Шифруемся

24.06.2015 01:29 10 1 733 просмотра
Это расширение информации, предоставленной Натальей Смирновой в своем блоге.

Там описан только токен от ВТБ24, увы без картинок. По своему опыту знаю, что если не только расскажут, но и покажут - это гораздо интереснее и полезнее. Итак, начнем с токена ВТБ24. Вот как они выглядят

Для работы непременно нужна карта ВТБ24 с чипом.

Есть и другие решения по защите, далеко не все связаны с картами.

Начнем с простейших.

Здесь нет ничего, ни кнопок, ни картридера. Только высокоточные внутренние часы, качественная батарейка, которая обязана прожить весь гарантированный производителем срок службы (2 или 3 года, не помню уже; при мне меняли такой токен 1 раз) и криптопроцессор, который по определенному алгоритму генерирует одноразовый код. После замены выдали более новую модель; принцип работы остался прежним.

Код на экране отображается всегда, привязан только ко времени. А собственно оставшееся время "жизни" кодика указывает число штрихов в левой части дисплея. Если осталась одна полоска, лучше подождать обновления кода и ввести тот, на предъявление которого системе заведомо хватит времени.

Есть токены, которые выдают код только по требованию, достаточно нажать кнопку, базой для расчета очередного кода является порядковый номер обращения к прибору.



Есть токены с подключением к компьютеру, они выдают код, который может (в зависимости от драйвера и программы-клиента) содержать помимо собственно переменного кода также контрольную сумму документа, что исключает возможность подмены подписанного сообщения.


Но всё это - дополнительные приборы. Наверняка найдётся и тот, кто не захочет носить что-то "лишнее", хоть мы и знаем, что безопасность не бывает излишней. В этом случае вам поможет генератор кодов, встроенный в карту.

Скажете не код там, bal= как бы намекает, что дисплей на карте готов показать баланс. Это демо-образец, не боевой. А вот вам пример реально рабочей карты

Коды, которые выдает именно эта карта, можно использовать для подтверждения операций в интернет-банке и для верификации транзакций по технологии 3d secure.

Пользуйтесь безопасными технологиями, и да минует вас фрод!

@.

Комментарии 10

Ольга Курочкина  (kha)
#
У меня здесь тоже с картинкой. http://www.banki.ru/blog/kha/5220.php
Номос уже не Номос - но должно это устройство лет пять проработать, всё-таки второй раз дали хороший.
Константин  (jFinder)
#
Умные токены с высокоточными внутренними часами и качественной батарейкой в курсе про leap second? Или через неделю их все можно будет выбросить? smile:shuffle:
@mike  (@mike)
#
Через неделю точно нет. К концу срока жизни первого из токенов, было более спокойно вводить код, когда шкала была близко к середине. С учетом того, что время обновления пароля там минута, ошибка наверно секунд 20 за эти 3 года набежала. В общем-то, достаточно достойный результат.

@.
Владимир Тихонов  (lordkaho)
#
Цитата
Коды, которые выдает именно эта карта, можно использовать для подтверждения операций в интернет-банке и для верификации транзакций по технологии 3d secure.

@mike


Жутко полезная штука, если потерял карту. В смысле - я знаю, что там нужен 3DS-PIN, главное что бы кнопочки не затирались со временем как на старых подъездных домофонах, когда подобрать тот PIN дело 3-х минут.
@mike  (@mike)
#
<div class='blog-post-quote'><span>Цитата</span>
главное что бы кнопочки не затирались со временем как на старых подъездных домофонах, когда подобрать тот PIN дело 3-х минут.
<br />
<br />Владимир Тихонов
</div>Всё там на самом деле продумано. Во-первых, с реальным электрическим замыкателем (чтобы нажимть достаточно сильно, да еще и подержать для включения) именно в этой карте только кнопка включения, остальные сенсорные. Так что их достаточно просто едва касаться, чтобы ввести цифры. Ничего не стирается. Даже "ON" и то не стёрся. Во-вторых, злоумышленнику, даже зная 4 цифры, необходимо будет суметь подобрать токен-ПИН с трёх попыток. После трёхкратного неудачного ввода генератор становится просто бесполезным, только под замену. И в-третьих, даже при вводе неверного ПИНа выдается случайное число, не являющееся очередным кодом. Так что внешних признаков того, что подбор успешен или неуспешен, - нет. Никаких Invalid PIN не рисуется.
<br />
<br />@.
Рудольф Сикорски  (openid.yandex.ru/phazon)
#
Цитата
Есть токены, которые выдают код только по требованию, достаточно нажать кнопку, базой для расчета очередного кода является порядковый номер обращения к прибору.

Мне всегда было интресно, а если на таком токене играючи "понажимать" кнопку, что будет? Если реально важен именно порядковый номер запроса - рассинхронизация будет чудовищная...

Самое крутое - это последняя карточка, черная...но банки внедрять не спешат-с...
Алексей  (WertuN)
#
На сервере установлен лимит, на сколько может отличаться код от последнего введенного ( обычно ставят где-то 50-100) Поэтому если нажать много раз, то токен выйдет из этого лимита и работать не будет. Администратор должен будет заново провести процедуру инициализации вручную.
<br />
<br />Мне больше всего импонирует софтовый способ двухфакторной авторизации... например GrIDsure от Safenet
Рудольф Сикорски  (openid.yandex.ru/phazon)
#
А что насчет нового U2F протокола? Тот же, по факту, токен OTP, только ничего не надо вводить цифрами никуда, токен сам обменивается информацией с браузером. Драйвера тоже не нужны так как все поверх USB-HID, Хром уже поддерживает, В Файрфокс поддержка в разработке. Сами токены на диво дешевые (5-10$) за штуку.
@mike  (@mike)
#
Интересный вариант. Конечно, стоит очень внимательно рассмотреть со всех сторон. А то некоторе время назад наталкивался на информацию о вирусе для флешек, который как раз симулирует кроме дискового тома ещё и дополнительную клавиатуру, которая может безнаказанно сделать всё что угодно. В простейшем варианте - как в том анекдоте про компьютер с голосовым управлением: "FORMAT C: [ENTER] [ENTER]". Есть нюанс: "подцепить" такой зловред (не совсем правильно егот называть вирусом, ибо вирус есть самоходное программное обеспечение, умеющее самостоятельно разможаться) возможно только модифицировав содержимое firmware контроллера флешки. То есть либо на заводе при изготовлении, либо очень специальными манипуляциями над готовой флешкой, я бы сказал - в лабраторных условиях. Зато ни один антивирус злонамеренных действий не заметит. Ну кому придет в голову сканировать подключенную новую клавиатуру? Хотя... В 1993 например то, что искать вирусы нужно будет в текстовых документах, - тоже казалось не более чем плодом нездорового воображения. Пока не узнали, что в Word можно организовать вирус, подсаживающийся на макросы.

Но что-то мне кажется, что токены на прогрессивных технологиях мы увидим очень нескоро. Санкции, контрсанкции, взаимные ограничения и запреты на передачу современных разработок. Как бы до втаптывания в грязь генетики и кибернетики не дойти вновь...

@.
Рудольф Сикорски  (openid.yandex.ru/phazon)
#
Я посмотрел спеки протокола, вот хотя бы https://fidoalliance.org/specs/fido-u2f-v1.0-nfc-bt-amendment-20150514/fido-u2f-hid-protocol.html - судя по ним токен не сможет ничего слать по своему желанию. HID протокол только для возможности работать везде где есть USB. Обмен данными идет прямо с браузером (браузер должен захватить канал для общения с токенами), все сообщения изначально зашифрованы и так далее.
Так что вариант "FORMAT C: [ENTER] [ENTER]" малореалистичен smile:)
Кроме того, Yubikey (один из главных производителей этих токенов) изначально запрещает обновлять прошивку в них, так что никакой малвари....
Но да, у нас даже просто токены мало распространены в банках, а что говорить о новой разработке...
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

FINAL CALL 11/16
15 ноября вышли данные по исполнению федерального бюджета за очередной месяц — октябрь. 1. В апреле — августе 2016 года из Резервного фонда изъяли
0
Как вернуть «тетрадочный» вклад?
Короткий ответ: показать документы о вкладе в банке-агенте. Длинный ответ. Наверное, уже практически все вкладчики знают, что во многих банках с
6
Венера в Козероге
Венера вошла в Знак Зодиака Козерог и пробудет здесь до 09 декабря. Вместо иллюзий и идеализма приходят сдержанность в проявлении чувств, строгость оценок
0
Рынок нефти 9 декабря
Нефть прибавляет в ожидании второй части сделки ОПЕК+. В субботу, 10 декабря, в Вене встретятся члены non-OPEC производителей, 14 стран участников рассмотрят
0

Новые сообщения

  • Рынок нефти 9 декабря
    Нефть прибавляет в ожидании второй части сделки ОПЕК+. В субботу, 10 декабря, в Вене встретятся члены non-OPEC производителей, 14 стран участников рассмотрят
  • Рынок нефти 6 декабря
    Ситуация на нефтяном рынке локально не изменилась. Brent консолидируется в районе $54/bbl на нейтральном новостном фоне. Оптимизм после заключения сделки
  • Рынок нефти 5 декабря
    Нефть торгуется в небольшом минусе, отступая от 16 месячных максимумов. Пауза в дальнейшем оптимизме на рынке сейчас выглядит вполне логично. Во-первых,
  • Как связаться с Агентством по страхованию вкладов?
    В разговорах, связанных с отзывом лицензий банков, часто возникает вопрос: как сообщить что-то АСВ, задать вопрос, пожаловаться и т.п. Ниже - справочник
  • Рынок нефти 1 декабря
    ОПЕК после почти годичных переговоров и восьми лет перерыва приняла решение о сокращении добычи нефти. Отдельным успехом для рынка в целом и картеля в