Что-то для банка и связанный с этим вопрос

Mar. 6th, 2015 01:47 am
[identity profile] dr-trans.livejournal.com posting in [community profile] useful_faq
Закину вопрос сюда... Вроде юзфул в контексте безопасности и понимания сути.

У меня появился такой домашний питомец девайс. При нажатии кнопки брелок выдает 6-значный код, который нужно вводить при многофакторной проверке подлинности в системе клиент-банк. Код генерируется этим устройством локально в качестве альтернативы получению кода по СМС — защита от фишинга, соглядатайства и прочих потенциальных утечек.

При многократном нажатии кнопки брелок выдает 6-значный код в течение 15 секунд, потом код меняется. И так через каждые 15 секунд генерируется новый код. Постоянно.

Вопросы:

  1. Как работает устройство и вся эта система?

  2. Как происходит синхронизация по времени с сервером банка? Понятно, что алгоритм генерирования кода зашит в штучку, но синхронизация необходима, т.к. код устаревает через 15 секунд.

  3. Как это устройство называется по-русски. Интересуют нормальные технические термины.


(Понимаю, что магия, связь с космосом и потусторонние силы, но хочется конкретики.)
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2015-03-06 09:21 am (UTC)
From: [identity profile] dr-trans.livejournal.com
ЕСЛИ...
«в устройство зашиты определенное количество одноразовых уникальных кодов
в банке именно эти коды зарегистрированы как правильные для вашего счета»,
ТО...
будет работать любой код просто по принципу одноразовости. Но если нажать 5 раз в течение 15 секунд, то все 5 раз будет отображаться один и тот же код. И если ввести этот код через 30 секунд после входа на сайт, он уже не сработает, т.к. устареет. Надо нажать еще раз и получить актуальный код. Как банк определяет, что код устарел?

Date: 2015-03-06 09:30 am (UTC)
From: [identity profile] langsamer.livejournal.com
Приду домой, где лежит пейпаловский токен, обязательно проведу эксперимент: нажму кнопку, запишу код на бумажку, выжду час, потом попробую зайти с ним на сайт пейпала.

Да, есть синхронизированные токены, типа такого:
Image
Но они показывают актуальный код все время, без всяких кнопок.

Date: 2015-03-06 09:32 am (UTC)
From: [identity profile] dr-trans.livejournal.com
Воот, а в моем случае код работает ограниченное время. Это мне и интересно.

Date: 2015-03-06 09:35 am (UTC)
From: [identity profile] langsamer.livejournal.com
"показывают актуальный код" в том смысле, что он регулярно меняется. Точка возле девятки на картинке моргает как таймер, а прогресс бар у левого края уменьшается вниз до ноля. Когда исчезает - код на экране заменяется на новый.

Date: 2015-03-06 09:45 am (UTC)
From: [identity profile] dr-trans.livejournal.com
Раз так, что есть подозрение, что коды вертятся там всегда с момента активации штучки, сменяясь каждые 15 сек, а кнопка просто включает экран (т.е. экономия питания)...

Date: 2015-03-06 10:01 am (UTC)
From: [identity profile] langsamer.livejournal.com
The security code is generated by an algorithm based on time within the Online Security Device
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only