Hvordan fungerer ' SafePass ' kortet fra Bank of America fungerer?


Beste svaret

Jeg er ikke helt sikker, men det ser ut til at SafePass bare er et enkelt OTP-genererende token.

Dette bruker sannsynligvis den motbaserte HOTP-algoritmen ( HMAC-basert engangspassordalgoritme ) som definert av RFC 4226 ( HOTP: En HMAC-basert engangspassordalgoritme ).

Det kan alternativt være å bruke en tidsbasert TOTP-algoritme ( Tidsbasert engangspassordalgoritme ) men gitt størrelsen på kortet, vil en slik enhet utløpe raskere på grunn av batteribruk for å opprettholde klokken.

Kort av disse formfaktorer har produsert engangspassord (OTP) i nesten et tiår. De har et lite batteri, en chip som lagrer den hemmelige nøkkelen, en «knapp» som utløser OTP-generasjonen, og en e-blekkdisplay med lav effekt krever bare strøm for å endre skjermen med det nye passordet.

Slik disse OTP-passordene og tokens er synkronisert med et nettsted er noe som ligner på:

1. produsenten av enheten setter en hemmelig nøkkel på kortet og knytter den hemmelige nøkkelen til et serienummer som er trykt et sted på kortet.

2. en gruppe kort blir levert til nettstedseieren (bank osv.) sammen med en fil (vanligvis kryptert) som inneholder en liste over kortserienumre og tilhørende hemmelig nøkkel.

3. du bestiller dette spesielle kortet fra nettstedet (aka bank, PayPal, etc), og nettstedet knytter kort-ID til kontoen din.

4. du «registrerer» kortet ditt på nettstedet ved å gå gjennom en spesiell prosess med nettstedet. du trykker på en knapp på kortet for å få en kode (OTP) som du gir til nettstedet. Kortet bruker en teller som starter ved 0 og stemmer med hvert buton-trykk (1, 2, 3, …). Nettstedet ser opp kortet som er tilknyttet kontoen din, og bruker spesiell programvare med den hemmelige nøkkelen som er knyttet til kortet for å beregne den samme OTP med en tellerverdi på 0. Hvis det ikke stemmer overens, prøver den neste tellerverdi (1) og fortsetter til noe maksimalt til den finner samsvar eller ikke (feil). noen ganger vil det be deg om noen OTP-verdier på rad for bedre å finne et samsvar. hvis det blir funnet et samsvar, registrerer det motverdien for kontoen din for fremtidig referanse.

5. når du logger på, oppgir du brukernavn, passord og OTP. Noen nettsteder lar deg legge til OTP etter passordet ditt. Den spesielle serverprogramvaren beregner hva den mener er OTP for neste tellerverdi for kontoen og kortet ditt. Hvis du trykket på knappen noen ganger, vil serveren sjekke noen tellerverdier fremover for å se om den finner samsvar.

6. Hvis OTP samsvarer, har nettstedet godkjent passordet ditt og OTP fra kortet som er tildelt deg. Dette er tofaktorautentisering: noe du vet (passord) noe du har (kortet / tokenet tildelt deg).

En leverandør som lager disse typer tokens er Nagra ID: NagraID Avansert smartkort sveitsisk produsent

Svar

Ikke annerledes enn et hardt token du bruker for å koble til et VPN. Du synkroniserer det egentlig ikke med nettstedet, du genererer bare og validerer tokenet med algoritmen / asymmetrisk kryptografi.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *