Password retrieval över SMS

Hej allihop, jag förbered mig som bäst för att skriva mitt examensjobb i datavetenskap och tänkte höra om lite synpunkter här.

Saken är den att jag har fått i uppgift att implementera ett system för säker lösenordshämtning från ett befintligt användarhanteringssystem till en mobiltelefon via SMS. Om en användare har glömt bort sitt lösenord ska ha alltså kunna hämta hem ett nytt till sin mobil, då hans mobilnummer kommer att vara unikt kopplat till hans användarnamn.

Nu är frågan, hur går jag tillväga för att göra det här på ett säkert sätt? Vilka teknologier och metoder bör jag använda? Finns det redan existerande system för det här? Vilka är de största riskerna med att överföra känslig information på det här viset? Är inläst en del på trådlös säkerhet men är inte så insatt i hur kommunikation över mobiler skiljer sig ur säkerhetssynpunkt från WLAN-kommunikation t.ex., jag skulle uppskatta alla länkar och tips ni kan slänga till mig.

Det första som dyker upp i huvudet är att lösa det via nån slags kryptering samt delad nyckel historia, kommer dock inte ihåg namnen på alla dessa metod så om någon kan peka mig i rätt riktning eller ge deras synpunkter på en lämplig lösning vore jag tacksam.

Mvh
Robert

Jag är helt inkompetent på området och kan ingeting om det, men däremot så vet jag att Djuice (www.djuice.se) använder denna tjänst till privat sidorna för sina kunder, du kanske kan slå deras tekniker en pling och fråga något?
(visserligen är dom en operatör och har lite mer resuerser, men iaf)

Lycka till!

gick inte djuice i kunkurs?

Har för mig att Halebop använder något liknande system.

Dom flesta mobila operatörerna använder sig av denna tjänst.

Men till din fråga.
Jag tror jag det finns färdig kodade system redan, om det nu mot förmodan inte skulle göra det så tror jag inte det är så svårt att koda det.

Jag ser det som ett rätt säkert system eftersom det skickas till din mobil.
Du kan ju t.ex. använda persons nickname och personnummer för att kunna requsta nytt lösenord.

GSM-krypteringen knäcktes väl visserligen av några israeler för ett par år sedan, men är fortfarande trots allt att betrakta som hyfsat säker. Riskerna är väl dels hos ISP:n, som i teorin kan läsa alla SMS, och dels på mobilen. Många användare kommer inte fatta att det är känslig information, utan låta SMS:et ligga kvar, tills mobilen blir stulen eller en kompis hittar den.
Jag hade låtit bli att skicka ut själva lösenordet, utan istället en engångskod som låter användaren skapa ett nytt lösenord i (web?)-systemet.

Det här var en bra idé, säkerhet är ju som du säger verkligen så mycket mer än bara de rent datorrelaterade delarna. En annan liknande tanke är ju att inte visa lösenordet det första man gör i meddelandet då det ofta visas av telefonen innan sms:et har öppnats utan låta användaren scrolla ned för att läsa det.

Tror du om man skulle implementera ett sådant här system själv att det finns behov av att kryptera datat som överförs? Riskerna kanske är små att någon lägger ned tid på att komma åt de här lösenorden men samtidigt vill jag ju göra det ordentligt, jag har ju trots allt en del tid på mig.

Mideye har ett system för inloggning med engångslösen via mobil: http://www.mideye.se/index.php3?bredd=187.5