere kan benytte for å autentisere brukeren. Hvis brukeren blir utstyrt med mer enn én autentisering faktor og brukeren må benytte alle autentiserings faktorene i en autentiseringssituasjon, så blir risikoen for feilaktige hendelser sterkt redusert. Hvis autentiseringsfaktorene i tillegg er av forskjellig natur, at hver gir en entydig identifikasjon av brukeren og at de autentiseringsdata som produseres er hemmelig for andre enn brukeren selv og tjenestetilbyderen, så blir løsningen det som i fagmiljøet kalles en sterk flerfaktor autentiserings løsning.
Autentiseringsfaktorer i vanlig bruk er: en kunnskapsfaktor(<A>noe du vet', som et passord eller PIN kode) og en besittelsesfaktor (<A>noe du har', som en elektronisk engangspassord generator, en sikkerhets klient med private krypteringsnøkler lagret i et datamaskinminne eller på et smart-kort, trykte lister med engangs koder, skrapekort eller annet). I tillegg er noen ganger biometriske data ( 'noe du er', som digital representasjon av et fingeravtrykk eller iris skanning) brukt som en autentiseringsfaktor.
Besittelsesfaktorer er ofte av fysisk art, som smart-kort, passord kalkulatorer/dingser eller skrapekort. Det å utstede fysiske besittelsesfaktorer representerer ofte betydelige kostnader for tjenestetilbyderne og betraktes ofte som ubekvemme for brukerne. Det kan derfor være av interesse for tjenestetilbydere å benytte en generell, tilgjengelig brukerterminal som allerede er i brukerens hender, som en sikker besittelsesfaktor. Eksempler på personlige terminaler som det kan være attraktivt å benytte som besittelsesfaktor er utstyr med kommunikasjonsmuligheter slik som mobiltelefoner, bærbare datamaskiner, håndholdte datamaskiner som PDA-er og smart-telefoner og personlige underholdningsterminaler; for alle disse brukes uttrykket "mobil" her som en generisk betegnelse.
Mange fremgangsmåter for bruk av personlige dataterminaler til autentisering av brukere er kjent.
En fremgangsmåte er der en tjenestetilbyder registrerer brukernes mobil-abonnementsnummer og så i en autentiseringsprosess distribuerer en felles hemmelighet til brukerens mobilterminal, samtidig som det kreves at brukeren returnerer denne felles hemmeligheten i en annen elektronisk kanal. Svakheten med denne fremgangsmåten er at senderen (tjenestetilbyder) ikke kan bekrefte identiteten til mottakende part (brukeren), den felles hemmeligheten er produsert på en tjener; og dermed er det ikke noen referanse til en besittelsesfaktor i autentiseringssvaret og mobilenheten er bare brukt som en kommunikasjonsterminal. Og egentlig er mobilterminalen ikke betraktet som et sikkert miljø for oppbevaring av felles hemmeligheter, - for eksempel kan felles hemmeligheter bli avslørt i nettverket eller lest av eller redistribuert til en annen part fra mobilterminalen, og derigjennom redusere den til en annen kunnskapsfaktor i stedet for en besittelsesfaktor - dvs det er nå to kunnskapsfaktorer (passord pluss passord sendt via sms) - noe som ikke er en ekte tofaktor løsning.
IETF RFC 4226 (http://www.ietf.org/rfc/rfc422 6) fra Desember 2005 beskriver en algoritme for å generere engangspassord verdier, basert på Hashed Message Authentication Code, for bruk i tofaktor autentisering på Internet. Internet Utkast "OCRA: OATH Challenge-Response Algorithms draft-mraihi-mutual-oath-hotp-variants-08.txt"
(http://tools.ietf.org/html/draft-mraihi-mutual-oath-hotp-variants-08) beskriver OATH algoritmen for challenge-response autentisering og signaturer. Denne algoritmen er basert på HOTP algoritmen i RFC4226.
IETF RFC 2289 (http://www.ietf.org/rfc/rfc228 9) fra februar 1998 beskriver et One-Time Password System WO/2006/075917 beskriver en fremgangsmåte for å produsere en sikkerhetskode ved hjelp av programmerbart brukerutstyr som kan benyttes til autentisering.
"Using the mobile phone in two-factor authentication" som ble presentert av Anders Hagalisletto og Arne Riiber
(http://www.comp.lancs.ac.uk/iwssi2 007/papers/iwssi2007-05.pdf) viser hvordan man kan bruke en mobiltelefon til å vise et engangspassord.
KR20080011938A beskriver en metode hvor brukerens identitet blir autorisert av en tjener som sender en SMS med en modul for generering av engangspassord når det tastes inn en PIN. WO2009009852A2 beskriver en metode for å overføre tillit ved bruk av et mobilt utstyr for generering av engangspassord som fremvises basert på et personlig passord og koder.
WO2007/145540A beskriver tofaktor autentisering med en separat kanal mot autentiseringssysternet og bruk av et passord på mobilutstyret. Det er foreslått å bruke en trådløs kanal i tillegg, men med samme engangspassord.
DE10102779A1 beskriver et autorisasjonssystem for mobiltelefontransaksjoner som har separate koplinger til separate enheter i samme utstyr.
EP1919123A1 beskriver en tokanal challenge-response autentiseringsmetode der svaret sammenlignes med et underutvalg av autentiseringsbevis som er benyttet ved sesjonens autentiserings challenge.
I " Multi-channel protocols " av Ford-Lang Wong og Frank Stajano i B. Christianson et al. (Eds.): Security Protocols 2005, LNCS (http://www.cl.cam.ac.uk/~fms27/papers/2005-WongSta-multichannel.pdf )diskuteres bruken av flere kanaler. Bruk av et kamera og sending av bilder foreslås som en kanal.
Noen tilleggsproblemer med disse løsningene er:
<*>Sannsynligheten for vellykket autentisering av et falskt autentiseringsforsøk ved en tilfeldig OTP er større enn 1 delt på 10 opphøyet i E (antall siffer) for offline siffer baserte OTP enheter, noe som gjør det mulig å lage automatiske, distribuerte angrep som løper til vellykket autentisering av en tilfeldig OTP.<*>Denial of Service (DOS) - tilgjengelighetsangrep kan igangsettes som låser OTP utstyret på tjenermaskinen, og dermed hindrer adgang selv for brukere med riktig OTP utstyr.<*>Treg nettverkstilgang ved bruk av online mobile OTP enheter (et problem som er relevant ved online flerkanal OTP utstyr) - gjør at bruker må vente på klient/tjener kommunikasjonen før OTP kan vises. (Dette problemet eksisterer ikke ved bruk av off-line OTP utstyr.)<*>MITM (Mann i Midten)angrep i en enkanal online autentiserings løsning, hvor OTP overføres gjennom en antatt sikker datakanal, for eksempel HTTPS.
Når flere kanaler brukes systematisk i et system for autentisering og verifikasjon, er det alltid en mulighet for at en kanal kan ha feil eller kommunikasjonsproblemer, eller at brukeren kan ha problemer med å fremskaffe informasjon i kanalen, for eksempel på grunn av et handikap. Det er da behov for en mer fleksibel behandling av verifikasjonsresultatet enn bare å konstatere at autentiseringen har feilet.
Sammendrag av oppfinnelsen
Oppfinnelsens gjenstand er en fremgangsmåte, arrangement og et dataprogram for bruk av en generelt tilgjengelig personlig dataterminal, en mobil, som en sikker og pålitelig besittelsesfaktor ved brukerautentisering. Trekkene som beskrives i de vedlagte selvstendige kravene karakteriserer denne fremgangsmåten og arrangementet.
Oppfinnelsen inkluderer en lokal OTP generering med samtidig to-/flerkanal verifikasjon.
Kjent teknikk inkluderer:
• Offline OTP utstyr som har lokal OTP generering og enkanal bekreftelse. • Online OTP utstyr som har klient/tjener kommunikasjon f.eks. for å motta en challenge (utfordring), og enkanal verifikasjon når utstyret viser OTP-kode til brukeren.
I en foretrukket versjon av denne oppfinnelsen taster brukeren PIN og dermed produseres en binær-OTP i klienten, denne binær-OTP-en konverteres til en lesbar skjerm-OTP på klienten slik at brukeren kan begynne å lese den og taste den i en annen kanal (kanal 2), samtidig med at binær-OTP-en overføres via mobilkanalen (kanal nr 1). Dette skjer simultant fordi mobilen overfører binær-OTP mens brukeren leser og taster skjerm-OTP på kanal nr 2. Skjerm-OTP er avledet fra binær-OTP. Binær-OTP er i et format som passer for datakommunikasjon og databehandling (f.eks. ren binær, eller kodet, f.eks. i hexadesimal notasjon eller base64, eller Unicode) og skjerm-OTP er egnet til å bli lest på en skjerm av et menneske og tastet inn på et tastatur, f.eks som bokstaver og tall vanligvis brukt av bruker eller tjeneste. Som vist i figurene 2, 3 og 4 blir binær-OTP generert i mobilutstyret, og det er også tilordningen til skjerm-OTP.
Følgende prinsipper gjelder:
• Tokanal verifikasjon av OTP.
Lokal OTP generering, med simultan to- eller flerkanal verifikasjon og besvarelse av OTP verifikasjon på
o mobil kanal(-er), f.eks.
■ SMS
■ Near Field Communications (NFC)
■ Wireless LAN (trådløs LAN)
■ Linje- eller pakkesvitsjede
transmisjonsteknologier for mobilnett som
CDMA, WCDMA, GSM, GPRS, 3G, 4G
o annen/andre kanaler, f.eks.
a) en PC med en web kanal brukt til internett banktjenester,
b) adgangskontroll på dører
c) butikkterminaler
d) minibanker
Brukeren trenger ikke å vente på verifikasjonen av binær-OTP. Brukeren kan starte å taste inn øyeblikkelig siden den lokale konverteringen fra binær-OTP til skjerm-OTP i praksis er mye raskere enn overføringstiden i mobilnettverket. Hvis brukeren taster feil PIN eller på annen måte forårsaker en feil binær-OTP, så får brukeren, etter at resultatet av verifikasjonen er ferdig på tjeneren, beskjed på begge kanaler om at autentiseringen har mislyktes.
Hvis binær-OTP er feil, vil verifikasjonen av binær-OTP mislykkes. Verifikasjon av skjerm-OTP vil også mislykkes fordi verifikasjonen av binær-OTP mislyktes.
Hvis en time-out oppstår i Autentiserings tjeneren fordi den ikke har mottatt binær-OTP, så kan verifikasjon av skjerm-OTP mislykkes, siden verifikasjon av binær-OTP ikke har vært vellykket. Time-out kan være forårsaket av naturlige overføringsforsinkelser, eller forårsaket av en angriper.
Det er mulig å sette opp regler og parametre som kan tillate autentisering i spesielle situasjoner som et nettverksbrudd, dvs der det er kjent at en time-out er sannsynlig eller hvis det er kjent at en spesiell bruker har problemer med å taste inn skjerm-OTP, for eksempel på grunn av et handikap.
Det er også mulig å bruke f.eks. tekst-til-stemme og stemme gjenkjennings software eller å benytte "call center", for å gjøre det mulig for handikappede personer å bruke denne oppfinnelsen.
Med den foreliggende oppfinnelse er det mulig å hindre en type DOS- (tjenestenekt-) angrep for tjenester som benytter to-faktor autentisering. I en slik type DOS-angrep forsøker angriperen å sperre tjenesten ved å taste inn en vilkårlig feil OTP et antall ganger i web-kanalen, slik at OTP-enheten låses. Dette forhindres siden en kan se bort fra forsøk på verifikasjon av skjerm-OTP gjennom web-kanalen, hvis ikke binær-OTP gjennom mobil-kanalen har blitt verifisert vellykket.
