Вход

Шифруемся

24.06.2015 01:29 10 2 055 просмотров
Это расширение информации, предоставленной Натальей Смирновой в своем блоге.

Там описан только токен от ВТБ24, увы без картинок. По своему опыту знаю, что если не только расскажут, но и покажут - это гораздо интереснее и полезнее. Итак, начнем с токена ВТБ24. Вот как они выглядят

Для работы непременно нужна карта ВТБ24 с чипом.

Есть и другие решения по защите, далеко не все связаны с картами.

Начнем с простейших.

Здесь нет ничего, ни кнопок, ни картридера. Только высокоточные внутренние часы, качественная батарейка, которая обязана прожить весь гарантированный производителем срок службы (2 или 3 года, не помню уже; при мне меняли такой токен 1 раз) и криптопроцессор, который по определенному алгоритму генерирует одноразовый код. После замены выдали более новую модель; принцип работы остался прежним.

Код на экране отображается всегда, привязан только ко времени. А собственно оставшееся время "жизни" кодика указывает число штрихов в левой части дисплея. Если осталась одна полоска, лучше подождать обновления кода и ввести тот, на предъявление которого системе заведомо хватит времени.

Есть токены, которые выдают код только по требованию, достаточно нажать кнопку, базой для расчета очередного кода является порядковый номер обращения к прибору.



Есть токены с подключением к компьютеру, они выдают код, который может (в зависимости от драйвера и программы-клиента) содержать помимо собственно переменного кода также контрольную сумму документа, что исключает возможность подмены подписанного сообщения.


Но всё это - дополнительные приборы. Наверняка найдётся и тот, кто не захочет носить что-то "лишнее", хоть мы и знаем, что безопасность не бывает излишней. В этом случае вам поможет генератор кодов, встроенный в карту.

Скажете не код там, bal= как бы намекает, что дисплей на карте готов показать баланс. Это демо-образец, не боевой. А вот вам пример реально рабочей карты

Коды, которые выдает именно эта карта, можно использовать для подтверждения операций в интернет-банке и для верификации транзакций по технологии 3d secure.

Пользуйтесь безопасными технологиями, и да минует вас фрод!

@.

Комментарии 10

Ольга Курочкина  (kha)
#
У меня здесь тоже с картинкой. http://www.banki.ru/blog/kha/5220.php
Номос уже не Номос - но должно это устройство лет пять проработать, всё-таки второй раз дали хороший.
Константин  (jFinder)
#
Умные токены с высокоточными внутренними часами и качественной батарейкой в курсе про leap second? Или через неделю их все можно будет выбросить? smile:shuffle:
@mike  (@mike)
#
Через неделю точно нет. К концу срока жизни первого из токенов, было более спокойно вводить код, когда шкала была близко к середине. С учетом того, что время обновления пароля там минута, ошибка наверно секунд 20 за эти 3 года набежала. В общем-то, достаточно достойный результат.

@.
Владимир Тихонов  (lordkaho)
#
Цитата
Коды, которые выдает именно эта карта, можно использовать для подтверждения операций в интернет-банке и для верификации транзакций по технологии 3d secure.

@mike


Жутко полезная штука, если потерял карту. В смысле - я знаю, что там нужен 3DS-PIN, главное что бы кнопочки не затирались со временем как на старых подъездных домофонах, когда подобрать тот PIN дело 3-х минут.
@mike  (@mike)
#
<div class='blog-post-quote'><span>Цитата</span>
главное что бы кнопочки не затирались со временем как на старых подъездных домофонах, когда подобрать тот PIN дело 3-х минут.
<br />
<br />Владимир Тихонов
</div>Всё там на самом деле продумано. Во-первых, с реальным электрическим замыкателем (чтобы нажимть достаточно сильно, да еще и подержать для включения) именно в этой карте только кнопка включения, остальные сенсорные. Так что их достаточно просто едва касаться, чтобы ввести цифры. Ничего не стирается. Даже "ON" и то не стёрся. Во-вторых, злоумышленнику, даже зная 4 цифры, необходимо будет суметь подобрать токен-ПИН с трёх попыток. После трёхкратного неудачного ввода генератор становится просто бесполезным, только под замену. И в-третьих, даже при вводе неверного ПИНа выдается случайное число, не являющееся очередным кодом. Так что внешних признаков того, что подбор успешен или неуспешен, - нет. Никаких Invalid PIN не рисуется.
<br />
<br />@.
Рудольф Сикорски  (openid.yandex.ru/phazon)
#
Цитата
Есть токены, которые выдают код только по требованию, достаточно нажать кнопку, базой для расчета очередного кода является порядковый номер обращения к прибору.

Мне всегда было интресно, а если на таком токене играючи "понажимать" кнопку, что будет? Если реально важен именно порядковый номер запроса - рассинхронизация будет чудовищная...

Самое крутое - это последняя карточка, черная...но банки внедрять не спешат-с...
Алексей  (WertuN)
#
На сервере установлен лимит, на сколько может отличаться код от последнего введенного ( обычно ставят где-то 50-100) Поэтому если нажать много раз, то токен выйдет из этого лимита и работать не будет. Администратор должен будет заново провести процедуру инициализации вручную.
<br />
<br />Мне больше всего импонирует софтовый способ двухфакторной авторизации... например GrIDsure от Safenet
Рудольф Сикорски  (openid.yandex.ru/phazon)
#
А что насчет нового U2F протокола? Тот же, по факту, токен OTP, только ничего не надо вводить цифрами никуда, токен сам обменивается информацией с браузером. Драйвера тоже не нужны так как все поверх USB-HID, Хром уже поддерживает, В Файрфокс поддержка в разработке. Сами токены на диво дешевые (5-10$) за штуку.
@mike  (@mike)
#
Интересный вариант. Конечно, стоит очень внимательно рассмотреть со всех сторон. А то некоторе время назад наталкивался на информацию о вирусе для флешек, который как раз симулирует кроме дискового тома ещё и дополнительную клавиатуру, которая может безнаказанно сделать всё что угодно. В простейшем варианте - как в том анекдоте про компьютер с голосовым управлением: "FORMAT C: [ENTER] [ENTER]". Есть нюанс: "подцепить" такой зловред (не совсем правильно егот называть вирусом, ибо вирус есть самоходное программное обеспечение, умеющее самостоятельно разможаться) возможно только модифицировав содержимое firmware контроллера флешки. То есть либо на заводе при изготовлении, либо очень специальными манипуляциями над готовой флешкой, я бы сказал - в лабраторных условиях. Зато ни один антивирус злонамеренных действий не заметит. Ну кому придет в голову сканировать подключенную новую клавиатуру? Хотя... В 1993 например то, что искать вирусы нужно будет в текстовых документах, - тоже казалось не более чем плодом нездорового воображения. Пока не узнали, что в Word можно организовать вирус, подсаживающийся на макросы.

Но что-то мне кажется, что токены на прогрессивных технологиях мы увидим очень нескоро. Санкции, контрсанкции, взаимные ограничения и запреты на передачу современных разработок. Как бы до втаптывания в грязь генетики и кибернетики не дойти вновь...

@.
Рудольф Сикорски  (openid.yandex.ru/phazon)
#
Я посмотрел спеки протокола, вот хотя бы https://fidoalliance.org/specs/fido-u2f-v1.0-nfc-bt-amendment-20150514/fido-u2f-hid-protocol.html - судя по ним токен не сможет ничего слать по своему желанию. HID протокол только для возможности работать везде где есть USB. Обмен данными идет прямо с браузером (браузер должен захватить канал для общения с токенами), все сообщения изначально зашифрованы и так далее.
Так что вариант "FORMAT C: [ENTER] [ENTER]" малореалистичен smile:)
Кроме того, Yubikey (один из главных производителей этих токенов) изначально запрещает обновлять прошивку в них, так что никакой малвари....
Но да, у нас даже просто токены мало распространены в банках, а что говорить о новой разработке...
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Новости по итогам отчетности за июнь 2017 г.
Нарушители нормативов ЦБ в июне (тех, кто находится на санации, тех, у кого уже отозвана лицензия и тех, где введена временная администрация, не обсуждаем
15
Банки и ипотека, немного полезного.
Еще раз – здравствуйте! Сегодня я хочу поговорить о ипотеке, ну и длительных кредитах в том числе. Так или иначе, но – существуют люди, занявшие у банка
5
Югра и флуд
Привет, мне ... лет и я серийный вкладчик. Я прошёл через десятки страховых случаев и пока АСВ всегда выполняло свои обязательства, пусть и с боем.
1
......время перемен !
Сменил работу ........! ...... но почти , ....... смена шила на мыло ...... Поиск продолжается !
0
Сверхкраткий "курс молодого бойца" по инвестициям в золото
Решил перенести сюда свой пост про советы новичку по инвестициям в золото. Целесообразность этих инвестиций рассматривал уже раньше, потому повторяться
0

Новые сообщения

  • ......время перемен !
    Сменил работу ........! ...... но почти , ....... смена шила на мыло ...... Поиск продолжается !
  • Сверхкраткий "курс молодого бойца" по инвестициям в золото
    Решил перенести сюда свой пост про советы новичку по инвестициям в золото. Целесообразность этих инвестиций рассматривал уже раньше, потому повторяться
  • Рынок ненфти 21 июля
    Нефть сдержанно подрастает в предвкушении встречи в Санкт-Петербурге. Необходимо признать, что несмотря на все «НО» рынок нефти в последнее время пытается
  • Как получить пенсию в Норвегии?
    «Не в деньгах счастье» таким крылатым выражением может оправдываться только человек, не знающий другое выражение: «Не в деньгах счастье, а в их количестве».
  • Какова цена финансовой неграмотности?
    Сегодня поговорим об очень важном аспекте, который губит многих, но мало кто на него обращает внимание. Особенно среди успешных людей. Успех и слава пьянит