On 10 Dec 2002 13:44:55 +0100, t...@p...onet.pl wrote:
>Bardzo dziękuje za wyjaśnienie. Problem jednak w tym, czy token musi koniecznie
>posiadać zegar zsynchronizowany z zegarem w banku; taki zegar może się
>rozsynchronizować. Formalnie można sobie wyobrazić, że zegara nie posiada. Dla
>każdego użytkownika generowany jest okresowo jego własny ciąg liczb. System
>bankowy wie jaki to jest użytkownik(po wprowadzeniu logina i hasła) i następnie
>po wprowadzeniu jednej z generowanych liczb ostatecznie akceptuje użytkownika.
>Wydaje mi sie jednak, że to jest gorsze zabezpieczenie.

Dotychczas spotkalem sie z trzema rodzajami tokenow
- "Lukasowy", SecureID w formie malego breloczka z wyswietlaczem bez
zadnej klawiatury.
Token generuje wskazania wazne jakis okreslony czas i dziala stale,
bez ingerencji uzytkownika. Jakis zegar oczywiscie musi miec.

- token Vasco, najpopularniejszy (np. BZWBK, telepekao) dziala na
zasadzie pytanie-odpowiedz (challange response). Uzytkownik wprowadza
najpierw PIN a nastepnie wygenerowany przez serwis banku ciag cyfr na
co dostaje w odpowiedzi inny ciag cyfr ktory wprowadza.
Odpowiedz generowana jest na podstawie wprowadzonych z klawiatury cyfr
oraz czasu (odpowiedzi dla tego samego zapytania roznia sie w
przedzialach kilkudziesieciu sekund).
Dodatkowo token ten posiada tryb podobny do "lukasowgo" ale
zabezpieczony PINem. Po prowadzeniu PINu uzytkownik tylko wciska
odpowiedni przycisk i token sam generuje ciag cyfr, ktory trzeba
wprowadzic do aplikacji (bez wczesniejszego wprowadzania do tokena
cyfr wygeneroanych przez bank).
Taki sposob stosowany jest przez DMBZWBK.

- token stosowany przez ePKO (nie pamietam firmy). Dziala podobnie jak
token vasco - PIN, pytanie, odpowiedz ale opowied generowana jest
wylacznie na podstawie ciagu wprowadzonego przez uzytkownika i nie
zalezy od czas. Dla tego samego ciagu cyfr odpowiedz bedzie zawsze
taka sama na danyn tokenie (zeby bylo ciekawiej, odpowiedzi zawieraja
tez litery, nie tylko cyfry)
Wiec teoretycznie jest to jakby lista wielu haslel wielorazowych :).
Z tym, ze kto wie moze to sam z apytanie nigdy sie nie powtara a
zanim ktos zdarzy wprowadzic wszystkie mozliwe kombinacje to predzej
padnie bateria :P.
W kazdym razie tutaj zegar potrzrebny nie jest. Jednak token
stosowany przez ePKO zegar takze posiada bo tryb taki jak w tokenie
Vasco i dostępie do DMBZWBK jest stosowany w ePKO przy dostepie
telefonicznym.

Nie wnikam czy zegar jest synchronizowany radiowo czy ale pewnie jest,
ze pierwsze dwa tokeny zegar miec musza, ostatni moglby sie bez niego
obyc gdyby stosowac go wylacznie w trybie "pytanie-odpowiedz".

BTW, mial ktos moze okazje pobawic sie tokenami uzywanymi przez Citka
m.in w CitiDirect dla firm ?
--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl GG 212730
Karty Bankowe i Płatnicze http://www.kartybankowe.net
Moja strona Meat Loafa http://www.meatloaf.3a.pl
Wiadomość ta przedstawia wyłącznie prywatne stanowisko autora.