Verifikasjonen av binær-OTP mellom mobilen og tjener øker sikkerheten knyttet til lengden av OTP, noe som oppfattes som et tilfeldig tall av en MITM (Mann I Midten), fordi en skjerm-OTP er typisk et 4-8 siffer tall som kan kodes som 2-4 bytes, mens binær-OTP-en er et tall på minst 16 bytes, lett utvidbart til 32 bytes eller mer.. Dermed er sannsynligheten for f.eks. gjennom prøving og feiling å finne eller gjette en binær-OTP mye mindre enn sannsynlighet for å finne en skjerm-OTP.
Grensesnitt som er kompatible med tradisjonelle challenge/response offline OTP løsninger kan brukes for å integrere et nytt flerkanal OTP verifikasjonsskjema i henhold til denne oppfinnelsen med en eksisterende enkanal løsning, for eksempel tids/sekvens basert offline OTP utstyr eller challenge-response skrapekort, noe som gjør det mulig å erstatte offline enkanal OTP verifikasjon mekanismer med herværende oppfinnelse.
Det er umulig for en MITM mellom Autentiserings klienten og Autentiserings tjeneren å observere skjerm-OTP på mobilkanalen, fordi denne OTP-en ikke blir overført på dét grensesnittet. Skjerm-OTP-en blir generert av Autentiserings klienten og vises for brukeren, basert på binær-OTP og PIN (Personal Identification Number).
Bruken av PIN kan være en opsjon. Bruken av PIN vil da typisk være tilrettelagt gjennom en konfigurerbar parameter per system eller per enhet. Hvis PIN ikke brukes, er tilordningen mellom binær-OTP og skjerm-OTP enten samme algoritme uten PIN eller en spesiell algoritme for den spesielle klienten, kjent for autentiseringstjeneren, for bruk uten PIN.
Kort beskrivelse av tegninger
Figur 1 gir et eksempel på komponentene involvert i en tokanal verifikasjonssekvens i en versjon bestående av en mobiltelefon og en datamaskin. Figur 2 viser detaljert autentiseringssekvens med tokanals parallell OTP verifikasjon.
Figur 3 viser en sekvens med bruker challenge.
Figur 4 viser en sekvens uten bruker challenge.
Figur 5 viser en alternativ metode for å generere skjerm-OTP og binær-OTP i autentiseringstjeneren. Figur 6 viser den foretrukne metoden for å generere skjerm-OTP og binær-OTP i autentiseringstjeneren. Figur 7 viser kildekode fra en foretrukket løsning for konvertering av binær-OTP til skjerm-OTP.
Detaljert beskrivelse
Figur 1 viser et eksempel på en realisering av denne oppfinnelsen. Den gir en oversikt over de forskjellige komponenter som er involvert i oppfinnelsen. I denne figuren vises det hvordan en bruker kobler til og logger seg inn hos en tjenestetilbyder.
Når brukeren skal gjennomføre en transaksjon kobler tjenestetilbyderen seg til autentiseringstjeneren som igjen starter en autentisering via brukerens mobil som har installert den spesielle softwaren fra Autentiserings autoriteten. Denne softwaren kan være implementert på mange måter f.eks. avhengig av mobilens operativsystem. En foretrukket realisering av softwaren er implementert basert på Java for mobilterminaler (MIDP2/J2ME) fra Sun. Tjeneren er i den foretrukne realiseringen basert Java enterprise serverplattform (J2EE).
Når autentiseringstjeneren starter autentiseringsprosessen skal brukeren taste PIN på mobilen, softwaren i telefonen generer en OTP (skjerm-OTP) og en binær-OTP, binær-OTP-en blir sendt til autentiseringstjeneren og brukeren må taste inn den tilhørende OTP (skjerm-OTP) i applikasjonen som kommuniserer med tjenestetilbyderen, vanligvis en web-side. Tjenestetilbyderen sender skjerm-OTP til autentiseringstjeneren som verifiserer skjerm-OTP-en. Autentiseringstjeneren verifiserer også binær-OTP-en som ble mottatt fra mobilen. Autentiseringstjeneren genererer resultatet av de to verifisér OTP operasjonene i henhold til regler og parametere, og sender svaret til tjenestetilbyderen som igjen sender verifikasjonssvaret til brukeren, vanligvis via web kanalen ved hjelp av den resulterende web siden, og sender også svaret til mobilen via mobilkanalen, normalt til skjermen på mobilen, skjønt det kan også suppleres med eller erstattes av for eksempel lyd eller følbar tilbakemelding.
Hvis autentiseringen er initiert av en push-melding, kan autentiseringstjeneren sende challenge (utfordringen) til autentiseringsklienten i den samme meldingen. I en alternativ realisering blir challenge sendt i mer enn én kanal.
Det vises hvordan autentisering og kommunikasjon skjer via to forskjellige kommunikasjons kanaler, noe som gjør det vanskelig for en fremmed part å bryte inn i kommunikasjonen fordi vedkommende da må snappe opp kommunikasjonen på to forskjellige typer kommunikasjonsforbindelser. Den eneste muligheten en fremmed part har til å blande seg inn i transaksjonen, er at han har mulighet til å bryte inn i begge kommunikasjonssesjoner eller at de har stjålet både brukerens datamaskin og mobiltelefon og kjenner PIN koden og innloggingsinformasjonen. Begge disse scenariene er vanskelige å gjennomføre.
Figur 2 er en detaljert beskrivelse av
autentiseringssekvensen i et challenge/response scenario.
Brukeren taster brukerlD på web innloggings siden og sender siden til Tjenestetilbyder.
Bruker ID kan være en hvilken som helst bruker spesifikk informasjon som en PIN-kode, et telefonnummer, personnummer, et selvvalgt eller systemgenerert ID, en kode eller til og med biometrisk input. Bruker ID er unik for den enkelte bruker. En bruker må ikke nødvendigvis være én enkelt person, men bruker ID kan også være brukt av en gruppe personer, men i den foretrukne realiseringen vil Bruker ID entydig identifisere én person.
Tjenestetilbydere slår opp mobiltelefonnummeret (msisdn) til brukeren og sender en forespørsel om en "challenge" (et tilfeldig tall) til Autentiseringstjeneren. Challenge blir sendt via web siden (eller i kode via web siden) til Brukeren. Challenge inneholder eller initierer tekst som instruerer Brukeren om å taste inn OTP-en fra en annen applikasjon som også ligger på mobilen. En challenge ID assosiert med innloggingsforsøket blir også returnert i web siden (eller i kode gjennom web siden) til Brukeren, dette tillater flere utestående ikke-fullførte innlogginger i en challenge/response løsning, men flerkanal verifikasjon fungerer også uten slik challenge ID.
Autentiseringstjeneren sender en push start autentiserings melding til Autentiseringsklienten på brukerens mobil. Autentiseringstjeneren kjenner noe i Autentiserings klienten som kan brukes til å generere OTP. I den foretrukne løsningen gjøres dette som beskrevet i WO/2006/075917 og ved bruk av challenge.
Autentiseringsklienten ber om en challenge fra Autentiseringstjeneren, hvis denne ikke var inkludert i den initiale meldingen, og ber brukeren om å taste PIN. Autentiseringsklienten generer binær-OTP, konverterer den til en menneskelig lesbar skjerm-OTP, viser denne, og starter overføring av binær-OTP til Autentiseringstjeneren. Forsinkelse i overføringen som er vanlig i en typisk mobilkanal med liten båndbredde, er antydet i figuren gjennom å utsette meldingen "verifisér binær-OTP" til etter at web-leseren har sendt OTP (skjerm-OTP).
Brukeren taster skjerm-OTP i web-leseren og sender den til Autentiseringstjeneren via Tjenestetilbyderen.
Autentiseringstjeneren venter i en konfigurerbar tidsperiode inntil binær-OTP blir verifisert, eller har gått ut på tid .
Autentiseringstjeneren mottar "verifisér binær OTP" meldingen, verifiserer binær- og skjerm-OTP, og returnerer resultatet i begge kanaler. Figur 3 illustrerer autentiseringssekvensen for en OTP enhet der brukeren mottar challenge fra web siden, starter klienten,og taster challenge inn i klienten. Figur 4 illustrerer autentiseringssekvensen for en OTP enhet uten challenge. Brukeren starter klienten manuelt. Figur 5 illustrerer en fremgangsmåte for å generere skjerm-OTP og binær-OTP i autentiseringstjeneren. En tilsvarende prosess finner sted i autentiseringsklienten. I denne løsningen genereres skjerm-OTP og binær-OTP ved hjelp av forskjellige algoritmer og kunne også ha vært basert på to sett av data som var lagret sammen med brukerprofilen. En algoritme som kunne ha vært brukt er en oppslagstabell som beskrevet i [RFC2289]. Figur 6 viser den foretrukne fremgangsmåten for generering av skjerm-OTP og binær-OTP i autentiseringstjeneren. En tilsvarende prosess finner sted i autentiseringsklienten. Skjerm-OTP blir utledet ved å benytte binær-OTP kombinert med en algoritme. I denne foretrukne løsningen er følgende algoritmer benyttet: • for genererering av binær-OTP: challenge response som vist i by WO/2006/075917 • for generering av skjerm-OTP: GenerateOTP() metoden fra RFC4226, med: o binær-OTP som nøkkel (i stedet for HMAC-SHA1 som
er beskrevet i RFC4226) , og
o challenge som movingFactor, og
o konfigurerbart antall siffer som skal vises
Figur 7 illustrerer dette med kildekode for dette steget i den foretrukne løsningen. Her er binær-OTP 16 byte og skjerm-OTP er 6 siffer, normalt/tilsvarende 3 byte. Dette sikrer en brukervennlig skjerm-OTP og en lengre, sterkere binær-OTP.
Near Field Communication (NFC) er en kortholds høy-frekvent trådløs kommunikasjonsteknologi som tillater utveksling av data mellom utstyr på opp til 10 centimeters avstand, som dermed har mye kortere rekkevidde enn for eksempel Bluetooth (Blåtann) eller andre kortholds radiokommunikasjonforbindelser. NFC er tilgjengelig i mobiltelefoner som Nokia 3220 og i nyere modeller fra denne og andre leverandører. NFC er velegnet for autentiseringsformål som en besittelsesfaktor som må holdes svært nær til den andre enheten og radiokanalen er dermed vanskelig å koble seg inn på.
I en annen realisering blir binær-OTP som genereres på mobilutstyret overført til en tjenestetilbyder gjennom bruk av NFC.
I nok en annen realisering blir binær-OTP som genereres på mobilen overført til en tjenestetilbyder ved bruk av en kortholds radiooverføringsforbindelse som Bluetooth.
I nok en annen realisering er OTP utstyret og besittelsesfaktoren med autentiseringsklienten i form av dataminne, for eksempel på et smartkort knyttet til mobiltelefonen eller PC (vertsutstyr) som har skjermen, behandlingsenheten og kommunikasjonskanalene som er nødvendige. Kortet kan for eksempel være en Subscriber Identity Module (SIM), et USB masselagringskort eller et SD kort. I denne løsningen må vertsutstyret skille mellom de to kommunikasjonskanalene.

Claims (15)

1. En fremgangsmåte for flerkanalsverifikasjon av engangs passord(OTP) mellom to parter bestående av en tjenestetilbyder og en bruker, hvor nevnte bruker har tilgang til minst to kommunikasjonskanaler, og hvor nevnte bruker logger på mot nevnte tjenestetilbyder med en brukerlD via én kommunikasjonskanal, og nevnte tjenestetilbyder har mulighet til å kommunisere med en autentiserings tjener som igjen har mulighet til å kommunisere med nevnte bruker via minst én annen kommunikasjonskanal enn tjenestetilbyder, og hvor nevnte fremgangsmåte videre erkarakterisert vedat: • en autentiseringsklient genererer minst to forskjellige engangspassord, det første med lengde typisk over 16 bytes beregnet på behandling i maskiner, benevnt binær-OTP, og et andre avledet av det første på en form beregnet på å oppfattes av mennesker med lengde typisk 2-4 bytes, benevnt skjerm-OTP, • nevnte autentiseringsklient overfører binær-OTP til nevnte autentiseringstjener ved bruk av en første kommunikasj onskåna1, • nevnte bruker taster skjerm-OTP som sendes i en andre kommunikasjonskanal og sender det til nevnte autentiserings tjener gjennom nevnte tjenestetilbyder. Når binær-OTP og skjerm-OTP er mottatt av autentiseringstjeneren blir de gjenstand for verifikasj on.
2. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte autentiserings klient ber om en utfordring fra nevnte autentiserings tjener og ber nevnte bruker å taste PIN.
3. En fremgangsmåte for flerkanalsverifikasjon av engangspassord (OTP) i følge krav 1,karakterisert vedat nevnte autentiseringstjener mottar binær-OTP meldingen, verifiserer binær og/eller skjerm-OTP, og returnerer resultatet i minst én kanal.
4. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 2,karakterisert vedat genereringen av engangspassord bli gjort både med eller uten PIN og med eller uten utfordring (challenge)
5. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat minst én kommunikasjonskanal bruker et mobilutstyr.
6. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte bruker logger på mot tjenestetilbyder via en nettleser.
7. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte bruker taster bruker ID i innloggingssiden på web og sender siden til Tjenestetilbyder.
8. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 4,karakterisert vedat nevnte utfordring (challenge) blir returnert i web-siden.
9. En fremgangsmåte for flerkanalsverifikasjon av engangpassord ifølge krav 4,karakterisert vedat nevnte utfordring (challenge) inneholder eller initierer tekst som instruerer Brukeren om å taste OTP fra en annen applikasjon som finnes på mobilen.
10. En fremgangsmåte for flerkanalsverifikasjon av engangspassord ifølge krav 4,karakterisert vedat nevnte utfordringsID (challenge ID) assosiert med innloggingsforsøket også blir returnert i web-siden.
11. En fremgangsmåte for flerkanals verifikasjon av engangspassord ifølge krav 4,karakterisert vedat nevnte utfordring (challenge) er inneholdt i en start push autentiseringsmelding til autentiseringsklienten på brukerens mobil.
12. En fremgangsmåte for flerkanals verifikasjon av engangspassord ifølge krav 1,karakterisert vedat nevnte binær-OTP generert på nevnte mobilutstyr blir overført både til autentiseringstjeneren via én kommunikasjonskanal og til tjenestetilbyder via den andre kommunikasjonskanalen.
13. En fremgangsmåte for flerkanals verifikasjon av engangspassord ifølge krav 1,karakterisert vedat én kommunikasjonskanal benytter Near Field Communication eller kortholds radiooverføring.
14. Dataprogram som kan lastes inn i internminnet i en behandlingsenhet i et datamaskinbasert system, omfattende programkodedeler for utføring av autentiseringen av nevnte bruker ifølge hvilke som helst av kravene 1 til 13.
15. Dataprogramprodukt lagret på et datamaskinlesbart medium, omfattende et lesbart program som forårsaker at behandlingsenheten i et datamaskinsystem kontrollerer en utførelse av autentisering av nevnte bruker ifølge hvilke som helst av kravene 1 til 13.
NO20090934A 2009-03-02 2009-03-02 Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler NO332479B1 (no)

Priority Applications (4)

Application Number Priority Date Filing Date Title
NO20090934A NO332479B1 (no) 2009-03-02 2009-03-02 Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler
PCT/NO2010/000084 WO2010101476A1 (en) 2009-03-02 2010-03-02 Method and computer program for generation and verification of otp between server and mobile device using multiple channels
US13/254,199 US20120066749A1 (en) 2009-03-02 2010-03-02 Method and computer program for generation and verification of otp between server and mobile device using multiple channels
EP10712588A EP2404255A1 (en) 2009-03-02 2010-03-02 Method and computer program for generation and verification of otp between server and mobile device using multiple channels

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NO20090934A NO332479B1 (no) 2009-03-02 2009-03-02 Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler

Publications (2)

Publication Number Publication Date
NO20090934L NO20090934L (no) 2010-09-03
NO332479B1 true NO332479B1 (no) 2012-09-24

Family

ID=42272068

Family Applications (1)

Application Number Title Priority Date Filing Date
NO20090934A NO332479B1 (no) 2009-03-02 2009-03-02 Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler

Country Status (4)

Country Link
US (1) US20120066749A1 (no)
EP (1) EP2404255A1 (no)
NO (1) NO332479B1 (no)
WO (1) WO2010101476A1 (no)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9277403B2 (en) * 2010-03-02 2016-03-01 Eko India Financial Services Pvt. Ltd. Authentication method and device
US8468584B1 (en) * 2010-04-02 2013-06-18 Wells Fargo Bank, N.A. Authentication code with associated confirmation words
EP2490165A1 (en) * 2011-02-15 2012-08-22 Mac Express Sprl Method for authorising a transaction
FR2976437B1 (fr) * 2011-06-08 2014-04-18 Genmsecure Procede de securisation d'une action qu'un dispositif actionneur doit accomplir a la demande d'un utilisateur
US9075979B1 (en) 2011-08-11 2015-07-07 Google Inc. Authentication based on proximity to mobile device
US9954578B2 (en) 2011-09-08 2018-04-24 Yubico Inc. Devices and methods for identification, authentication and signing purposes
GB2499360B8 (en) 2011-10-12 2016-01-27 Technology Business Man Ltd Secure ID authentication
CN102542452A (zh) * 2011-11-09 2012-07-04 王筱雨 一种对pos机终端的交易密码进行验证的方法和系统
US20130139222A1 (en) * 2011-11-29 2013-05-30 Rawllin International Inc. Authentication of mobile device
US9237146B1 (en) 2012-01-26 2016-01-12 United Services Automobile Association Quick-logon for computing device
US10282531B1 (en) 2012-01-26 2019-05-07 United Services Automobile Association (Usaa) Quick-logon for computing device
US8875283B2 (en) * 2012-04-10 2014-10-28 Blackberry Limited Restricted access memory device providing short range communication-based security features and related methods
US9756115B2 (en) * 2012-11-08 2017-09-05 Gpvtl Canada Inc. System and method of secure file sharing using P2P
CN103856472B (zh) * 2012-12-06 2017-08-18 阿里巴巴集团控股有限公司 一种账户登录的方法及装置
US20140222671A1 (en) * 2013-02-07 2014-08-07 Aurelio Elias System and method for the execution of third party services transaction over financial networks through a virtual integrated automated teller machine on an electronic terminal device.
US20140359069A1 (en) * 2013-06-04 2014-12-04 Diego MATUTE Method for securely sharing a url
US9100392B2 (en) * 2013-09-20 2015-08-04 Verizon Patent And Licensing Inc. Method and apparatus for providing user authentication and identification based on a one-time password
JP6378870B2 (ja) * 2013-11-15 2018-08-22 株式会社野村総合研究所 認証システム、認証方法および認証プログラム
US9232402B2 (en) 2013-11-21 2016-01-05 At&T Intellectual Property I, L.P. System and method for implementing a two-person access rule using mobile devices
US9928358B2 (en) * 2013-12-09 2018-03-27 Mastercard International Incorporated Methods and systems for using transaction data to authenticate a user of a computing device
US9424410B2 (en) 2013-12-09 2016-08-23 Mastercard International Incorporated Methods and systems for leveraging transaction data to dynamically authenticate a user
US20150180849A1 (en) * 2013-12-20 2015-06-25 Verisec AB Mobile token
US10440019B2 (en) * 2014-05-09 2019-10-08 Behaviometrics Ag Method, computer program, and system for identifying multiple users based on their behavior
US9529987B2 (en) * 2014-05-09 2016-12-27 Behaviometrics Ab Behavioral authentication system using a behavior server for authentication of multiple users based on their behavior
US10212136B1 (en) 2014-07-07 2019-02-19 Microstrategy Incorporated Workstation log-in
US9430630B2 (en) 2014-07-31 2016-08-30 Textpower, Inc. Credential-free identification and authentication
TWI559165B (zh) * 2014-10-13 2016-11-21 優仕達資訊股份有限公司 無線驗證系統及其方法
WO2016126052A2 (ko) * 2015-02-06 2016-08-11 (주)이스톰 인증 방법 및 시스템
US10178088B2 (en) * 2015-03-12 2019-01-08 Tejas Networks Ltd. System and method for managing offline and online password based authentication
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US10701067B1 (en) 2015-04-24 2020-06-30 Microstrategy Incorporated Credential management using wearable devices
DE102015006751A1 (de) * 2015-05-26 2016-12-01 Giesecke & Devrient Gmbh Verfahren zur Bereitstellung eines persönlichen Identifikationscodes eines Sicherheitsmoduls
TWI603222B (zh) * 2015-08-06 2017-10-21 Chunghwa Telecom Co Ltd Trusted service opening method, system, device and computer program product on the internet
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
CN108351927B (zh) 2015-10-23 2021-11-09 甲骨文国际公司 用于访问管理的无密码认证
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
US10122719B1 (en) * 2015-12-31 2018-11-06 Wells Fargo Bank, N.A. Wearable device-based user authentication
US10855664B1 (en) 2016-02-08 2020-12-01 Microstrategy Incorporated Proximity-based logical access
US10231128B1 (en) 2016-02-08 2019-03-12 Microstrategy Incorporated Proximity-based device access
US10057249B2 (en) * 2016-07-20 2018-08-21 Bank Of America Corporation Preventing unauthorized access to secured information systems using tokenized authentication techniques
US10057255B2 (en) * 2016-07-20 2018-08-21 Bank Of America Corporation Preventing unauthorized access to secured information systems using multi-device authentication techniques
US10148646B2 (en) * 2016-07-20 2018-12-04 Bank Of America Corporation Preventing unauthorized access to secured information systems using tokenized authentication techniques
KR101924610B1 (ko) * 2016-11-30 2018-12-03 유아스시스템즈(주) 개인 사용자 장치를 이용한 안전한 2채널 인증 방법 및 시스템
TWI615734B (zh) * 2016-12-12 2018-02-21 Chunghwa Telecom Co Ltd 虛擬智慧卡應用於行動裝置之金鑰管控方法
US20180212958A1 (en) * 2017-01-26 2018-07-26 Teltech Systems, Inc. Two Factor Authentication Using SMS
US11140157B1 (en) 2017-04-17 2021-10-05 Microstrategy Incorporated Proximity-based access
US10771458B1 (en) 2017-04-17 2020-09-08 MicoStrategy Incorporated Proximity-based user authentication
US10657242B1 (en) 2017-04-17 2020-05-19 Microstrategy Incorporated Proximity-based access
EP3502998A1 (en) 2017-12-19 2019-06-26 Mastercard International Incorporated Access security system and method
US11715099B2 (en) * 2017-12-20 2023-08-01 Mastercard International Incorporated Method and system for trust-based payments via blockchain
US10360367B1 (en) 2018-06-07 2019-07-23 Capital One Services, Llc Multi-factor authentication devices
CA3115084A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US11677742B2 (en) * 2019-09-13 2023-06-13 The Toronto-Dominion Bank Systems and methods for creating multi-applicant account
US20220116385A1 (en) * 2019-12-05 2022-04-14 Identité, Inc. Full-Duplex Password-less Authentication
WO2021113034A1 (en) * 2019-12-05 2021-06-10 Identité, Inc. Full-duplex password-less authentication
US20230222233A1 (en) * 2022-01-10 2023-07-13 Pratt & Whitney Canada Corp. System and method for data access from an aircraft
CN116319103B (zh) * 2023-05-22 2023-08-08 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007145540A2 (en) * 2006-06-14 2007-12-21 Fronde Anywhere Limited Authentication methods and systems
KR20080011938A (ko) * 2006-08-01 2008-02-11 인포섹(주) 이동통신 단말기를 이용한 일회용 패스워드 방식의 사용자인증 방법
WO2009009852A2 (en) * 2007-07-19 2009-01-22 Itautec S.A. - Grupo Itautec A system and a method for transferring credits using a mobile device

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
WO2002015626A1 (en) * 2000-08-15 2002-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Network authentication by using a wap-enabled mobile phone
DE10102779A1 (de) 2001-01-22 2002-08-29 Utimaco Safeware Ag Verfahren zur Autorisierung in Datenübertragungssystemen
WO2003062969A1 (en) * 2002-01-24 2003-07-31 Activcard Ireland, Limited Flexible method of user authentication
US7606918B2 (en) * 2004-04-27 2009-10-20 Microsoft Corporation Account creation via a mobile device
AU2005318933B2 (en) * 2004-12-21 2011-04-14 Emue Holdings Pty Ltd Authentication device and/or method
NO20050152D0 (no) 2005-01-11 2005-01-11 Dnb Nor Bank Asa Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne
US20060294023A1 (en) * 2005-06-25 2006-12-28 Lu Hongqian K System and method for secure online transactions using portable secure network devices
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
US8245292B2 (en) * 2005-11-16 2012-08-14 Broadcom Corporation Multi-factor authentication using a smartcard
US7818264B2 (en) * 2006-06-19 2010-10-19 Visa U.S.A. Inc. Track data encryption
US8006300B2 (en) 2006-10-24 2011-08-23 Authernative, Inc. Two-channel challenge-response authentication method in random partial shared secret recognition system
US8281375B2 (en) * 2007-01-05 2012-10-02 Ebay Inc. One time password authentication of websites
EP2034458A3 (en) * 2007-03-09 2009-09-02 ActivIdentity, Inc. One-time passwords
US8407463B2 (en) * 2007-10-30 2013-03-26 Telecom Italia S.P.A. Method of authentication of users in data processing systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007145540A2 (en) * 2006-06-14 2007-12-21 Fronde Anywhere Limited Authentication methods and systems
KR20080011938A (ko) * 2006-08-01 2008-02-11 인포섹(주) 이동통신 단말기를 이용한 일회용 패스워드 방식의 사용자인증 방법
WO2009009852A2 (en) * 2007-07-19 2009-01-22 Itautec S.A. - Grupo Itautec A system and a method for transferring credits using a mobile device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Using the mobile phone in two-factor authentication [Foredrag på IWSSI 2007 -First international Workshop on Security for spontaneousInteraction Program] Forfatter Anders Hagalisletto . Arne Riiber [lastet fra internett 2009.07.01] [Hentet fra http://www.comp.lancs.ac.uk/ iwssi2007/][http://www.comp.lancs.ac.uk/ iwssi2007/papers/iwssi2007-05.pdf] , Dated: 01.01.0001 *

Also Published As

Publication number Publication date
WO2010101476A1 (en) 2010-09-10
NO20090934L (no) 2010-09-03
EP2404255A1 (en) 2012-01-11
US20120066749A1 (en) 2012-03-15

Similar Documents

Publication Publication Date Title
NO332479B1 (no) Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler
US9141782B2 (en) Authentication using a wireless mobile communication device
US20180295137A1 (en) Techniques for dynamic authentication in connection within applications and sessions
EP2932428B1 (en) Method of allowing establishment of a secure session between a device and a server
US20160337351A1 (en) Authentication system
CN101102194B (zh) 一种otp设备及利用该设备进行身份认证的方法
JP2009510955A (ja) ユーザ認証の方法およびデバイス
NO324315B1 (no) Metode og system for sikker brukerautentisering ved personlig dataterminal
CN109716725B (zh) 数据安全系统及其操作方法和计算机可读存储介质
EP2514135B1 (en) Systems and methods for authenticating a server by combining image recognition with codes
Rao et al. Authentication using mobile phone as a security token
US20100257366A1 (en) Method of authenticating a user
CN104869121A (zh) 一种基于802.1x的认证方法及装置
WO2010128451A2 (en) Methods of robust multi-factor authentication and authorization and systems thereof
Khan et al. Offline OTP based solution for secure internet banking access
KR100858146B1 (ko) 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치
EP3101609A1 (en) Dual-channel identity authentication selection device, system and method
CN113472731A (zh) 一种针对数据库用户身份验证的双因素认证方法
US8850518B2 (en) Method and device for user authentication
Xu et al. Qrtoken: Unifying authentication framework to protect user online identity
EP2224665B1 (en) Authentication using a wireless mobile communication device
WO2017158376A1 (en) Methods, user devices, access control equipments, computer software, computer program products and systems for facilitating authentication or access control
Saxena Dynamic authentication: Need than a choice
KR101945945B1 (ko) 다이내믹 아이디를 이용한 인증방법 및 그 인증방법이 구현된 장치
US20110231656A1 (en) System and methods for authenticating a receiver in an on-demand sender-receiver transaction

Legal Events

Date Code Title Description
CREP Change of representative

Representative=s name: IP.COOP (IPR SA), POSTBOKS 27, 1629

CHAD Change of the owner's name or address (par. 44 patent law, par. patentforskriften)

Owner name: ALLCLEAR ID, US

CREP Change of representative

Representative=s name: BRYN AARFLOT AS, POSTBOKS 449 SENTRUM, 0104 OSLO

MM1K Lapsed by not paying the annual fees