krigun Skrevet 8. juni 2007 Del Skrevet 8. juni 2007 De kodenøklene jeg har bruker hvertfall klokka på en eller annen måte. Hvis du aktiverer dem 2 ganger på 'kjappen' får du samme kode. Taler muligens til fordel for at det er en algoritme i den lille greia... 8811075[/snapback] Tror allikevel neppe at bankene satser på at klokka er synkronisert på den lille kodenøkkelen og serverene deres.. Hvor mange siffer er de kodene forresten? Mulig at en del av den koden blir brukt til identifikasjon av kodegeneratoren. Papirarkkodene er bare fire siffer. Lenke til kommentar
Kahuna Skrevet 8. juni 2007 Del Skrevet 8. juni 2007 Klokka trenger strengt tatt ikke være synkronisert. Så lenge algoritmen er kjent kan serveren gjøre et "søk" for å fange opp evt. klokkefeil. Den ene kalkisen gir 8 siffer, den andre 6. Lenke til kommentar
Terrasque Skrevet 24. juli 2007 Del Skrevet 24. juli 2007 (endret) hvis jeg husker riktig, så genererer de små kalkisene koder etter klokkeslett (tror det var kuttet ned til hvert minutt eller hvert 10. minutt). Så serveren sjekker for gyldig for forrige og neste kode og, og hvis det er en av de som er riktig vil serveren registrere at den går litt tregt / fort og justere for det neste gang du logger inn. Når det gjelder kodene.. la meg gi et veldig enkelt eksempel. md5(<random string på 20 byte>+kontonummer+dato+klokkeslett) Det bruker md5, fordi den er ganske utbredt og kjent. Banken kan bruke en hash algorytme som genererer 8 sifferede tall i stedet. Det er et enkelt eksempel, som sagt, men det er veldig veldig enkelt og krever at random string blir holdt hemmelig (kanskje en random string for hver konto? ikke umulig). Uansett, selv den enkle der er praktisk talt "uncrackable" ved å prøve å analysere numrene som kommer ut. http://en.wikipedia.org/wiki/Cryptographic_hash_function http://en.wikipedia.org/wiki/MD5 Edit: Den metoden der tok meg 5 sekunder å tenke ut, jeg er sikker på at de glupe hodene som har utviklet de systemene bankene bruker har klart å kokt sammen noe bedre enn det Man kunne og gått fancy og brukt public key crypto, da vil bankens systemer bare ha public key, og selv en med full tilgang til bankens system vil ikke klare å lage gyldige nøkler (det forutsetter at den eneste kopien av private key ligger på bank kortene, og at de små dingsene har nok juice til å ta slik kryptering.) Endret 24. juli 2007 av Terrasque Lenke til kommentar
grimjoey Skrevet 24. juli 2007 Del Skrevet 24. juli 2007 (endret) jeg har personlig ikke brukt en slik kode kalkulator. kan noen beskrive hvordan det gjøres? input/output? dersom det er slik at man har en personlig kode man trykker inn (en kode som er den samme hele tiden) + at man får et tilfeldig tall fra banken man må skrive inn (eventuelt om de bruker klokkeslett som i grunn er mindre sikkert dersom jeg har rett) for deretter å få en kode fra generatoren og bruker den til å logge inn med, er det sannsynligvis en engangs passord generator. det blir noe liknende challenge response. bank:tilfeldig_tall_eller_bruker_klokkeslett => sniffer:ubrukelig_tall => kunde:md5(kode+tilfeldig_tall_eller_bruker_klokkeslett) => sniffer:ubrukelig_md5sum => bank:genererer tilsvarende som kunde og sammenlikner med md5sum. (banken vet naturligvis kundens kode ut i fra en database. denne får ikke snifferen vite) edit: i stedet for å bruke klokkeslett kan systemet benytte en algoritme basert på kundeinformasjon og en innebygd teller. md5 er bare et eksempel. de bruker nok en algoritme som er beregnet på mindre tall. http://en.wikipedia.org/wiki/One-time_password edit2: http://www.theregister.co.uk/2005/10/12/outlaw_phishing/ Endret 24. juli 2007 av grimjoey Lenke til kommentar
sindreij Skrevet 27. juli 2007 Del Skrevet 27. juli 2007 På postbanken.no har man en personlig kode som man taster inn (denne kan man endre selv på "kalkulatoren") og etter man har tastet den inn får man opp en 8 antall sifret kode. Man skriver opp de første 6 sifrene i passordboksen på postbanken sin hjemmeside og får så opp en side der de to siste sifrene står (så skal man bekrefte at disse er de to siste sifrene). Koden genereres sannsynligvis av en klokke, for hvis man taster inn koden to ganger rett etter hverandre, får man samme kode. På baksiden av kalkulatoren står det RSA, hvis jeg ikke husker helt feil (har ikke kalkulatoren her) Lenke til kommentar
grimjoey Skrevet 28. juli 2007 Del Skrevet 28. juli 2007 (endret) hvor mange siffer er den personlige koden? hvor lenge må man vente før koden endrer seg? ca. 2min? ca. 5min? 10? Endret 28. juli 2007 av grimjoey Lenke til kommentar
sindreij Skrevet 30. juli 2007 Del Skrevet 30. juli 2007 Den personlige koden er på 4 sifre, men jeg tror ikke den har noe med den endelige koden å gjøre, i og med at du kan endre den på "kalkulatoren" uten å snakke med postbanken. (og hvis jeg var utydelig, den personlige koden taster man inn på kalkulatoren) Lenke til kommentar
grimjoey Skrevet 5. august 2007 Del Skrevet 5. august 2007 Det virker som kalkulatoren er programert med en id fra banken og har en tilfeldig tall generator som seedes av id'en og benytter klokkeslett/dato som en teller. den personlige koden hindrer andre i å benytte kalkulatoren. man trenger algoritmen og id'en for å generere en gyldig nøkkel. disse eksisterer kun hos banken og i kalkulatoren. banken viser deg de to siste tallene for å forsikre deg om at det virkelig er banken som ber om innlogging, og ikke en phishing side. Dersom det står rsa på kalkulatoren kan det tyde på at kalkulatoren har en "public key" som brukes til å kryptere informasjon om blandt annet klokkeslett og id for så å representere dette som et 6 + 2 siffret desimal tall. de 6 første tallene må i dette tilfellet inneholde informasjon om de to siste. banken har en privat key som dekrypterer de 6 første tallene. bekrefter innholdet og genererer de to siste for omvendt bekreftelse. Lenke til kommentar
Emancipate Skrevet 5. august 2007 Del Skrevet 5. august 2007 Denne brukes av postbanken: http://www.freepatentsonline.com/4599489.html http://www.freepatentsonline.com/4609777.html Lenke til kommentar
Frysning Skrevet 5. august 2007 Del Skrevet 5. august 2007 Jeg får noe gøy nå tilsendt av min bank. Liten kortleser, nesten lik som postbanken sin bare at jeg må stikke korte mitt inn i den for at den skal spy ut en kode. Kjenner flere som er kunder, alle kan brukes om hverandre. Så kunden mottar ikke en unik en, det baserer seg på korte. Lenke til kommentar
Frysning Skrevet 15. august 2007 Del Skrevet 15. august 2007 Det må gå an å knekke den krypteringen, seriøst. Hvis jeg noterer kodene, og får tak i en anen leser så jeg får tilgang på det som ligger på brikken på bankkorte. Lenke til kommentar
Dead_Rabbit Skrevet 15. august 2007 Del Skrevet 15. august 2007 Hvis krypteringen i det hele tatt er teoretisk mulig å knekke, kan du måtte belage deg på å vente i mange tusen år før du klarer det. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå