Форум

О надежности софтовых мобильных криптокалькуляторов.

про софтовые токены для смартфонов
Поиск по теме

  • 1
Что слышно про надежность софтовых криптокалькуляторов для мобилок, которые вроде постепенно идут на смену СМС кодам ? Про сами приложения банковские я наслышан, вроде дырявые они многие.
А что насчет софтовых токенов, можно им уже доверять или нет ?

Я имею ввиду приложение для смарта, которое в ответ на код подтверждения операции который клиент видит в своем личном кабинете, выдают ответный код полученный с помощью обработки входящего кода по заранее созданному банком алгоритму.
 
harpun,
А что слышно про банки, которые такой механизм применяют (или хотя бы планируют)? Они вообще есть?)
Новые биржевые приложения:
МКБ-брокер. :: ПСБ-инвестиции.
 
Цитата
Struzhkin пишет:
harpun,
А что слышно про банки, которые такой механизм применяют (или хотя бы планируют)? Они вообще есть?)


Ну вроде у Ситибанка такая штука есть. Пароль на ее запуск из 6 цифр, всяко лучше чем 4 цифры пина.
 
harpun,
Интересно..
Дадите ссылку на описание девайса? Или он секретный?

У мну есть хард-токен для автобанк-никойл (теперь Уралсиб) до сих пор рабочий) вот зачотная вещь!
Изменено: Struzhkin - 04.11.2020 18:19
Новые биржевые приложения:
МКБ-брокер. :: ПСБ-инвестиции.
 
У Сити он софтовый то есть реализован как приложение на Айфон или Андроид. Аппаратные хорошая штука, только батарейку сложно менять на некоторых а дохнуть она уже через 5 лет начинает. Риск есть, что он все сбросит при замене батарейки, там в некоторых моделях закладки есть для этого, гниды блин.

Но если разобрался то дальше просто. Но непонятно, можно ли признаваться в банке особенно зарубежном, что поменял батарейку и понял защиту от ее замены. Вроде бы считается что нужно выкинуть его после окончания 3-вольтовой таблетки этой, и получить новый. Но это ж плюс авиабилеты, плюс гостиница. Теоретически таблетки такие до 10 лет работают, но в часах. Токены похоже жрут поболее в режиме покоя. Но некоторые хотя бы предупреждают что батарейка садится, может даже все так умеют.

Софтовый я пока не знаю лучше ли, но страшновато ему доверять. В аппаратном софт зашит в ПЗУ или даже в ОЗУ возможно загружен, который делает преобразование входного кода в выходной, вряд ли эту прогу оттуда просто вытащить жуликам. А в софтовом все проще. Однако, есть же проги шифровальные которые имеют открытый код и ничего, это нисколько не облегчило хакерам расшифровку файлов которые созданы этими программами.

Тут надо бы мнение айтишников с уклоном в криптографию спросить, и статистику поискать, но вообще о приложениях для смартов отзывы. И конкретно в Сити вроде бы при хороших суммах они будут звонить, так что есть надежда что они по голосу определят жулье и не позволят увести деньги. Но это не точно. Вообще я за то чтобы приличные суммы всегда подтверждать голосом через систему распознавания голоса, и чтобы вопросы неожиданные были, и анализ пауз и т.д. как защита от синтезатора речи. А еще лучше видеозвонок, показать лицо, что-то сказать и по движению губ идентифицировать что говорит человек а не заранее запись (может он уже в багажнике лежит с гирей на ногах и кляпом во рту).

Что я вижу хорошего в токене Сити, так это 6 цифр пароля на запуск. В аппаратных запросто бывало по 4 цифры, и по 5 цифр, причем модель одна и та же, просто разные банки с разной степенью предусмотрительности. А бывали и вообще без пароля включения ! То есть если увели логин и пароль от интернет банка, и завладели аппаратным токеном то усе пропало.

З.ы. Для всех. Понятие токен подразумевает или мелкую штучку с кнопками и батарейкой, типа пульта от автомобиля, или софтину для смартфона (или для компа). Его функция - выдавать уникальные коды которые зашил туда банк, в токене содержится секретный алгоритм, напоминающий пароль-отзыв.
Ну типа вводишь "смерть шпионам" а он в ответ "славянский шкаф в углу" , банк на своей странице в качестве подтверждения выдает "смерть шпионам", вы это вводите в токен и ответ из токена передаете банку, и если это будет "славянский шкаф в углу" то значит это Вы, то есть человек с токеном который смог его включить (знает 5-6 значный пин), и операцию можно одобрить.
 
Цитата
harpun пишет:
Риск есть, что он все сбросит при замене батарейки, там в некоторых моделях закладки есть для этого, гниды блин.

Есть же флеш-память.

Цитата
harpun пишет:
который делает преобразование входного кода в выходной,

В моем девайсе просто каждое нажатие на кнопку генерит новый код.
По идее лишний раз нажимать нельзя)
Новые биржевые приложения:
МКБ-брокер. :: ПСБ-инвестиции.
 
Цитата
harpun пишет:
Однако, есть же проги шифровальные которые имеют открытый код и ничего, это нисколько не облегчило хакерам расшифровку файлов которые созданы этими программами.

Тут надо бы мнение айтишников с уклоном в криптографию спросить,

Если вы всерьёз этим интересуетесь, погуглите про шифрование с открытым ключом (rsa, pgp) например ключи для брокерского терминала quik создаются по RSA. Проблема в том, что нашим банкам для обычных клиентов это не интересно (( вот в ПСБ были файл-сертификаты rsa с подписью паролем, их отменили лет 5 назад в пользу смс((
Новые биржевые приложения:
МКБ-брокер. :: ПСБ-инвестиции.
 
  • 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Продукты Банки.ру