Что-то для банка и связанный с этим вопрос

Mar. 6th, 2015 01:47 am
[identity profile] dr-trans.livejournal.com posting in [community profile] useful_faq
Закину вопрос сюда... Вроде юзфул в контексте безопасности и понимания сути.

У меня появился такой домашний питомец девайс. При нажатии кнопки брелок выдает 6-значный код, который нужно вводить при многофакторной проверке подлинности в системе клиент-банк. Код генерируется этим устройством локально в качестве альтернативы получению кода по СМС — защита от фишинга, соглядатайства и прочих потенциальных утечек.

При многократном нажатии кнопки брелок выдает 6-значный код в течение 15 секунд, потом код меняется. И так через каждые 15 секунд генерируется новый код. Постоянно.

Вопросы:

  1. Как работает устройство и вся эта система?

  2. Как происходит синхронизация по времени с сервером банка? Понятно, что алгоритм генерирования кода зашит в штучку, но синхронизация необходима, т.к. код устаревает через 15 секунд.

  3. Как это устройство называется по-русски. Интересуют нормальные технические термины.


(Понимаю, что магия, связь с космосом и потусторонние силы, но хочется конкретики.)
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2015-03-06 08:32 am (UTC)
From: [identity profile] langsamer.livejournal.com
3. Это называется токен (token). Кстати, на картинке вашей код получается 8значный, хотя вы обещали 6тизначный, как у Paypal'а с Ebay'em:
Image

2. Синхронизании не нужно, нужно суметь отсчитать 15 секунд, с этим справляются даже песочные часы.

1. Алгоритм, генерирующий новый код на основании кода инициализации, связанного конкретно с этим устройством и нескольких предыдущих кодов. На проверяющем сервере работает тот же алгоритм и известны те же данные, так что проверяется, одинаково ли сгенерирован код на стороне сервера и клиента.

Date: 2015-03-06 08:37 am (UTC)
From: [identity profile] langsamer.livejournal.com
http://en.wikipedia.org/wiki/Security_token#Mathematical-algorithm-based_one-time_passwords

Date: 2015-03-06 09:13 am (UTC)
From: [identity profile] dr-trans.livejournal.com
3) Фотку брал из Инета. У меня 6-значный, но точно такой же формы. Про PP и eBay не знаю. Мне там пока не выдавали. :)

2) Для любых часов важна точность времени. Или он просто слушает доступные в эфире сигналы точного времени и периодически корректируется?

1) Да, плюс привязка уникального ключа устройства к конкретному банковскому счету. Поэтому к другому счету не подойдет.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only