Jak działa ' SafePass ' karta z Bank of America działa?


Najlepsza odpowiedź

Nie jestem do końca pewien, ale wygląda na to, że SafePass to zwykły token generujący OTP.

Prawdopodobnie wykorzystuje to algorytm HOTP oparty na liczniku ( oparty na HMAC algorytm hasła jednorazowego ) zdefiniowany w dokumencie RFC 4226 ( HOTP: algorytm jednorazowego hasła oparty na HMAC ).

Alternatywnie może używać algorytmu TOTP opartego na czasie ( jednorazowy algorytm hasła oparty na czasie ), ale biorąc pod uwagę rozmiar karty, takie urządzenie wygaśnie wcześniej z powodu zużycia baterii do podtrzymania zegara.

Takie karty Form Factor produkuje hasła jednorazowe (OTP) od prawie dziesięciu lat. Mają małą baterię, chip, który przechowuje tajny klucz, „przycisk”, który uruchamia generowanie hasła jednorazowego, oraz wyświetlacz e-ink o niskim zużyciu energii, który wymaga tylko mocy do zmiany wyświetlacza za pomocą nowego hasła.

Sposób, w jaki te hasła i tokeny OTP są zsynchronizowane z witryną internetową są podobne do:

1. producent urządzenia umieszcza tajny klucz na karcie i łączy tajny klucz z numerem seryjnym wydrukowanym gdzieś na karcie.

2. grupa kart jest dostarczana właścicielowi witryny (bankowi itp.) wraz z plikiem (zwykle zaszyfrowanym) zawierającym listę numerów seryjnych kart i powiązany z nimi tajny klucz.

3. zamawiasz tę specjalną kartę za pośrednictwem strony internetowej (banku, paypal, itp.), a strona internetowa łączy identyfikator karty z Twoim kontem.

4. „rejestrujesz” swoją kartę w witrynie internetowej, przechodząc przez specjalny proces w witrynie. wciskasz przycisk na karcie, aby otrzymać kod (OTP), który podajesz na stronie internetowej. Karta używa licznika, który zaczyna się od 0 i odlicza się po każdym naciśnięciu przycisku (1, 2, 3, …). Witryna wyszukuje kartę powiązaną z Twoim kontem i używa specjalnego oprogramowania z tajnym kluczem powiązanym z kartą, aby obliczyć to samo hasło jednorazowe z wartością licznika 0. Jeśli to się nie zgadza, próbuje podać następną wartość licznika (1) i kontynuuje do pewnego maksimum, dopóki nie znajdzie dopasowania lub nie (błąd). czasami poprosi Cię o podanie kilku wartości OTP z rzędu, aby lepiej znaleźć dopasowanie. jeśli dopasowanie zostanie znalezione, zapisuje wartość licznika dla Twojego konta do wykorzystania w przyszłości.

5. logując się, podajesz swoją nazwę użytkownika, hasło i hasło jednorazowe. Niektóre witryny umożliwiają dołączenie hasła jednorazowego po haśle. Specjalne oprogramowanie serwera oblicza, co według niego, jest OTP dla następnej wartości licznika dla Twojego konta i karty. Jeśli naciśniesz przycisk kilka razy, serwer sprawdzi kilka wartości liczników z wyprzedzeniem, aby sprawdzić, czy znajdzie dopasowanie.

6. Jeśli hasło jednorazowe pasuje, oznacza to, że witryna uwierzytelniła Twoje hasło i hasło jednorazowe z karty przypisanej do Ciebie. Jest to uwierzytelnianie dwuskładnikowe: coś, co znasz (hasło), coś, co masz (karta / token przypisany do ciebie).

Jeden sprzedawca wytwarzający tego typu tokeny to Nagra ID: Wysokiej klasy karta inteligentna NagraID Szwajcarski producent

Odpowiedź

Nie różni się niczym od twardego tokena używanego do łączenia się z VPN. „Tak naprawdę nie synchronizujesz go z witryną”, po prostu generujesz i weryfikujesz token za pomocą algorytmu / asymetrycznej kryptografii.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *