-
Data: 2011-03-21 07:42:34
Temat: Re: Uwaga na tokeny soprzętowe RSA.
Od: "witrak()" <w...@h...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Krzysztof Halasa wrote:
> "wiatrak" <w...@y...pl> writes:
>
>> Które banki to mają? Na pewno Lukas, w Eurobanku tez jest taka
>> opcja.. Które banki jeszcze?
>> http://www.tvn24.pl/-1,1696347,0,1,hakerzy-dobieraja
-sie-do-bankowych-tokenow,wiadomosc.html
>
> Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA
> - to jest baza danych (lub cos podobnego, np. algorytm generowania)
> seedow w polaczeniu z numerami tokenow.
>
> Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc
> generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc
> przechowywane przez producenta).
...
> I to jest
> akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora
> kupila token) zna seedy. Nawet producent nie powinien ich znac.
>
> Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich
> zdrad nie moglo byc.
To jest (niestety) pobożne życzenie - przynajmniej na razie: skoro
token jest zamkniętym mechanicznie urządzonkiem bez żadnych
zewnętrznych kontaktów, to użytkownik (np. bank) nie może
wprowadzić żadnych danych, w szczególności seed-u.
Znając bowiem chęć producentów do wydawania dodatkowych pieniędzy
nie wierzę, żeby token zawierał układ bezprzewodowego wprowadzania
danych. A to oznacza, że bazę danych zawierającą pary "nr tokena -
seed" producent musi dołączać do każdej partii tokenów wysyłanych
do odbiorcy.
Potwierdza to zresztą procedura aktywacji w co najmniej jednym
banku (znana mi z autopsji): bank wysyła token, user telefonuje do
banku i po weryfikacji podaje numer tokena, po czym token zostaje
aktywowany.
witrak()
Następne wpisy z tego wątku
- 21.03.11 08:25 Piotr Gałka
- 21.03.11 09:19 Karol S
- 21.03.11 09:27 Karol S
- 21.03.11 09:46 Wemif
- 21.03.11 10:18 xbartx
- 21.03.11 11:23 Piotr Gałka
- 21.03.11 11:35 Piotr Gałka
- 21.03.11 11:52 Piotr Gałka
- 21.03.11 12:51 Wemif
- 21.03.11 13:57 witrak()
- 21.03.11 14:34 Piotr Gałka
- 21.03.11 15:12 witrak()
- 21.03.11 16:47 Piotr Gałka
- 21.03.11 21:16 Krzysztof Halasa
- 22.03.11 08:06 witrak()
Najnowsze wątki z tej grupy
- Promocje w żubrze - i reklamacje.
- Kantor spolecznosciowy w banku
- Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- Oszustwa z Blikiem
- scam na bankomat?
- Płatności pasywną obraczką NFC
- a to mi lotto
- pokolenie Z
- złoty słaby
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
Najnowsze wątki
- 2024-06-26 Promocje w żubrze - i reklamacje.
- 2024-06-26 Kantor spolecznosciowy w banku
- 2024-06-24 Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- 2024-06-21 Oszustwa z Blikiem
- 2024-06-20 scam na bankomat?
- 2024-06-19 Płatności pasywną obraczką NFC
- 2024-06-18 a to mi lotto
- 2024-06-17 pokolenie Z
- 2024-06-13 złoty słaby
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego