Hur fungerar ' SafePass ' fungerar kortet från Bank of America?


Bästa svaret

Jag är inte helt säker, men det verkar som att SafePass bara är en enkel OTP-genereringstoken.

Detta använder förmodligen den motbaserade HOTP-algoritmen ( HMAC-baserad engångslösenordalgoritm ) som definieras av RFC 4226 ( HOTP: En HMAC-baserad engångslösenordalgoritm ).

Det kan alternativt använda en tidsbaserad TOTP-algoritm ( Tidsbaserad engångslösenordsalgoritm ) men med tanke på kortets storlek skulle en sådan enhet upphöra att gälla tidigare på grund av batterianvändning för att hålla klockan.

Kort för dessa formfaktorer har producerat engångslösenord (OTP) i nästan ett decennium. De har ett litet batteri, ett chip som lagrar den hemliga nyckeln, en ”knapp” som utlöser OTP-generationen och en e-bläckdisplay med låg effekt som kräver bara ström för att ändra skärmen med det nya lösenordet.

Hur dessa OTP-lösenord och tokens är synkroniseras med en webbplats är något som liknar:

1. Enhetstillverkaren sätter en hemlig nyckel på kortet och associerar den hemliga nyckeln med ett serienummer som skrivs ut någonstans på kortet.

2. en grupp kort tillhandahålls webbplatsens ägare (bank osv.) tillsammans med en fil (vanligtvis krypterad) som innehåller en lista över kortens serienummer och tillhörande hemlig nyckel.

3. du beställer detta specialkort från webbplatsen (aka bank, PayPal, etc) och webbplatsen kopplar kort-ID till ditt konto.

4. du ”registrerar” ditt kort på webbplatsen genom att gå igenom en speciell process med webbplatsen. du trycker på en knapp på kortet för att få en kod (OTP) som du ger till webbplatsen. Kortet använder en räknare som börjar vid 0 och räknar med varje buton-tryckning (1, 2, 3, …). Webbplatsen letar upp kortet som är associerat med ditt konto och använder speciell programvara med den hemliga nyckeln som är associerad med kortet för att beräkna samma OTP med ett räknarvärde på 0. Om det inte stämmer, försöker det nästa räknarvärde (1) och fortsätter till något maximalt tills den hittar en matchning eller inte (fel). ibland kommer det att be dig om några OTP-värden i rad för att bättre hitta en matchning. om en matchning hittas registreras kontovärde för ditt konto för framtida referens.

5. när du loggar in anger du ditt användarnamn, lösenord och OTP. På vissa webbplatser kan du lägga till OTP efter ditt lösenord. Den speciella serverprogramvaran beräknar vad den tycker är OTP för nästa räknarvärde för ditt konto och kort. Om du tryckt på knappen några gånger kommer servern att kontrollera några räknarvärden framåt för att se om den hittar en matchning.

6. Om OTP matchar har webbplatsen autentiserat ditt lösenord och OTP från kortet som tilldelats dig. Detta är tvåfaktorautentisering: något du vet (lösenord) något du har (kortet / token tilldelat dig).

En leverantör som gör dessa typer av tokens är Nagra ID: NagraID High-end smartkort schweizisk tillverkare

Svar

Inte annorlunda än en hård token du använder för att ansluta till en VPN. Du synkroniserar inte riktigt den med webbplatsen, du genererar bara och validerar token med algoritmen / asymmetrisk kryptografi.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *