Что-то для банка и связанный с этим вопрос

[dr-trans.livejournal.com]

Закину вопрос сюда... Вроде юзфул в контексте безопасности и понимания сути.

У меня появился такой домашний питомец девайс. При нажатии кнопки брелок выдает 6-значный код, который нужно вводить при многофакторной проверке подлинности в системе клиент-банк. Код генерируется этим устройством локально в качестве альтернативы получению кода по СМС — защита от фишинга, соглядатайства и прочих потенциальных утечек.

При многократном нажатии кнопки брелок выдает 6-значный код в течение 15 секунд, потом код меняется. И так через каждые 15 секунд генерируется новый код. Постоянно.

Вопросы:

1. Как работает устройство и вся эта система?


2. Как происходит синхронизация по времени с сервером банка? Понятно, что алгоритм генерирования кода зашит в штучку, но синхронизация необходима, т.к. код устаревает через 15 секунд.


3. Как это устройство называется по-русски. Интересуют нормальные технические термины.

(Понимаю, что магия, связь с космосом и потусторонние силы, но хочется конкретики.)

Comments

[damirmur.livejournal.com]

У меня примерно такой же. Синхонизации скорее всего никакой. Просто генерирует цифры, которые дают контрольную сумму всегда соответствующую ID вашего девайса.

[dr-trans.livejournal.com]

Да, девайс привязан к счету. С другим счетом работать не будет. НО. Код (второй фактор проверки подлинности) действует в течение 15 секунд после ввода логина/пароля (первый фактор проверки подлинности). Иначе надо снова перезайти логином, чтобы ввести новый код. Как сайт банка узнаёт, что я задумался больше, чем на и 15 секунд, и генерированный код был генерирован более 15 секунд назад, поэтому и не подходит?

[denisty.livejournal.com]

Сайт банка знает сколько сейчас времени. И брелок знает сколько времени. И на основе этого времени и генерит код. Сайт банка знает алгоритм генерации кода и, соответственно, может вычислить время генерации кода.

[dr-trans.livejournal.com]

Как брелок узнает время? В нем есть часы, но часы надо периодически корректировать. Как?

[denisty.livejournal.com]

Радио, GPS, Глонас

[langsamer.livejournal.com]

Куда проще будет хранить поправку времени для каждого конкретного брелока на сервере. А вычислять ее - по введенному актуальному коду. Для безопасности - трем/четырем подряд.
Это если исходить из предположения, что таковая поправка будет значительна на релевантном отрезке времени. Т.е. если встроенные часы уходят на секунду из предложенных 15ти за 10 лет - кому нужна поправка?

[dr-trans.livejournal.com]

Вооот, теперь становится на свои места...
Ну а в банке вполне может быть индукционный синхронизатор для активирования брелоков при получении прямо целой коробкой.

[langsamer.livejournal.com]

3. Это называется токен (token). Кстати, на картинке вашей код получается 8значный, хотя вы обещали 6тизначный, как у Paypal'а с Ebay'em:


2. Синхронизании не нужно, нужно суметь отсчитать 15 секунд, с этим справляются даже песочные часы.

1. Алгоритм, генерирующий новый код на основании кода инициализации, связанного конкретно с этим устройством и нескольких предыдущих кодов. На проверяющем сервере работает тот же алгоритм и известны те же данные, так что проверяется, одинаково ли сгенерирован код на стороне сервера и клиента.

[langsamer.livejournal.com]

http://en.wikipedia.org/wiki/Security_token#Mathematical-algorithm-based_one-time_passwords

[dr-trans.livejournal.com]

3) Фотку брал из Инета. У меня 6-значный, но точно такой же формы. Про PP и eBay не знаю. Мне там пока не выдавали. :)

2) Для любых часов важна точность времени. Или он просто слушает доступные в эфире сигналы точного времени и периодически корректируется?

1) Да, плюс привязка уникального ключа устройства к конкретному банковскому счету. Поэтому к другому счету не подойдет.

[jonherrjames.livejournal.com]

могу ошибаться
2. скорей всего никак
в устройство зашиты определенное количество одноразовых уникальных кодов
в банке именно эти коды зарегистрированы как правильные для вашего счета

раньше подобные коды выдавались на листочке в запечатанном защищенном конверте

[dr-trans.livejournal.com]

Но он же должен знать, какой код когда выдать. При этому дискретность — 15 секунд. Т.е. максимальное отклонение встроенных часов должно ложиться в этот интервал, чтобы была возможность синхронизироваться снова путем перебора серии кодов.
В вики маловато написано (https://ru.wikipedia.org/wiki/%D0%A2%D0%BE%D0%BA%D0%B5%D0%BD_(%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8)#.D0.9E.D0.B4.D0.BD.D0.BE.D1.80.D0.B0.D0.B7.D0.BE.D0.B2.D1.8B.D0.B5_.D0.BF.D0.B0.D1.80.D0.BE.D0.BB.D0.B8.2C_.D1.81.D0.B8.D0.BD.D1.85.D1.80.D0.BE.D0.BD.D0.B8.D0.B7.D0.B8.D1.80.D0.BE.D0.B2.D0.B0.D0.BD.D0.BD.D1.8B.D0.B5_.D0.BF.D0.BE_.D0.B2.D1.80.D0.B5.D0.BC.D0.B5.D0.BD.D0.B8).

[dr-trans.livejournal.com]

ЕСЛИ...
«в устройство зашиты определенное количество одноразовых уникальных кодов
в банке именно эти коды зарегистрированы как правильные для вашего счета»,
ТО...
будет работать любой код просто по принципу одноразовости. Но если нажать 5 раз в течение 15 секунд, то все 5 раз будет отображаться один и тот же код. И если ввести этот код через 30 секунд после входа на сайт, он уже не сработает, т.к. устареет. Надо нажать еще раз и получить актуальный код. Как банк определяет, что код устарел?

[langsamer.livejournal.com]

Приду домой, где лежит пейпаловский токен, обязательно проведу эксперимент: нажму кнопку, запишу код на бумажку, выжду час, потом попробую зайти с ним на сайт пейпала.

Да, есть синхронизированные токены, типа такого:

Но они показывают актуальный код все время, без всяких кнопок.

[dr-trans.livejournal.com]

Воот, а в моем случае код работает ограниченное время. Это мне и интересно.

[langsamer.livejournal.com]

"показывают актуальный код" в том смысле, что он регулярно меняется. Точка возле девятки на картинке моргает как таймер, а прогресс бар у левого края уменьшается вниз до ноля. Когда исчезает - код на экране заменяется на новый.

[dr-trans.livejournal.com]

Раз так, что есть подозрение, что коды вертятся там всегда с момента активации штучки, сменяясь каждые 15 сек, а кнопка просто включает экран (т.е. экономия питания)...

[langsamer.livejournal.com]

The security code is generated by an algorithm based on time within the Online Security Device

[langsamer.livejournal.com]

Ответ на вопрос "как происходит сихронизация?" (https://ru.wikipedia.org/wiki/%D0%A2%D0%BE%D0%BA%D0%B5%D0%BD_(%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8)#.D0.9E.D0.B4.D0.BD.D0.BE.D1.80.D0.B0.D0.B7.D0.BE.D0.B2.D1.8B.D0.B5_.D0.BF.D0.B0.D1.80.D0.BE.D0.BB.D0.B8.2C_.D1.81.D0.B8.D0.BD.D1.85.D1.80.D0.BE.D0.BD.D0.B8.D0.B7.D0.B8.D1.80.D0.BE.D0.B2.D0.B0.D0.BD.D0.BD.D1.8B.D0.B5_.D0.BF.D0.BE_.D0.B2.D1.80.D0.B5.D0.BC.D0.B5.D0.BD.D0.B8)

[langsamer.livejournal.com]

А вот вам ответ от вашего собственного банка :)
http://www.hsbc.co.nz/everyday-banking/ways-to-bank/internet-banking/osd-faq#9

[langsamer.livejournal.com]

The security device is powered by a battery that can last for around five years under normal usage.

[dims12.livejournal.com]

У меня то же самое с многотарифным электросчётчиком. Я долго их пытал, как они умудряются обеспечивать точность хода часов внутри счётчика. Насколько я понял, никак. Современная электроника способна идти долго и точно безо всякой корректировки.

[dr-trans.livejournal.com]

Для электросчетчика даже погрешность в 10 минут -- не проблема. А тут код работает всего 15 секунд. Но в принципе, да, точность сейчас уже достаточно высокая. А дальше на сервере просто вносится поправка, если очередной выданный девайсом код начинает отставать от такта системы.

[dims12.livejournal.com]

Кстати да, сервер может вносить поправки у себя, так как в коде может быть закодировано время. То есть, допустим, если код устарел более, чем на X секунд, то сервер об этом узнает и сдвинет допуск для данного конкретного ключа...

[xytop.livejournal.com]

у сервера есть актуальное "окно" кодов. если в это окно попадает код с токена - все ок. если нет, спрашивается еще один код и окно смещается.
как-то так.

[dr-trans.livejournal.com]

Ну да, при этом хэш токена должен соответствовать конкретному окну, иначе ждем другой токен и вносим поправку к времени.

[dr-trans.livejournal.com]

угу

[dr-trans.livejournal.com]

+ такие устройства вполне могут слушать радиосигналы точного времени, их до сих пор передают на разных частотах.

[dims12.livejournal.com]

это вряд ли; тогда бы все наручные часы их слушали, а это не так

[dr-trans.livejournal.com]

Некоторые автомобильные часы, встроенные в торпеду, слушают.

[langsamer.livejournal.com]

http://www.amazon.com/s/ref=sr_nr_n_6?fst=as%3Aoff&rh=n%3A6358540011%2Ck%3Aradio+watch&keywords=radio+watch&ie=UTF8&qid=1425644604&rnid=2941120011

[langsamer.livejournal.com]

Ну и из личного опыта: в моей квартире - 4 настенных часов и один будильник синхронизируются по радио.

[dr-trans.livejournal.com]

да, это во многих часах стандартная функция. просто не все о ней знают

[barselon.livejournal.com]

Прочитал все коменты. Дааа...матрас и в нем наличка по прежнему нааамного проще :-)

[roquefort-tln.livejournal.com]

и каждый месяц бегать с этой наличкой платить по 10 адресам, небось еще и бумажки при этом ручкой заполнять ? never again!

[dr-trans.livejournal.com]

О, спорт, ты -- жизнь! Гг.

Есть же люди, делающие домашнюю вермишель...

[barselon.livejournal.com]

Понимаете какая тут картина то вырисовывается, уважаемой мой любитель сыра :-)
Вот раньше был телефон.
По нему разговаривали.
И долгое время он был нужен для разговора людей разделенных расстоянием.
Не более чем.
Потом пришел мобильный телефон и он принс на своих плечал прорву удобств. Человек ВСЕГДА на связи!
Но это принесло и минусы. Человек не всегда ХОЧЕТ быть на связи, а в случае с мобильником он делает это (отказ от общения) ЯВНО, в то время как в прошлом -он мог сделать это НЕ явно :-)
Плюс к этому мобильник принес полный аллес в моменты "втречи"
До этого люди отвественно относились к началу встречи в 11 нол ноль.
С появлением мобильникво и время то не назначают..созванюсь! Что приносит сильнейший бардак в структуру организации труда.
ду еду ну я ж на связи да? :-)
Далее мобильники принесли сеть на своих экрнах в каждый карман.
Это удобно.
Но ТАК ли нужно? :)
Ибо ОБЫЧНЫЙ телефон (даже в кармане ) не нес с собой СТОЛЬКО потерь личной и конфидициальной информации, сколько принс с собой мобильный терминал.
максиум что мы могли это раньше потерять записную книжу. Это печально но это н могло стать достоянием всего мира. А сейчас - легко!
Возвращаясь к разговору по теме.
Раньше в годы так 80е или 70 е бизнас был очень развит.
НО ..без засилья оплатой электронным видом.
Чеками обходились подписывали их РУКАМИ и прочее.
И как то даже БИЗНЕС вели, не говря уже о обычном быте.

Нынешняя структура автоматического безналичного электронного оборота и оплаты принесла БОЛьшие удобства.
Кажущиеся.
Но только..не надо потом рыдать, когда счет будет скомпромитирван то се, деньги будут перведены, транзакция отменеа и опротестована неврено и проче прочее прочее..что почти каждый день я читаю в рамках работы наших платежных систем электронного типа.
Да, наличной платить чуть дольше и чуть больше вреиени.
НО НАДЕЖНОСТЬ и уверенность в СВОИХ и только СВОИХ действиях в данном случае превышает автооплату любого вида.
Ведь еще совсем недавно в начале 80х так делал весь мир :-)
и по телефону только разговаривали. И то когда было НУЖНО. А так общались лично :-) хахаха

[ed-ik.livejournal.com]

Алгоритм и контрольная сумма .

[to-se.livejournal.com]

Посмотреть в самом клиент-банке, там должно быть что-то про синхронизацию, когда часы на девайсе уходят.