Hi excQ,
na, wie soll das mit dem aussehen?
Das ist prinzipiell ein symmetrisches Verfahren, d.h. der Server und das Gerät oder die Authenticator-App kennen beide den gleichen secret key.
Der Token/Authenticator berechnet mit hilfe von
trunc(sha1(key + counter_neu))
den OTP-Wert und schickt den an den Server. Der Server kennt den letzten counter stand und berechnet nun:
trunc(sha1(key + counter_alt+1))
trunc(sha1(key + counter_alt+2))
trunc(sha1(key + counter_alt+...))
trunc(sha1(key + counter_alt+N))
Dabei ist N so ein Synchronisationsfenster. Wenn der Server den eingetippten Wert findet, ist dann alles OK. OK?
Deswegen sind so Softtoken ja auch so evil, weil man da potentiell den secret key runterkriegt und somit den Token quasi kopieren kann.
Schönen Gruß
Cornelius