Cum funcționează ' SafePass ' card de la Bank of America funcționează?


Cel mai bun răspuns

Nu sunt deloc sigur, dar se pare că SafePass este doar un simplu token generator de OTP.

Acest lucru utilizează probabil algoritmul HOTP bazat pe contor ( Algoritm de parolă bazat pe HMAC ), astfel cum este definit de RFC 4226 ( HOTP: un algoritm de parolă unic bazat pe HMAC ).

Poate fi alternativ folosind un algoritm TOTP bazat pe timp ( Algoritm unic de parolă bazat pe timp ), dar având în vedere dimensiunea cardului, un astfel de dispozitiv ar expira mai repede din cauza consumului bateriei pentru a menține ceasul.

Cardurile acestora factorii de formă produc parole de o singură dată (OTP) de aproape un deceniu. Au o baterie mică, un cip care stochează cheia secretă, un „buton” care declanșează generarea OTP și un afișaj cu cerneală electronică de mică putere care necesită putere doar pentru a schimba afișajul cu noua parolă.

Modul în care sunt aceste parole și jetoane OTP sincronizate cu un site web sunt ceva similar cu:

1. producătorul dispozitivului pune o cheie secretă pe card și asociază cheia secretă cu un număr de serie care este imprimat undeva pe card.

2. un grup de carduri este oferit proprietarului site-ului web (bancă etc.) împreună cu un fișier (de obicei criptat) care conține o listă cu numerele de serie ale cardului și cheia secretă asociată.

3. comandați acest card special de pe site (aka bancă, paypal etc.), iar site-ul web asociază ID-ul cardului cu contul dvs.

4. vă „înregistrați” cardul cu site-ul web parcurgând un proces special cu site-ul web. apăsați un buton de pe card pentru a obține un cod (OTP) pe care îl furnizați site-ului web. Cardul folosește un contor care începe de la 0 și se anunță la fiecare apăsare pe buton (1, 2, 3, …). Site-ul web caută cardul asociat contului dvs. și folosește un software special cu cheia secretă asociată cardului pentru a calcula același OTP cu o valoare a contorului 0. Dacă acest lucru nu se potrivește, încearcă următoarea valoare a contorului (1) și continuă până la un anumit maxim până când găsește o potrivire sau nu (t) (eroare). uneori vă va cere câteva valori OTP la rând pentru a găsi mai bine o potrivire. dacă se găsește o potrivire, aceasta înregistrează valoarea contorului pentru contul dvs. pentru referință viitoare.

5. când vă conectați, vă furnizați numele de utilizator, parola și OTP. Unele site-uri web vă permit să adăugați OTP după parola. Software-ul server special calculează ceea ce crede că este OTP pentru următoarea valoare a contorului pentru contul și cardul dvs. Dacă ați apăsat butonul de câteva ori, serverul va verifica câteva valori de contor pentru a vedea dacă găsește o potrivire.

6. Dacă OTP se potrivește, atunci site-ul web vă autentifică parola și OTP de pe cardul care v-a fost atribuit. Aceasta este autentificarea cu doi factori: ceva ce știți (parolă) ceva pe care îl aveți (cardul / simbolul care v-a fost atribuit).

Un furnizor care face aceste tipuri de jetoane este Nagra ID: NagraID Cartelă inteligentă de ultimă generație Producător elvețian

Răspuns

Nu diferă de un jeton dur pe care îl utilizați pentru a vă conecta la un VPN. „Nu îl sincronizați cu site-ul web, ci doar generați și validați simbolul cu algoritmul / criptografia asimetrică.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *