Di recente mi sono imbattuto in una serie di smart card one-time-password (OTP) in alcuni internet negozi specializzati in attrezzature crittografiche.
Ora so / penso di sapere come funziona OTP con i token YubiKeys e RSA:
- Ottieni il token, un segreto condiviso con il server di produzione è hardcoded
- Fai qualcosa con il token e ti dà l'OTP (tramite display o tastiera simulata)
- Invia l'OTP alla tua app che a sua volta chiede al server del produttore se il codice è corretto
- Hai autenticato correttamente se il server ha risposto "sì"
Ora le carte attuali (come Gemalto MD 830 ) funzionano allo stesso modo, ad es. hard-coding del server condiviso e dei server online richiesti dal provider o in che modo il segreto entra nella carta?
Inoltre, come viene trasferito l'OTP generato dalla scheda al computer? Verrà visualizzato in modo che l'utente possa copiarlo e incollarlo? Richiede hardware aggiuntivo (ad eccezione del lettore collegato al PC)? Deve essere recuperato dal software?
Nota: per il paragrafo immediatamente precedente, sto parlando esplicitamente di schede che non dispongono di un display integrato.