Algoritm simplu de calculare al unui cod de acces

Am o încuietoare electrică la ușa de la apartament. Ca măsură de rezervă (în caz că-mi uit și cheile și telefonul în casă) vreau să pot deschide yala rugând un vecin să-mi împrumute telefonul lui și să trimit un SMS cu un cod la numărul meu de telefon. Mai departe voi avea o automatizare care apelează un API și va declanșa deschiderea ușii. Pentru asta, am nevoie să gândesc un sistem de parole care să îndeplinească următoarele condiții:

1. Parola să fie variabilă, în așa fel încât vecinul meu să nu poată să trimită iar SMS-ul și să deschidă ușa când vrea el. Știu de rolling code, dar nu vreau să-mi bat capul cu "oare ce cod oi fi folosit ultima dată?", așadar o alternativă bazată pe o altă variabilă (data calendaristică, de exemplu) ar fi mai acceptabilă.

2. Parola să nu fie (ușor) predictibilă. De asta o simplă adunare a ZZ + LL + AAAA (de exemplu) iese din calcul, că ar fi ușor să îți dai seama care ar fi următoarea combinație.

3. Formula să fie ușor de ținut minte și calculat că, deh, sunt slab la matematică

Știu că nu se poate și simplu și sigur, dar nu vorbim aici de un cod de acces la o facilitate nucleară, mă interesează doar să nu fie ceva pe care average Joe să-l poată dibui în 5 minute. Momentan e mai mult o idee (pe care poate o s-o pun sau nu în practică), așadar n-aș vrea să alunecăm în discuții despre cât de sigur e să folosești așa ceva pentru accesul în locuință.

ChatGPT nu m-a putut ajuta prea mult, poate mă ajuta cineva de aici cu o sugestie? Am tot încercat să mă gândesc la un algoritm care să îndeplinească condițiile de mai sus dar nu am reușit să găsesc unul viabil.

Edited by 0v1d1u, 29 March 2024 - 14:25.

poti face ceva simplu si nu chiar predictibil in urmatorul sens.

YYYYMMDD - presupunand ca stii ce e aia.
fiecare cifra va fi scrisa pe 2 cifre (pus zero in fata in caz ca e nevoie) deci rezulta
YYYYYYYYMMMMDDDD

azi e vineri deci totul se sifteaza cu 5. fiecare cifra va fi X+5.

este relativ simplu si destul de greu de dibuit.

20240329

0200020400030209

0705070905080714 - cod final

maine +6

20240330

0200020400030230

0906081005090815 - cod final

Edited by roPopa, 29 March 2024 - 14:40.

Salut

Te complici inutil. Tu ai nevoie de ceva care se cheama "break the glass".

Setezi un cod/parola etc. Nu o comunici nimanui. Cand/daca te vei afla in situatia de a avea nevoie de procedura, rogi un vecin/prieten/coleg etc sa iti imprumute telefonul. Folosesti codul/parola, intri in casa si apoi o schimbi.

Ma gandesc ca nu iti uiti cheile si telefonul de 3-4 ori pe zi, in fiecare zi, in asa fel incat sa ai nevoie de o solutie mai sofisticata.

Cel mai simplu e sa folosi un offset la epoch de exemplu (cum ari fi o data importanta pentru tine in formal zzllaaaa) si sa accepti valori +/- 30 de secunde. Ca sa gasesti timenow() in epoch e rapid.

Adica epoch now e 1711716298, aduni ziua de azi sa zicem 29032024, ajungi la valoarea 1740748322 si accepti codurile intre 1740748322 - 30 si 1740748322 + 30.

Pe data calendaristica e ok, dar sa nu iei ziua ca unitate de referinta ci secunda. Ideea e ca trebuie sa accepti un cod care sa fie valabil un numar de secunde, timp necesar pentru ca SMS-ul sa ajunga la aplicatia ta si apoi sa fie trimis call-ul catre api. Daca folosesti ziua, o sa ai un cod pe zi, ceea ce nu cred ca e de dorit.

Edited by bogdan_o, 29 March 2024 - 14:52.

In parola ai timpul si asta sa expire in x minute. Apoi roteste niste bitii pe acolo, primul octet diferit de al doilea si tot asa. Codul rezultat in hexa.

Edited by neagu_laurentiu, 29 March 2024 - 14:45.

Cerintele de la punctul 3 sint in conflict cu cerintele de la punctul 2 iar daca implementezi cerintele de la punctul 3 ii faci viata mai usoara unuia pe care il duce cit de cit mintea si/sau are timp.

0v1d1u, on 29 martie 2024 - 14:24, said:

Cand vi acasa, stresat ca nu poti intra, si fara telefon la tine, numai formule n-ai sa-ti amintesti...

roPopa, on 29 martie 2024 - 14:37, said:

Presupun că ai vrut să zici

0200020400030030

sau nu am înțeles eu bine ideea? Oricum, îmi place algoritmul, chiar e simplu de ținut minte și nu foarte evident.

bogdan_o, on 29 martie 2024 - 14:43, said:

Problemele sunt că trebuie să ții minte să o schimbi, să ții minte care e parola actuală și, pe deasupra, fix faptul că e o procedură la care aș apela rar face ca aceste probleme să fie mai mari decât sunt.

bogdan_o, on 29 martie 2024 - 14:43, said:

Da, ideal ar fi să aibă o durată de valabilitate cât mai scăzută, dar o zi întreagă nu e tragedie. Se presupune că restul zilei sunt șanse mici să mai plec de acasă.

cralin, on 29 martie 2024 - 14:45, said:

Cum spuneam, important e să nu fie foarte evident algoritmul. Poate am nevoie de trei ori într-un an și să zicem că din alea trei ori se întâmplă să fie două zile consecutive, nu vreau ca vecinul să se uite la SMS-urile trimise și să-i pice fisa chiar pe loc.

Edited by 0v1d1u, 29 March 2024 - 15:11.

dani.user, on 29 martie 2024 - 14:54, said:

exact !!!
sau te doare burta si de-abia astepti sa intri in casa

cea mai simpla variata e sa ai un cod fix de recuperare pe care il stii doar tu. dupa ce il folosesti il schimbi si gata
daca ai uitat cheile si inca mai poti sa te tii , poti sa suni la vecin si daca e acasa si daca vrea sa iti dea telefonul si daca sistemul primeste SMS-ul si functioneaza corect , atunci poti sa intri in casa si sa te duci la WC sa...iti exprimi gandurile

dar sincer sunt atat de multi de "daca" incat cred ca s-ar putea sa faci pe tine si mai bine ascunzi naiba o cheie de rezerva pe sub vreun ghiveci pe hol



plus ca sincer eu imi cunosc doar vreo 2-3 vecini de pe palier. daca apare cineva la mine la usa si imi cere telefonul sa dea un sms il trimit in origine !
nu de alta, dar asta era una din modalitatile de a fura telefoanele: "baiatu, baiatu, da-mi si mie telefonul sa sun pe cineva"
si cand se vedea cu telefonul in mana, tuleooo....
pana te prindeai ce s-a intamplat, pana o luai la fuga dupa ala, nu mai aveai nici o sansa sa il prinzi, asa ca ramaneai gafaind in mijlocul drumului si fara telefon

Edited by rexx, 29 March 2024 - 15:10.

0v1d1u, on 29 martie 2024 - 15:07, said:

Are dreptate, te complici foarte inutil. Sansele sa uiti ceva din formula sunt mai mari decat sa uiti parola actuala. Cum oricum e o situatie "nisa", poti face o parola unica simpla, gen pin-ul de la card+anul nasterii, si daca trebuie sa o schimbi pui anul nasterii nevestei/copilului/etc. si il pui inainte de pin. Daca incepi sa primesti zeci de mesaje de la vecin incercand sa faca brute force iti pui alte probleme dupa. Dar n-o sa se intample. Ce hot da SMS inainte sa iti intre in casa?

Eventual, mult mai simplu, pui in tasker sau ce vrei sa folosesti si o alarma/reminder la o ora/o zi/etc. dupa ce a descuiat usa prin SMS de urgenta sa-ti aduci aminte sa schimbi parola. Si ai rezolvat tot.

Ca sa nu mai zic ca toate chestiile bazate pe ceas depind de cat de des face sync cu NTP-ul. Am patit o data sa am telefonul cu mai bine de 1 min in urma ceasului oficial. Nu stiu cum/de ce, dar sa vezi distractie daca tu ai codul bazat pe schimbat la 30s si telefonu e cu 25s in urma, si tu nu stii asta.

0v1d1u, on 29 martie 2024 - 15:07, said:

...at this point, poate meriti sa iti intre vecinu in casa.

Edited by TehCube, 29 March 2024 - 16:07.

TehCube, on 29 martie 2024 - 16:04, said:

Ai și tu dreptate. Plus că pot să pun alte extra-condiții ca siguranță: telefonul să fie conectat la rețeaua WiFi din casă, să fie blocat, etc.

TehCube, on 29 martie 2024 - 16:04, said:

Că tot ai adus vorba, eu am pățit-o pe dos: era site-ul cel cu ora decalată. Era vorba de mxhost, care numai nu voia să îmi accepte codul. Încercând să aflu de ce, m-am uitat în headerele HTTP și am văzut că aveau ora greșită pe server. Le-am dat email să își corecteze ora ca să mă pt loga și eu în cont

Am până și screenshot-ul pe care îl făcusem ca dovadă pentru ei (a fost pus ca atașament la email, de asta încă îl am):
 Screenshot_20190202_163414.png   202.48K   20 downloads

Edited by 0v1d1u, 29 March 2024 - 16:36.

0v1d1u, on 29 martie 2024 - 15:07, said:

Salut

Am o vaga banuiala ca use-case-ul tau e altul.

Adica nu poti tine minte o parola, desi zilnic folosesti nenumarate, dar vrei sa emulezi mental algoritmi de one-time pass implementati la nivel hardware sau software in solutii care costa minim cat un cartier...

In cazul tau eu mi-as face griji mai multe nu pentru parola, ci pentru automatizarea aia facuta in regim DYI si pentru cat de stabil e codul pe care vrei sa-l scrii.

Si crede-ma, daca vei avea nevoie sa folosesti un alt telefon pentru a intra in casa, in secunda in care ai intrat pe usa, primul lucru pe care il vei face va fi sa schimbi parola...

Pentru implementări la nivel hardware sau software există algoritmi consacrați de TOTP, nu e nevoie să inventez eu unul.

Dacă tot nu mă crezi, fă un exercițiu: deschide screenshot-ul postat de mine mai sus, uită-te în bara de bookmark-uri și încearcă să ghicești dacă există vreo legătură între ce e acolo și postarea mea.

Edited by 0v1d1u, 29 March 2024 - 17:10.

Lasi o cheie undeva intr-un loc sigur, la serviciu. Daca te obisnuiesti cu telefonul si uiti cheile, sa nu te trezesti ca trebuie sa tai usa cu autogenul.
Cu parola aia fa ce vrei, dar te complici. Pune 1234 ca esti safe comparativ cu alte scenarii posibile.
Daca tot te complici, pune-i un senzor de amprenta de la chineji sau o tastatura numerica.

Ma batea si pe mine gandul sa-mi automatizez si eu usa, dar mi-a trecut inainte de a o face.
Tehnologia e buna atunci cand e buna si nu e buna atunci cand nu e buna.

Chestia e că am deja o cheie de rezervă la niște persoane de încredere (și care stau și în apropiere). Ce întrebam eu nu e neapărat ceva ce voi și aplica în realitate, dar știi cum e: îți vine o idee și apoi te gândești cum o implementezi/cum ai implementa-o și rămâi agățat de ea. Pe de-o parte da, mă complic, pe de altă parte: de ce nu?

maccip, on 29 martie 2024 - 17:46, said:

Aveam și eu dileme de genul ăsta, până mi-a zis un prieten: dacă vrea cineva să îți intre în casă,  o face mai degrabă cu un șperaclu sau cu ranga decât folosindu-se de vulnerabilități în sistemul de auomatizare. Adevărul e că n-aș fi deloc supărat dacă aș descoperi că cineva mi-a intrat prin efracție în locuință prin compromiterea sistemului de smart home, ci mai degrabă impresionat.

Edited by 0v1d1u, 29 March 2024 - 17:54.

Automatizarea aia e pentru comoditate, nu pentru securitate.
Securitatea e mai slaba deoarece introduce o veriga in plus si ofera sentimentul de falsa sigurata si iti schimba reflexul de a incuia.
Nu poti elimina cheia din alte motive, tot de securitate, deci va fi o veriga in plus.
Daca o elimini, inlcuiesti un risc mai mic cu altul mai mare sa fii nevoit sa-ti faci paguba singur.

Un device electronic ori merge, ori nu merge. Unul mecanic se mai poate "gadila", juca "la punctul mort" pana merge.
N-ai net, n-ai curent, se descarca telefonul. Sunt N lucruri ce se pot intampla pe termen lung. Daca n-ai valori mari in casa, riscul sa fii spart e mult mai mic. Astia lucreaza la ponturi, nu sa-ti fure un teveu care sa valoreze maxim 1000 de lei la SH.
Banii stau in cont. Bijuterii si ceasuri ar trebui sa n-ai, ca esti om serios nu pesedist cocalar.

Edited by maccip, 29 March 2024 - 18:31.

codul din The Wire
pornesti de la zi si luna, aplici o operatie simpla (adunare sau inmultire), apoi faci ca in serial

[ https://www.youtube-nocookie.com/embed/CblF83pMsHI?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]

N-ar fi mai simplu sa ștergi SMSul din telefonul vecinului după ce l-ai trimis?

Exista deja asa ceva. Nu mai trebuie decat implementat pe echipamentul de acces.
https://stefansundin.github.io/2fa-qr/

Folosesc 2FA peste tot unde este implementat. Sa pastrezi codul qr pe o hartie.

Mai simplu
Intr-o aplicatie qr generator introduci textul:

otpauth://hotp/Acces%20Usa?secret=stargate&counter=0
sau pe timp ca e mai safe
otpauth://totp/Acces%20Usa?secret=stargate

stargate - e o parola oarecare.
Poti folosi pe telefon Authenticator de la Microsoft
Poti testa
 download.png   506bytes   1 downloads

Edited by Leo2006, 29 March 2024 - 19:58.