Miten ' SafePass ' kortti Bank of America -palvelusta?


Paras vastaus

En ole täysin varma, mutta näyttää siltä, ​​että SafePass on vain yksinkertainen OTP-tunniste.

Tämä todennäköisesti käyttää laskuripohjaista HOTP-algoritmia ( HMAC-pohjainen kertaluonteinen salasanan algoritmi ), kuten RFC 4226 ( HOTP: HMAC-pohjainen kertaluonteinen salasanan algoritmi ).

Se voi vaihtoehtoisesti käyttää aikaperusteista TOTP-algoritmia ( Aikaperusteinen kertaluonteinen salasanan algoritmi ), mutta kortin koon vuoksi tällainen laite vanhenee aikaisemmin kellon ylläpitämiseksi käytetyn akun vuoksi.

Näiden kortit muototekijät ovat tuottaneet kertaluonteisia salasanoja (OTP) melkein vuosikymmenen ajan. Heillä on pieni akku, siru, joka tallentaa salaisen avaimen, ”painike”, joka laukaisee OTP-sukupolven, ja pienitehoinen e-mustenäyttö, joka vaatii vain virtaa näytön vaihtamiseen uudella salasanalla.

Tapa, jolla nämä OTP-salasanat ja -merkit ovat verkkosivuston kanssa synkronoidut ovat jotain samankaltaisia ​​kuin:

1. laitteen valmistaja laittaa salaisen avaimen kortille ja yhdistää salaisen avaimen sarjanumeroon, joka on painettu jonnekin kortille.

2. korttiryhmä toimitetaan verkkosivuston omistajalle (pankki jne.) sekä tiedosto (yleensä salattu), joka sisältää luettelon kortin sarjanumeroista ja niihin liittyvästä salaisesta avaimesta.

3. tilaat tämän erikoiskortin verkkosivustolta (alias pankki, paypal jne.) ja verkkosivusto yhdistää korttitunnuksen tiliisi.

4. ”rekisteröit” korttisi verkkosivustolle käymällä läpi erityisen prosessin verkkosivustolla. painat kortilla olevaa painiketta saadaksesi koodin (OTP), jonka annat verkkosivustolle. Kortti käyttää laskuria, joka alkaa nollasta ja laskee jokaisella painalluksella (1, 2, 3, …). Sivusto etsii tiliisi liittyvän kortin ja käyttää erityisiä ohjelmistoja korttiin liittyvän salaisen avaimen kanssa laskeakseen saman OTP: n laskuriarvolla 0. Jos se ei täsmää, se yrittää seuraavaa laskuriarvoa (1) ja jatkuu jonkin verran, kunnes se löytää ottelun tai ei ”t” (virhe). joskus se pyytää sinua muutaman OTP-arvon peräkkäin löytääkseen paremmin ottelun. jos vastaavuus löytyy, se tallentaa tilisi laskurin arvon myöhempää tarvetta varten.

5. kun kirjaudut sisään, annat käyttäjänimesi, salasanasi ja OTP: n. Joillakin verkkosivustoilla voit lisätä OTP: n salasanasi jälkeen. Erityinen palvelinohjelmisto laskee, minkä mielestä se on tilisi ja korttisi seuraavan laskurin arvon OTP. Jos painoit painiketta muutaman kerran, palvelin tarkistaa muutaman laskurin arvon eteenpäin löytääkseen vastauksen.

6. Jos OTP täsmää, verkkosivusto on todennanut salasanasi ja OTP sinulle osoitetulta kortilta. Tämä on kahden tekijän todennus: jotain, jonka tiedät (salasana) sinulla on (sinulle annettu kortti / tunnus).

Yksi myyjä, joka tekee tällaisia ​​tunnuksia, on Nagra ID: NagraID Sveitsin älykortin huippuluokan älykortti

Vastaa

Ei erilainen kuin kovalevy, jota käytät yhteyden muodostamiseen VPN: ään. Et todellakaan synkronoi sitä verkkosivuston kanssa, vaan luot ja vahvistat tunnuksen vain algoritmin / epäsymmetrisen salauksen avulla.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *