Autenticazione a due fattori con la mia banca

Naviga le tue risposte
9

La mia banca richiede un dongle di sicurezza. Inserisci la carta di debito nel lettore di carte e inserisci un codice pin.

Viene visualizzato un codice di 11 cifre che viene inserito sul sito web della banca e l'accesso è concesso.

Ma se voglio impostare un pagamento, chiedono tutti i dettagli e poi producono un numero di 8 cifre, che include i dati del destinatario. Devo quindi reinserire la scheda nel lettore, inserire il mio pin e quindi questo codice di 8 cifre.

Il lettore quindi produce un nuovo codice che deve essere inserito nella banca. Se ciò è corretto, l'azione è autorizzata. Se il lettore non sta comunicando con il sito web delle banche, come fa a sapere come produrre il codice?

    
posta Alan 20.09.2015 - 09:17
fonte

3 risposte

14

È difficile dire come funziona l'implementazione senza sapere cosa stanno effettivamente utilizzando. Ma molto probabilmente sarà qualcosa di simile:

  • La smart card ha un segreto condiviso incorporato nel chip e richiede un PIN
  • Viene inviata una sfida che include un valore generato casualmente e spesso l'importo che deve essere trasferito e può anche includere un parametro temporale (per limitare la validità delle firme nel tempo).
  • Generai un output basato sui parametri usando il tuo segreto condiviso
  • L'output viene inviato alla banca e eseguono lo stesso calcolo e verifica se corrisponde. Quando sono abbinati, sono sicuri di aver firmato la transazione.
risposta data 20.09.2015 - 09:54
fonte
10

Questo è fatto dal Algoritmo di password One-time basato sul tempo. È un algoritmo che calcola una password monouso da una chiave segreta condivisa e l'ora corrente.

Per ulteriori dettagli tecnici, leggi: link

    
risposta data 20.09.2015 - 09:29
fonte
1

La soluzione utilizza programma di autenticazione Chip uno standard per utilizzare le carte di credito EMV per generare OTP e firmare i dati.

La pagina collegata spiega in dettaglio il protocollo, ma in pratica funziona facendo eseguire alla carta una transazione standard e alcune parti del risultato della transazione vengono visualizzate sullo schermo (che la banca può quindi verificare crittograficamente). Il valore IAI (indicatore dell'autenticazione dell'emittente) controlla quali parti del risultato della transazione sono effettivamente mantenute e visualizzate sullo schermo.

    
risposta data 20.09.2015 - 15:12
fonte

Leggi altre domande sui tag

Come gestire i file multimediali da fonti non attendibili? Esiste un'iniezione SQL per questo esempio di accesso PHP?