home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / sci / crypt / 7183 < prev    next >
Encoding:
Internet Message Format  |  1993-01-28  |  2.1 KB
  1. Xref: sparky sci.crypt:7183 alt.security.pgp:609
  2. Path: sparky!uunet!dove!ariel.ncsl.nist.gov!wack
  3. From: wack@ariel.ncsl.nist.gov (John Wack)
  4. Newsgroups: sci.crypt,alt.security.pgp
  5. Subject: authentication tokens
  6. Message-ID: <8345@dove.nist.gov>
  7. Date: 28 Jan 93 14:33:02 GMT
  8. Sender: news@dove.nist.gov
  9. Followup-To: sci.crypt
  10. Organization: National Institute of Standards & Technology
  11. Lines: 34
  12.  
  13.  
  14. I've got a question for the net.wisdom out there.  We're currently using
  15. some challenge - response authentication tokens on our Interneted host.
  16. I've decided to stick with the same vendor and order their newer tokens,
  17. which display only one-time passwords - no challenge from the host, you
  18. just type in the password generated by the token.  To keep the host
  19. system's software and the token in sync, some sort of event-synchronous
  20. method is used.  This, of course, has some disadvantages if the token
  21. gets out of sync, because the host has to either look ahead or look
  22. back to resynchronize.  Disadvantages, however, only if this is awkward
  23. for the user or presents big vulnerabilities.
  24.  
  25. Another vendor offers a similar one-time password card that is
  26. synchronized with the host based on time.  This also has problems if
  27. clocks drift, and has some problems associated with it as well if this
  28. happens.
  29.  
  30. I've already decided to use the first vendor, since their system permits
  31. other brands of tokens as well as their own, which is important to us.
  32. But I'm wondering whether there are significant advantages/disadvantages
  33. to either method of keeping the tokens and host in sync - i.e., is one
  34. method inherently more secure than the other?  I've spoken to some of
  35. the folks in our cryptography group about this, and they seem to say
  36. that both methods have their drawbacks, but if they both are implemented
  37. well, one is no better than the other.  I guess "implemented well" means
  38. the token requiring a pin and a narrow look-ahead/behind window when out
  39. of sync, among other factors.
  40.  
  41. Would anyone knowledgeable about this care to comment on the above?  I'd
  42. be more than interested if there are real differences in security 
  43. between the two methods.
  44.  
  45. Regards,
  46. John Wack
  47.