sha1 वि sha256


उत्तर 1:

बहुधा जडत्व.

वेळ-आधारित 2 एफए कोडसाठी एक मानक आहे

TOTP

(वेळ-आधारित एक-वेळ संकेतशब्द), मध्ये निर्दिष्ट

आरएफसी 6238

. पूर्वीच्या आधारावर ऐतिहासिक कारणांमुळे SHA-1 ला मानक डीफॉल्ट होते

हॉट

(एचएमएसी-आधारित ओटीपी) अल्गोरिदम

2005 मध्ये प्रकाशित

, जे यामधून HMAC-SHA1 अल्गोरिदम वापरते

1997 मध्ये प्रमाणित

.

तरीही, आरएफसी 6238 टीटीपी अंमलबजावणीसाठी HMAC-SHA-2 (विशेषत: HMAC-SHA-256 किंवा HMAC-SHA-512) वापरण्याची परवानगी देते. Google प्रमाणकर्ता मोबाइल अ‍ॅप्स, तीनही पर्यायांना,

IOS क्लायंटसाठी पुन्हा वाचा

तपशील.

तर आपला सेटअप अपरिहार्यपणे “गोठलेला” असेल तर तुम्ही फक्त ‘टीओटीपी’ साठी ‘शके’ अडकलेले आहात.


टीएटीपीसाठी SHA-1 "तुटलेला" नाही हे देखील लक्षात घेणे महत्वाचे आहे, कारणः

  • टीओटीपी अल्गोरिदम एसएएचए-मध्ये सतत-बदलणारे "कागदजत्र" असते, जे प्रति-वापरकर्त्याची गुप्त की आणि वर्तमान टाइमस्टॅम्प (30-सेकंद वेळेच्या चरणांवर आधारित) बनलेले असते.
  • तयार केलेल्या 6-अंकी नॉन्सची सर्व्हर बाजूने तपासणी केली जाते, जी सामान्य दर-मर्यादित करू शकते (उदा. दोनदा चुकीचे करा आणि आपल्याला पुढच्या 30-सेकंदापर्यंत थांबावे लागेल ... ज्यास नवीन नॉन्सेस आवश्यक आहेत) आणि
  • ही प्राथमिक प्रमाणीकरण यंत्रणा नाही

TL; DR: SHA-1 अद्याप 2FA साठी अगदी चांगले कार्य करते, फक्त खात्री करुन घ्या की आपण अधिक मजबूत प्रमाणीकरण यंत्रणेच्या बदल्यात त्याचा वापर करीत नाही.


उत्तर 2:

आम्ही टीओटीपीसाठी SHA1 वापरुन अडकलो आहोत कारण Google प्रमाणकर्ता तयार होण्यापूर्वी त्याचा व्यापक उपयोग झाला. मी अलीकडे काही अंतरावर गेलो

माझे उत्तर ऑथी Google प्रमाणकर्ताशी सुसंगत आहे काय?

, जिथे मी असे सूचित केले आहे की Google अथेन्टिकेटर अनुप्रयोग वापरण्याच्या संकल्पनेचा पुरावा म्हणून विकसित केला गेला होता जो प्रत्यक्षात वापरण्यासाठी वापरल्या जाणार्‍या गोष्टीऐवजी Google च्या ओटपॉथ यूआरआय बरोबर कार्य करू शकेल.

टीओटीपी मानक एसएचए 256 सह, एचएमएसी संगणनासाठी विविध हॅश फंक्शन्सना समर्थन देते. गुगलचे यूआरआय वैशिष्ट्य सर्व्हरला “SHA256 वापरा” असे म्हणण्याचा मार्ग देखील देते. या सर्वांसाठी सेवांसाठी SHA256 वापरणे खरोखर सुलभ असले पाहिजे. वगळता…

Google प्रमाणकर्ता शांतपणे अल्गोरिदम विशिष्टतेकडे दुर्लक्ष करतो. SHA256 वापरण्यास सांगितले गेले असले तरीही सहा प्रमाणित कोडची गणना करताना Google प्रमाणकर्ता नेहमी SHA वापरेल. लक्षात ठेवा की प्रमाणकर्ता अ‍ॅप आणि सत्यापन करणार्‍या सर्व्हरला समान सहा अंकी कोडवर येण्यासाठी समान अल्गोरिदम वापरण्याची आवश्यकता आहे. आणि म्हणूनच Google प्रमाणकर्ता Google च्या स्वतःच्या वैशिष्ट्यांचे अनुपालन करीत नाही, हे सर्व सोडवईपर्यंत जग याकरिता SHA1 वापरुन अडकले आहे.


उत्तर 3:

एसएचए 1 अल्गोरिदम अजूनही क्रेडिट कार्ड व्यवहार, इलेक्ट्रॉनिक दस्तऐवज, ईमेल पीजीपी / जीपीजी स्वाक्षरी, मुक्त-स्त्रोत सॉफ्टवेअर रेपॉजिटरी, बॅकअप आणि सॉफ्टवेअर अद्यतने वैध करण्यासाठी वापरले जाते.

बरीच बँका आणि इतर संस्था SHA1 वापरतात कारण त्यांच्याकडे एसएचए 1 वापरणारे हार्डवेअर आणि सॉफ्टवेअर आहेत. SHA1 पुनर्स्थित करण्यासाठी खूप प्रयत्न आणि पैसे लागतील जेणेकरून त्यांनी अद्याप ते वापरलेले आहे.

तसे, आम्ही ओटीपीबद्दल बोलतो तेव्हा एसएचए 1 जोरदार विश्वासार्ह मानले जाते.