> >Witam
> >
> >Niedawno zmienilem sobie zwykle e-konto na eKonto PRO z tokenem i
zauwazylem
> >cos ciekawego.
> >W instrukcji pisze ze przy logowaniu lub innych operacjach trzeba wpisac
> >haslo + aktualne wskazanie token
> Dawniej token regularnie synchronizowal mi sie z oprogramowaniem w
> banku (trzeba bylo wpisac dwa kolejne kody) a od kilku tygodni tego
> nie ma.
> Moze zwiekszyli tolerancje i serwer akceptuje kod aktualny +/- kilka
> minut.
> Sprobuj 1 raz zalogowac sie na jakis losowy kod (nie wygenerowany
> przez tokena) to sie przekonasz czy cie wpusci.

witam
na tokenie mozna ustawic tzw. okno.... zalezy od administratora jego
szerokosc... server moze miec ustawione ze pamieta 2 do 5 (moze wiecej)
tokenow... ale jezeli wpiszesz nie ten ktory trzeba to server wysyla do
ciebie pakiet: Next Token Code On ... co po prostu oznacza ze musisz
poczekac az zmieni sie token i wpisac go jeszcze raz, po takiej operacji
czas servera dla tego tokena synchronizuje sie do tokena (nie odwrotnie -
token nie wie jakie jest przesuniecie na serverze, server zna przesuniecie
czasu wzgledem tokena i sie do niego dopasowuje)...
wyslanie przez sever pakietu Next Token Code On nie jest czestym
przypadkiem, z reguly jezeli przez miesiac nie uzywasz tokena to ma prawo
sie to zdarzyc... ale zawsze potem musisz podac nastepny token, jezeli
server od razu wpuszcza ciebie mimo ze uzywasz starego tokena to wielki
blad... to znaczy ze jezeli ktos podsluchal wymiane informacji miedzy Toba a
bankiem to moze w kazdej chwili wejsc na Twoje konto i zrobic z Twoimi
pieniedzmy WSZYSTKO !!!
jakims pocieszeniem moze byc to, ze prawdopodobnie jest to polaczenie
kodowane (SSL), wiec jestes w miare bezpieczny... czy Twoje polaczenie jest
kodowane mozesz stwierdzic sam, jezeli polaczenie nie jest kodowane to na
gorze przegladarki masz adres zaczynajacy sie od http://blebleble.lucas.pl ,
natomiast jezeli jest to polaczenie kodowane to poczatek jest:
https://blebleble.lucas.pl ...

administruje serverem RSA ACE Server i jestem w 100% przekonany ze nie ma
mozliwosci przepuszczenia niewaznego tokena bez ponownego
uwierzytelnienia... lepiej uwazaj ..

przem

do góry

> Tak sie bawilem za mi wyskoczyklo cus takiego:
>
> Poczekaj na nastepne wskazanie tokena, wpisz w ponizsze pole (bez hasla) i
> kliknij zatwierdz

prawidlowa reakcja systemu... ale po kazdej prawidlowej reakcji systemu
server powinien sie zsyynchronizowac z tokenem... a to oznacza ze wiecej
nie powinno byc juz przesuniecia... na odwrocie tokena powinna byc data...
ta data oznacza jego waznosc... sprawdz czy sie nie skonczyl... po tej dacie
token dziala OK, ale producent nie daje gwarancji bezpieczenstwa... po
prostu tokeny beda sie powtarzac... mozna powiedziec skonczyl sie okres
zaczal nastepny - identyczny ;-)

przem

do góry

> > na losowy kod to chyba nie sadzisz zyby wogle mogl wpuscic, chodzilo
> > mi bardziej o to ile taki kod moze byc wazny , jakby kto podpatrzyl a
> > potem wykorzystal.
>
> Pojedyncze minuty. Z tym że jak będziesz zapisywał i "tresował" go
> codziennie, systematycznie zwiększając opóźnienie, to może uda Ci się
> dociągnąć do godziny, kto wie?

nie ma na to szans... okno jest jedno... powiedzmy 3 minuty w obie strony...
jezeli poda kod, ktory nie miesci sie w oknie to po prostu bedzie
potraktowany jakby wpisal nie prawidlowe haslo...
mimo ze token jest super doskonalym urzadzeniem (nawet jak sprobujesz go
rozebrac - powiedzmy ze sprawdzic algorytm obliczania nastepnego tokena - to
ulega samozniszczeniu), ma prawo do malej niedokladnosci jezeli chodzi o
czas... wiec zeby nie zostawic klienta na lodzie jak bedzie to wiecej niz
minuta ustawia sie okno wlasnie... jezeli token przez rok nie byl uzwany,
albo jakims cudem token sie przesunal wiecej niz okno... to trzeba make call
do admina ktory telefonicznie zsynchronizuje go od nowa ;-)

przem

do góry

> Tam jest 8 cyfr - jak nalezy odczytywać tę date?

te 8 cyfr to numer seryjny ;-)))))
pod nim jest data waznosci ;-)

przem

do góry

> Tzn. samoczynne synchronizowanie jest na stałe ograniczone do tego małego
> okna, powiedzmy do 3 minut? Nie przesuwa sie ono do nowego środka po
> zsynchronizowaniu drugim kodem?

okno po 3 minuty w dwie strony to razem 7 minut czyli

O O O T O O O

O - okno
T - aktualny token
jest to stan doskonaly... wpisywany token jest tym w srodku

jezeli sie przesunie o 2 minut do przodu to mamy

O O O O O T O

w tym momencie server widzi ze powinno byc czwarte O, ale jest liczba z
pozycji T, a ze T miesci sie w oknie to pyta o nastepny token czyli pyta o
siodme O, jezeli wpiszesz je prawidlowe to server automatycznie przesuwa
wszystko do pozycji jak na gorze

O O O T O O O

i tak to dziala ;-)))

przem

do góry

> Tak właśnie myślałem. Zatem jak raz tydzień będę przesuwał to okno o 2
> minuty, to po roku uzyskam prawie 2 godziny przesunięcia. Oczywiście
> przesunięcia będę wykonywał przez zapisanie numeru tokena (najlepiej
dwóch)
> i odczekanie 2 minuty X liczba tygodni od poczatku akcji.
> Oczywiście nie ma to najmniejszego sensu, ale teoretycznie chyba możliwe w
> świetle tych informacji?

ale nie jestes w stanie przestawic okna... bo to nie chodzi o godzine na
serverze... tylko wpisuje sobie server ze token o danym numerze seryjnym
jest przesuniety o tyle i tyle sekund w jedna lub druga strone ;-) wzgledem
aktualnej godziny... token ma wszyty kwarc .... i jego nie jestes w stanie
przestawic o zaden kwant czasu... po prostu jezeli kwarc jest wadliwy to
powoduje opoznienia i to wszystko ;-)
poza tym:
zapiszesz token w 1 minucie
potem w 2 minucie
potem w 3 minucie
potem w 4 minucie

uzyjesz po jakims czasie tokena z drugiej minuty - jezeli ten token nie
zmiesci sie w oknie (3 minuty - na przyklad) to po prostu system cie nie
wpusci... ale jezeli sie zmiesci to bedziesz musial podac token z trzeciej
minuty zeby cie przyjal... super ! zsynchronizuje ci sie do tylu o 2 minuty
(bo do przodu nie jestes w stanie podac tokena bo go nie znasz) i teraz zeby
dalej probowac go przesuwac to musisz zapisywac wszystkie tokeny do
nastepnego razu.. najlepiej na papierze toaletowym ;-) jest dlugi i mozna
siedziec jak sie pisze ;-)))
pamietaj ze jezeli Twoj token wyskoczy poza okno... (nawet jak sam
spowodujesz przesuniecie) to zostanie ci tylko telefon do admina ktory ci
zsynchronizuje tokena recznie ;-)

przem

do góry

> Pod nim to znaczy zaklejone nim? Bo na wierzchu nic już nie ma, tylko
> powyżej są dane producenta.

jezeli to token RSA Security to musi byc pod spodem data
sa 2 rodzaje tokenow (3 w sumie)
1. key fob - w formie breloka do kluczy - czarny
2. plaski w formie karty kredytowej - serbrny
3. plaski w formie karty kredytowej - serbrny z przyciskami dodatkowymi

kazdy z nich ma numer seryjny oraz date waznosci ;-)
przem

do góry

> O co by sie stalo jakby sie pomulic przy wpisywaniu tego wskazania tokena
,
> lub wpisac 2 lub 3 z kolei a nie nastepny.

a masz zapisane ? mozesz podac tokeny te ktore juz byly... nie jestes w
stanie podac tych ktore beda ...
jezeli podasz token przeszly i miesci sie w oknie to bedziesz musial podac
nastepny to tym tokenie jaki sie pojawil
jezeli podasz token przyszly - z powodu przesuniecia czasu - to bedziesz
musial poczekac az sie token zmieni i tez go wpisac
jezeli ktorykolwiek z tych tokenow wpiszesz blednie, nie w odpowiedniej
kolejnosci... system potraktuje to jakbys nie znal hasla i sie pozegna ;-)

jeszcze cos... u mnie na przyklad jest tak ze jak user 5 razy pod rzad
blednie sie autoryzuje to token jest blokowany... wtedy zostaje telefon do
mnie zeby odblokowac ;-)

przem

do góry

Witam

Niedawno zmienilem sobie zwykle e-konto na eKonto PRO z tokenem i zauwazylem
cos ciekawego.
W instrukcji pisze ze przy logowaniu lub innych operacjach trzeba wpisac
haslo + aktualne wskazanie token

Z tym ze mi sie udaje logowac na nieaktualne juz 4 min ( wiecej nie
sprawdzalem) wskazenie tokena. Co o tym myslicie czy to jest jakis
zagrozenie dla moich pieniedzy.

Marcin

do góry

On Thu, 9 Jan 2003 21:14:19 +0100, "Marcin" <t...@p...onet.pl>
wrote:

>Witam
>
>Niedawno zmienilem sobie zwykle e-konto na eKonto PRO z tokenem i zauwazylem
>cos ciekawego.
>W instrukcji pisze ze przy logowaniu lub innych operacjach trzeba wpisac
>haslo + aktualne wskazanie token

Dawniej token regularnie synchronizowal mi sie z oprogramowaniem w
banku (trzeba bylo wpisac dwa kolejne kody) a od kilku tygodni tego
nie ma.
Moze zwiekszyli tolerancje i serwer akceptuje kod aktualny +/- kilka
minut.
Sprobuj 1 raz zalogowac sie na jakis losowy kod (nie wygenerowany
przez tokena) to sie przekonasz czy cie wpusci.

Pozdrawiam

oVo

do góry