Hvordan fungerer ' SafePass ' kort fra Bank of America fungerer?


Bedste svar

Jeg er ikke helt sikker, men det ser ud til, at SafePass bare er et simpelt OTP-genererende token.

Dette bruger sandsynligvis den modbaserede HOTP-algoritme ( HMAC-baseret engangsadgangskodealgoritme ) som defineret af RFC 4226 ( HOTP: En HMAC-baseret engangsadgangskodealgoritme ).

Det kan alternativt være at bruge en tidsbaseret TOTP-algoritme ( Tidsbaseret engangsadgangskodealgoritme ) men i betragtning af kortets størrelse ville en sådan enhed udløbe hurtigere på grund af batteriforbrug for at opretholde uret.

Kort til disse formfaktorer har produceret engangs-adgangskoder (OTP) i næsten et årti. De har et lille batteri, en chip, der gemmer den hemmelige nøgle, en “knap”, der udløser OTP-generering, og et e-blækdisplay med lav effekt, der kræver kun strøm for at ændre displayet med den nye adgangskode.

Sådan er disse OTP-adgangskoder og tokens synkroniseret med et websted er noget der ligner:

1. enhedsproducent lægger en hemmelig nøgle på kortet og forbinder den hemmelige nøgle med et serienummer, der er trykt et eller andet sted på kortet.

2. en gruppe kort leveres til webstedsejeren (bank osv.) sammen med en fil (normalt krypteret) indeholdende en liste over kortserienumre og tilhørende hemmelig nøgle.

3. du bestiller dette specielle kort fra hjemmesiden (aka bank, PayPal osv.), og hjemmesiden knytter kort-idet til din konto.

4. du “registrerer” dit kort på hjemmesiden ved at gennemgå en særlig proces med hjemmesiden. du trykker på en knap på kortet for at få en kode (OTP), som du giver til hjemmesiden. Kortet bruger en tæller, der starter ved 0 og ringer op for hvert butontryk (1, 2, 3, …). Webstedet søger på kortet, der er knyttet til din konto, og bruger speciel sofware med den hemmelige nøgle, der er knyttet til kortet, til at beregne den samme OTP med en tællerværdi på 0. Hvis det ikke stemmer overens, prøver den næste tællerværdi (1) og fortsætter til noget maksimalt, indtil det finder et match eller ikke “t (fejl). nogle gange vil det bede dig om et par OTP-værdier i træk for bedre at finde et match. hvis der findes et match, registrerer det kontraværdien for din konto til fremtidig reference.

5. når du logger ind, angiver du dit brugernavn, adgangskode og OTP. Nogle websteder giver dig mulighed for at tilføje OTP efter din adgangskode. Den specielle serversoftware beregner, hvad den mener er OTP for den næste tællerværdi for din konto og dit kort. Hvis du har trykket på knappen et par gange, vil serveren kontrollere et par tællerværdier forude for at se, om den finder et match.

6. Hvis OTP matcher, har webstedet godkendt din adgangskode og OTP fra det kort, der er tildelt dig. Dette er tofaktorautentificering: noget du ved (kodeord) noget du har (kortet / tokenet tildelt dig).

En leverandør, der fremstiller disse typer tokens, er Nagra ID: NagraID High end smart card schweizisk producent

Svar

Ikke anderledes end et hårdt token, du bruger til at oprette forbindelse til en VPN. Du synkroniserer ikke rigtig det med webstedet, du genererer og validerer bare tokenet med algoritmen / asymmetrisk kryptografi.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *