Wie funktioniert der ' SafePass ' Karte von der Bank of America funktioniert?


Beste Antwort

Ich bin mir nicht ganz sicher, aber es scheint, dass SafePass nur ein einfaches OTP-generierendes Token ist.

Dies verwendet wahrscheinlich den zählerbasierten HOTP-Algorithmus ( HMAC-basierter Einmalkennwortalgorithmus ) gemäß RFC 4226 ( HOTP: Ein HMAC-basierter Einmalkennwortalgorithmus ).

Alternativ könnte ein zeitbasierter TOTP-Algorithmus verwendet werden ( Zeitbasierter Einmalkennwortalgorithmus ), aber angesichts der Größe der Karte würde ein solches Gerät aufgrund des Batterieverbrauchs zur Aufrechterhaltung der Uhr früher ablaufen.

Karten davon Formfaktoren produzieren seit fast einem Jahrzehnt Einmalkennwörter (OTP). Sie haben eine kleine Batterie, einen Chip, auf dem der geheime Schlüssel gespeichert ist, einen „Knopf“, der die OTP-Generierung auslöst, und ein E-Ink-Display mit geringem Stromverbrauch Es ist nur Strom erforderlich, um die Anzeige mit dem neuen Kennwort zu ändern.

So wie diese OTP-Kennwörter und -Token sind Mit einer Website synchronisiert sind folgende Elemente:

1. Der Gerätehersteller legt einen geheimen Schlüssel auf die Karte und ordnet den geheimen Schlüssel einer Seriennummer zu, die irgendwo auf der Karte aufgedruckt ist.

2. Dem Websitebesitzer (Bank usw.) wird eine Gruppe von Karten zusammen mit einer Datei (normalerweise verschlüsselt) zur Verfügung gestellt, die eine Liste der Kartenseriennummern und den zugehörigen geheimen Schlüssel enthält.

3. Sie bestellen diese spezielle Karte auf der Website (auch bekannt als Bank, Paypal usw.) und die Website verknüpft die Karten-ID mit Ihrem Konto.

4. Sie „registrieren“ Ihre Karte auf der Website, indem Sie einen speziellen Prozess auf der Website durchlaufen. Sie drücken eine Taste auf der Karte, um einen Code (OTP) zu erhalten, den Sie der Website zur Verfügung stellen. Die Karte verwendet einen Zähler, der bei 0 beginnt und bei jedem Drücken der Taste (1, 2, 3, …) hochzählt. Die Website sucht nach der Ihrem Konto zugeordneten Karte und berechnet mithilfe einer speziellen Software mit dem der Karte zugeordneten geheimen Schlüssel das gleiche OTP mit einem Zählerwert von 0. Wenn dies nicht übereinstimmt, wird der nächste Zählerwert (1) versucht. und fährt bis zu einem gewissen Maximum fort, bis eine Übereinstimmung gefunden wird oder nicht (Fehler). Manchmal werden Sie nach einigen OTP-Werten hintereinander gefragt, um eine bessere Übereinstimmung zu finden. Wenn eine Übereinstimmung gefunden wird, wird der Zählerwert für Ihr Konto zur späteren Bezugnahme aufgezeichnet.

5. Wenn Sie sich anmelden, geben Sie Ihren Benutzernamen, Ihr Passwort und Ihr OTP an. Auf einigen Websites können Sie das OTP nach Ihrem Kennwort anhängen. Die spezielle Serversoftware berechnet den OTP für den nächsten Zählerwert für Ihr Konto und Ihre Karte. Wenn Sie die Taste einige Male gedrückt haben, überprüft der Server einige Zählerwerte im Voraus, um festzustellen, ob eine Übereinstimmung gefunden wird.

6. Wenn das OTP übereinstimmt, hat die Website Ihr Passwort und das OTP von der Ihnen zugewiesenen Karte authentifiziert. Dies ist eine Zwei-Faktor-Authentifizierung: etwas, das Sie kennen (Passwort), etwas, das Sie haben (die Ihnen zugewiesene Karte / das Token).

Ein Anbieter, der diese Arten von Token herstellt, ist die Nagra-ID: NagraID High-End-Smartcard Schweizer Hersteller

Antwort

Nicht anders als ein hartes Token, mit dem Sie eine Verbindung zu einem VPN herstellen. Sie synchronisieren es nicht wirklich mit der Website, sondern generieren und validieren das Token nur mit dem Algorithmus / der asymmetrischen Kryptographie.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.