home *** CD-ROM | disk | FTP | other *** search
/ PDA Software Library / pdasoftwarelib.iso / PILOT / APPS / PILOTP / README.TXT < prev   
Encoding:
Text File  |  1996-10-06  |  7.2 KB  |  170 lines
  1. pilOTP 1.0
  2. by John Valdes
  3.  
  4. Welcome to pilOTP, a one-time password (OTP) generator for the U.S.
  5. Robotics Pilot.  With pilOTP and your Pilot, you'll never again be
  6. caught logging into your computer remotely without having a OTP on
  7. hand.  Say goodbye to pre-printed lists of one-time passwords.
  8.  
  9.  
  10. WHAT ARE ONE-TIME PASSWORDS?
  11. ----------------------------
  12. One-time passwords provide a secure way to log into networked systems
  13. over insecure networks.  A problem with traditional password
  14. authentication systems where the same password is always used to
  15. access the system is that when one logs into the system over a
  16. network, the password can be observed by an eavesdropper on that
  17. network and subsequently reused to gain unauthorized access to the
  18. system.  One-time passwords eliminate this problem by requiring a
  19. different password for authentication each time one logs into a
  20. system.  Once a password has been used, it is no longer valid; hence,
  21. although a network eavesdropper can capture a one-time password when
  22. it is used to access a system over a network, it cannot be
  23. subsequently reused since it will no longer be valid.
  24.  
  25. The passwords used by a one-time password system are computed by
  26. combining a secret passphrase known only to the person wishing access
  27. to the system with a "challenge" string issued by the system and then
  28. passing this result repeatedly through a "hash" function.  The output
  29. of this function is converted into 6 short English words, and these
  30. six words are then used as the OTP.  Since the OTPs must be computed,
  31. this means that one needs some type of password generator on a local
  32. computer in order to calculate the appropriate OTP for accessing the
  33. remote system.  In the absence of a local computer, the alternative in
  34. the past has been to carry a precomputed list of OTPs on a piece of
  35. paper.  Now that small, portable computers like the Pilot are
  36. available, one can always have a computing device on hand, and with
  37. the help of pilOTP, one can now always have an OTP generator available
  38. ready to compute a password.
  39.  
  40. For complete information about one-time password systems, see RFC 1938
  41. and the references therein.
  42.  
  43.  
  44. FEATURES
  45. --------
  46.  o RFC 1938 compliant
  47.  o MD4, MD5 and SHA-1 support
  48.  o compatible with the S/KEY(tm) and OPIE OTP systems
  49.  o supports passphrases up to 63 characters in length
  50.  o optionally saves the last challenge used; helps save on Graffiti
  51.    strokes when repeatively computing OTPs for the same system
  52.  o optionally issues warnings when the OTP sequence number is low
  53.    (to remind you to reinitialize your OTP system) and when the
  54.    passphrase is less than 10 characters long
  55.  o given the nature of Graffiti input recognition, optionally delays
  56.    hiding of the passphrase until after it has been input
  57.  
  58.  
  59. INSTALLATION
  60. ------------
  61. To install pilOTP in your Pilot, simply run the InstallApp program,
  62. enter the name of the pilOTP file where indicated (or click the
  63. Browse... button and use the dialog box to find the pilOTP.prc file)
  64. and then click the Install button.  Finally, HotSync your Pilot with
  65. your computer to load pilOTP into your Pilot.
  66.  
  67.  
  68. HOW TO USE
  69. ----------
  70. Use of pilOTP is straight-forward.  First, chose the appropriate hash
  71. function from the popup menu, then using either Graffiti strokes or
  72. the Graffiti keyboard, enter the sequence number and seed from the
  73. remote system challenge, enter your secret passphrase, and finally,
  74. tap the Compute button to generate the OTP (depending on the hash and
  75. sequence number, this may take a few seconds--the Pilot only has a
  76. 16MHz MC68K, afterall...).  All the fields can be cleared at once by
  77. tapping the Clear button.  A standard Edit menu is available for
  78. copy/paste/clear editing of individual fields (except for the
  79. passphrase field, for which only paste and clear work).  A Preferences
  80. dialog is available for controlling the various features of the
  81. program.  Command shortcuts are available for menu commands.
  82.  
  83.  
  84. HISTORY
  85. -------
  86. Version 1.0:
  87.  
  88.  o initial release
  89.  
  90.  
  91. KNOWN PROBLEMS
  92. --------------
  93. Version 1.0:
  94.  
  95.  o editing of the passphrase with the Graffiti keyboard after the
  96.    passphrase has been hidden doesn't work properly.  Clear the field
  97.    first (Select All and Clear (or backspace)) before using the
  98.    keyboard.
  99.  
  100.  o changing the Hide Passphrase preference after a passphrase has been
  101.    entered may cause pilOTP to lose track of the passphrase.  You
  102.    will need to clear the form and re-enter the passphrase.
  103.  
  104.  o stricter parsing of the number and seed fields is required;
  105.    specifically, only numerals should be allowed in the number field
  106.    (non-numerical characters can be entered with the Graffiti
  107.    keyboard), and leading and trailing spaces should be ignored from
  108.    both fields.
  109.  
  110.   
  111. PLANNED ADDITIONS
  112. -----------------
  113.  o Rework passphrase input; the field on the main form will be
  114.    replaced with a selector trigger similar to the one used for
  115.    password input in the security application.  This will fix the
  116.    problems mentioned above and simplify the program a bit.
  117.  
  118.  o Compress the standard dictionary.  As it is now, the uncompressed
  119.    word list consumes 8K of memory, a precious commodity on the Pilot.
  120.  
  121.  o Add support for a custom application code.  With this, it will be
  122.    possible for pilOTP to be "called" by another Pilot application
  123.    (eg, a terminal emulator or email program) and return a computed OTP.
  124.  
  125.  o Allow the computed OTP to be copied to the clipboard.
  126.  
  127.  o Perhaps make the dictionary modular, so that it can be deleted (to
  128.    save memory) or replaced with a custom dictionary.
  129.  
  130.  o If possible, make the hash functions modular, so that unused ones
  131.    can be deleted (to save space) and new ones added without having to
  132.    rebuild pilOTP.
  133.    
  134.  o Perhaps allow the passphrase to be saved; doing so would require
  135.    that it be encrypted.
  136.  
  137.  o Perhaps add decrement/increment arrows to the number field for
  138.    easy decrementing of the sequence number
  139.  
  140.  o Add some type of control for scrolling the text in the seed and
  141.    passphrase fields.  The fields can only be scrolled now by dragging
  142.    the stylus up or down in the field.
  143.  
  144.  
  145. LEGAL STUFF
  146. -----------
  147. pilOTP is Copyright (C) 1996 by John Valdes.  
  148.  
  149. pilOTP is freeware.  Permission is given for free use and distribution
  150. of this program.  Commercial distribution requires permission from the
  151. author.  No warranty is made on this software, nor is the author
  152. liable for any damage resulting from the use of this software.
  153.  
  154. Any questions, comments or suggestions can be emailed to me at
  155. j-valdes@uchicago.edu.  The current version of pilOTP can be found at
  156. <http://astro.uchicago.edu/home/web/valdes/pilot/>.  Source code is
  157. available on request.
  158.  
  159.  
  160. CREDITS
  161. -------
  162. Portions of pilOTP are based on the S/KEY(tm) reference implementation
  163. written by Phil Karn, Neil M. Haller and John S. Walden, and modified
  164. by Wietse Venema.  S/KEY is a trademark of Bellcore.  The MD4 and MD5
  165. code was written by Ron Rivest.  MD4 and MD5 Message-Digest Algorithms
  166. are by RSA Data Security, Inc.  The SHA-1 code is based on the
  167. implementation written by Jim Gillogly.  SHA-1 is the Secure Hash
  168. Algorithm by the National Institute of Standards and Technology
  169. (NIST).
  170.