home *** CD-ROM | disk | FTP | other *** search
/ PDA Software Library / pdasoftwarelib.iso / PILOT / APPS / PILOTOTP / README.TXT < prev   
Encoding:
Text File  |  1996-11-15  |  5.6 KB  |  118 lines
  1.  
  2.  
  3.         Documentation for Pilot/OTP v1.6
  4.         Copyright (C) 1996, Kenneth Albanowski
  5.         
  6. If you have been using a previous version of Pilot/OTP, please check
  7. the changes listed at the bottom of this file.        
  8.         
  9. This program may be of use to you if you have UNIX servers (or similar
  10. machines) that use "OTP" one-time-passwords, or if you use the "S/KEY"
  11. system. ("S/KEY" is a trademark of Bellcore, and should not be used to refer
  12. to this software.)
  13.  
  14. OTP is a system that allows you to log on to machines that require secret
  15. passwords without ever needing to directly type in your password. If someone
  16. is snooping on the terminal connection or, more prosaically, reading over
  17. your shoulder, using an OTP system will allow you to log on to your computer
  18. without them learning your secret password.
  19.  
  20. OTP is separated into a client and server halves. The server accepts the
  21. passwords, and also generates a sequence number and a seed (or "key" or
  22. "prompt"). The client takes the sequence number, the seed, and your secret
  23. password, and generates a new password that is then used to log on to the
  24. server. This new password is only ever used once, and it does not matter if
  25. someone finds out what it was, through whatever means.
  26.  
  27. If you do not have an S/KEY or OTP server, this program will probably not be
  28. of interest to you.
  29.  
  30. Pilot/OTP implements all of the OTP client spec, as documented in Internet
  31. RFC 1938. The MD4, MD5, and SHA1 algorithms are supported.
  32.  
  33. To use Pilot/OTP, first download the software to your Pilot (under Windows,
  34. run the Install Giraffe application, and point it to the "pilototp.prc"
  35. file).
  36.  
  37. Then when you need to generate a password, start Pilot/OTP via the
  38. Applications button, type or write in the sequence number and seed
  39. (sometimes called a "key" or "prompt") that the server prompts you with,
  40. made sure the correct algorithm is selected (If you are using an S/KEY
  41. server, choose the MD4 algorithm unless informed otherwise), and click
  42. "Generate". Now write or type your secret password and press OK. A progress
  43. bar will pop up to show how long the calculation will take.
  44.  
  45. Eventually the original screen will return, and will now display the
  46. single-use password. There is an option to display the password either as a
  47. series of hex digits, or as a more convenient set of English words. A button
  48. will let you clear the password display.
  49.  
  50. If you would like to save a password, you may select the "Save key" checkbox
  51. within the password entry screen. After the password has been generated,
  52. Pilot/OTP will prompt you for a name for this key. By default, the seed will
  53. be used, but you may use any name you like. (Note that it is slightly more
  54. secure to _not_ use the seed as the name.)
  55.  
  56. Each saved key will be visible in the popup list on the upper-right of the
  57. main screen. Note that a key consists of the original password, seed, and
  58. algorithm. The only value that can be changed is the sequence number.
  59. Remember that if anyone gets access to your Pilot, they can generate any
  60. sequence number for any stored keys! But they will not be able to get your
  61. secret password.
  62.  
  63. Keys have an important side-benefit: the calculation time will be greatly
  64. reduced. While the first calculation for creating a new key will take the
  65. full amount of time, as will a few other calculations (at large intervals),
  66. usually the times will be reduced to a matter of seconds.
  67.  
  68. Always remember that the Pilot is not a secure device. Even if you don't let
  69. Pilot/OTP remember any keys, it may (although very unlikely) be possible to
  70. retrieve information about your secret password with special equipment. This
  71. applies (theoretically) to all passwords you have ever entered into the
  72. device. In practice, nobody is going to be able to get your password without
  73. quite an amount of work.
  74.  
  75. Note: I do not use OTP or S/KEY myself, and have not throroughly tested the
  76. output. SHA1 output has not been independantly tested at all.
  77.  
  78. The program is copyrighted freeware. Unmodified distribution is fine, but it
  79. may not be modified and then distributed, and no more then a nominal copying
  80. fee can be charged for distribution. Please retain this document with the
  81. program.
  82.  
  83. This software includes the RSA Data Security, Inc. MD4 Message-Digest
  84. Algorithm and the RSA Data Security, Inc. MD5 Message-Digest Algorithm, as
  85. well as the SHA-1 algorithm issued by the NIST, which is detailed in FIPS
  86. publication 180-1.
  87.  
  88. No warrantee is provided for this program, expressed or implied. You use it
  89. strictly at your own risk. I do not expect this program to damage your Pilot
  90. or the information stored on it, but I cannot guarantee that it will not. If
  91. you experience any trouble, please contact me.
  92.  
  93. To contact the author, e-mail <kjahds@kjahds.com>.
  94.  
  95. -----------------------
  96.  
  97. Changes:
  98.  
  99.  v1.1: modified MD5 calculation so it actually works. If you have v1.0
  100.  installed, please remove it and install v1.1.
  101.  
  102.  v1.2: removed minimum length requirement for secret password, and added
  103.  status display for lengthy calculations.
  104.  
  105.  v1.3: changed remembered password handling so that you cannot view or
  106.  change a saved password, only "forget" it. The screen now blanks during
  107.  password generation from the password entry screen to guard against
  108.  shoulder surfing, and if the password has been remembed the password entry
  109.  screen will not show at all when you calculate a new OTP.
  110.  
  111.  v1.4: Added SHA1 algorithm, and added tiered caching. (Great speed
  112.  improvements if have it remember your password.) Removed lower-casing
  113.  of seed.
  114.  
  115.  v1.5: Added multiple saved key support, with tiered caching for each key.
  116.  
  117.  v1.6: Fixed potential bug with oversized key popdown. No other changes.
  118.