Hogyan működik a ' SafePass ' a Bank of America kártyája működik?


Legjobb válasz

Nem vagyok biztos benne, de úgy tűnik, hogy a SafePass csak egy egyszerű OTP-generáló token.

Ez valószínűleg az counter-alapú HOTP algoritmust ( HMAC-alapú egyszeri jelszó algoritmus ) használja, amelyet az RFC 4226 ( HOTP: HMAC alapú egyszeri jelszó algoritmus ).

Alternatív megoldásként időalapú TOTP algoritmust is használhat ( Időalapú egyszeri jelszó algoritmus ), de tekintettel a kártya méretére, egy ilyen eszköz hamarabb lejár, mert az akkumulátor használatával fenntartják az órát.

Ezek kártyái A form factorok csaknem egy évtizede gyártanak egyszeri jelszavakat (OTP). Van egy kis akkumulátoruk, egy chipjük, amely a titkos kulcsot tárolja, egy “gomb”, amely elindítja az OTP generálását, és egy alacsony fogyasztású e-ink kijelző, amely csak a tápellátás szükséges a kijelző új jelszóval történő megváltoztatásához.

Ezeknek az OTP jelszavaknak és tokeneknek a módja a webhellyel szinkronizált valami hasonló:

1. az eszköz gyártója titkos kulcsot tesz a kártyára, és a titkos kulcsot egy sorozatszámhoz társítja, amely valahol a kártyára van nyomtatva.

2. egy kártyacsoportot kap a webhely tulajdonosának (bank, stb.), valamint egy fájlt (általában titkosítva), amely tartalmazza a kártya sorozatszámát és a hozzá tartozó titkos kulcsot.

3. Ön megrendeli ezt a különleges kártyát a webhelyről (más néven bank, paypal stb.), és a webhely társítja a kártya azonosítóját az Ön fiókjával.

4. “regisztrálja” a kártyáját a weboldalon egy speciális folyamaton keresztül. megnyom egy gombot a kártyán, hogy megszerezzen egy kódot (OTP), amelyet a weboldalnak megad. A kártya egy számlálót használ, amely 0-nál kezdődik, és minden gombnyomásnál (1, 2, 3, …) megszámlálódik. A webhely megkeresi a fiókjához társított kártyát, és speciális szoftvereket használ a kártyához társított titkos kulccsal, hogy kiszámolja ugyanazt az OTP-t 0 ellenértékkel. Ha ez nem egyezik, akkor megpróbálja a következő számláló értékét (1). és folytatja valamennyire, amíg talál egyezést, vagy nem “t” (hiba). néha néhány OTP-értéket fog kérni egymás után, hogy jobban találjon egyezést. ha talál egyezést, akkor rögzíti számlája ellenértékét későbbi felhasználás céljából.

5. amikor bejelentkezik, megadja felhasználónevét, jelszavát és OTP-jét. Egyes webhelyek lehetővé teszik az OTP hozzáadását a jelszó után. A speciális kiszolgálószoftver kiszámítja, hogy szerinte mi a számlája és kártyája következő számlálójának OTP-je. Ha néhányszor megnyomta a gombot, a szerver ellenőriz néhány előrejelző értéket, hogy talál-e egyezést.

6. Ha az OTP egyezik, akkor a webhely hitelesítette jelszavát és az OTP-t a hozzárendelt kártyáról. Ez két tényezős hitelesítés: valami, amit tudsz (jelszó), valami, ami rendelkezésedre áll (a hozzád rendelt kártya / token).

Az egyik ilyen típusú tokent készítő gyártó a Nagra ID: NagraID csúcskategóriás svájci intelligens kártya

Válasz

Nem más, mint egy hardveres token, amelyet a VPN-hez való csatlakozáshoz használ. Nem igazán szinkronizálja azt a webhellyel, csak létrehozza és érvényesíti a tokent az algoritmus / aszimmetrikus kriptográfia segítségével.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük