In che modo ' SafePass ' carta della Bank of America funziona?


Migliore risposta

Non sono del tutto sicuro, ma sembra che SafePass sia solo un semplice token di generazione di OTP.

Questo probabilmente utilizza lalgoritmo HOTP basato su contatore ( algoritmo per password monouso basato su HMAC ) come definito da RFC 4226 ( HOTP: un algoritmo per password monouso basato su HMAC ).

In alternativa potrebbe utilizzare un algoritmo TOTP basato sul tempo ( Algoritmo per password monouso basato sul tempo ) ma, date le dimensioni della scheda, un tale dispositivo scadrà prima a causa dellutilizzo della batteria per mantenere lorologio.

fattori di forma producono password monouso (OTP) da quasi un decennio. Hanno una piccola batteria, un chip che memorizza la chiave segreta, un “pulsante” che attiva la generazione OTP e un display e-ink a basso consumo che richiede solo lalimentazione per cambiare la visualizzazione con la nuova password.

Il modo in cui queste password e token OTP sono sincronizzati con un sito web sono qualcosa di simile a:

1. Il produttore del dispositivo inserisce una chiave segreta sulla carta e associa la chiave segreta a un numero di serie che è stampato da qualche parte sulla carta.

2. un gruppo di carte viene fornito al proprietario del sito web (banca, ecc.) insieme a un file (solitamente crittografato) contenente un elenco di numeri di serie della carta e chiave segreta associata.

3. ordinate questa carta speciale dal sito Web (ovvero banca, paypal, ecc.) e il sito Web associa lID della carta al vostro account.

4. “registri” la tua carta al sito web tramite un processo speciale con il sito web. premi un pulsante sulla carta per ottenere un codice (OTP) che fornisci al sito web. La carta usa un contatore che inizia da 0 e conta a ogni pressione del pulsante (1, 2, 3, …). Il sito web cerca la carta associata al tuo account e utilizza un software speciale con la chiave segreta associata alla carta per calcolare la stessa OTP con un valore del contatore 0. Se questo non corrisponde, prova il valore del contatore successivo (1) e continua a un certo massimo fino a quando non trova una corrispondenza o non “t (errore). a volte ti chiederà alcuni valori OTP di seguito per trovare meglio una corrispondenza. se viene trovata una corrispondenza, registra il valore del contatore per il tuo account per riferimento futuro.

5. quando effettui laccesso, fornisci nome utente, password e OTP. Alcuni siti Web consentono di aggiungere lOTP dopo la password. Lo speciale software del server calcola quello che pensa sia lOTP per il prossimo controvalore per il tuo conto e la tua carta. Se hai premuto il pulsante alcune volte, il server controllerà alcuni valori del contatore per vedere se trova una corrispondenza.

6. Se lOTP corrisponde, il sito Web ha autenticato la tua password e lOTP dalla carta che ti è stata assegnata. Questa è unautenticazione a due fattori: qualcosa che conosci (password) qualcosa che hai (la carta / gettone che ti è stato assegnato).

Un fornitore che produce questi tipi di gettoni è Nagra ID: NagraID Produttore svizzero di smart card di fascia alta

Risposta

Non è diverso da un hard token che utilizzi per connetterti a una VPN. Non lo stai sincronizzando con il sito web, stai solo generando e convalidando il token con lalgoritmo / crittografia asimmetrica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *