Soft key
Per accedere al mio conto corrente via Internet devo digitare il
*Codice cliente - assegnato dalla Banca
*PIN - assegnato dalla Banca e che io posso modificare
*Soft key : questo è l'oggetto della mia domanda - è un numero generato da un " gadget" in mio possesso e che mi è stato fornito dalla Banca- ogni codice generato premendo un tastino può essere usato una sola volta.
Mi chiedo : come può il computer centrale riconoscere questo codice che io genero al momento ?
Il gadget è forse un generatore di numeri quasi casuali ma in realtà non casuali per niente e ne esiste uno uguale in Banca ????
E' un numero a 6 digits e quindi esistono $10^6 $ combinazioni possibili.
*Codice cliente - assegnato dalla Banca
*PIN - assegnato dalla Banca e che io posso modificare
*Soft key : questo è l'oggetto della mia domanda - è un numero generato da un " gadget" in mio possesso e che mi è stato fornito dalla Banca- ogni codice generato premendo un tastino può essere usato una sola volta.
Mi chiedo : come può il computer centrale riconoscere questo codice che io genero al momento ?
Il gadget è forse un generatore di numeri quasi casuali ma in realtà non casuali per niente e ne esiste uno uguale in Banca ????
E' un numero a 6 digits e quindi esistono $10^6 $ combinazioni possibili.
Risposte
Non ho informazioni precise a riguardo, ma suppongo che calcoli semplicemente una qualche funzione \(f_S(t)\) che dipende da un qualche stato interno dipendente dal cliente (conosciuto sia da te che dalla banca) e dal tempo (immagino abbia un qualche tipo di orologio interno). Non può certamente essere basato sul numero di pressioni perché una persona potrebbe inavvertitamente premere il pulsante o altro senza inserire tale codice nel sistema bancario.
Quindi non pensi che si stia usando semplicemente una funzione di hash crittografica come suggerito nel mio post? Questi congegni sembrano fare riferimento solo al tempo e non avere memoria. Se si preme infatti il pulsante più volte in un breve tempo per un po' viene mostrato lo stesso codice, ma dopo un po' cambia. A mio parere si usa il tempo con una precisione di tipo 10-20 secondi (non ho provato a vedere dopo quanto cambia ma non dovrebbe essere difficile calcolarlo) e se gli orologi sono più o meno sincronizzati tra banca e congegno il sistema dovrebbe funzionare senza grosse difficoltà.
Come ho scritto in precedenza non credo che l'oggetto sia basato su di un metodo come quello che hai descritto. La principale ragione consiste nella impossibilità da parte della banca di conoscere il numero effettivo di volte in cui è stato premuto il pulsante e dal fatto che il codice sembra essere legato in qualche modo al tempo. Forse viene aggiornato lo stato interno ad intervalli regolari usando il metodo che hai descritto, ma credo che non sia così.
Credo piuttosto che si faccia uso di "Secure Pseudo Random Function". Si tratta di funzioni \(F \colon K \times X \to Y\) (\(K\) sarebbe l'insieme delle chiavi nascoste nella mia idea, \(X\) il tempo e \(Y\) l'insieme dei codici di 6 cifre decimali) con la proprietà che non è possibile distinguere tra una funzione casuale \(f \colon X \to Y\) e \( F(k, *) \) per un \(k\) casuale (detta di ***** ma spero si capisca l'idea). Dati insomma un insieme di immagini per valori di \(X\) dati non deve essere insomma possibile risalire alla chiave \(k\) e comunque capire come la funzione si comporta per altri valori di \(X\). Su questo genere di funzioni si basano molti algoritmi crittografici. Se funzione, chiave e tempo sono conosciuti sia dall'oggetto, sia dalla banca, allora è possibile calcolare il valore in modo del tutto indipendente e senza comunicazione come sembra avvenire in questo caso.
Credo piuttosto che si faccia uso di "Secure Pseudo Random Function". Si tratta di funzioni \(F \colon K \times X \to Y\) (\(K\) sarebbe l'insieme delle chiavi nascoste nella mia idea, \(X\) il tempo e \(Y\) l'insieme dei codici di 6 cifre decimali) con la proprietà che non è possibile distinguere tra una funzione casuale \(f \colon X \to Y\) e \( F(k, *) \) per un \(k\) casuale (detta di ***** ma spero si capisca l'idea). Dati insomma un insieme di immagini per valori di \(X\) dati non deve essere insomma possibile risalire alla chiave \(k\) e comunque capire come la funzione si comporta per altri valori di \(X\). Su questo genere di funzioni si basano molti algoritmi crittografici. Se funzione, chiave e tempo sono conosciuti sia dall'oggetto, sia dalla banca, allora è possibile calcolare il valore in modo del tutto indipendente e senza comunicazione come sembra avvenire in questo caso.
sulla scia di Sergio e qualche nota su delle slide di network security, direi che si potrebbe trattare di questo tipo di autenticazione: http://en.wikipedia.org/wiki/Two-factor ... _tokens.29
[ot]
apatriarca, dai 4 anni che sono iscritto, da tutti i tuoi post che ho potuto leggere: mai e dico mai, ho ricordo di una parolaccia scritta da te, sei sempre stato di una pacatezza infinita. Che t'è successo?
[/ot]
[ot]
"apatriarca":
(detta di merda ma spero si capisca l'idea)
apatriarca, dai 4 anni che sono iscritto, da tutti i tuoi post che ho potuto leggere: mai e dico mai, ho ricordo di una parolaccia scritta da te, sei sempre stato di una pacatezza infinita. Che t'è successo?
[/ot]
[ot]Per farti felice ho eliminato la parola incriminata, ma di fatto sono molto meno pacato nella vita reale di quanto possa sembrare da quello che scrivo. Semplicemente mi trattengo... 
e modifico a volte più volte il testo...[/ot]
Non direi comunque che wikipedia sia stata molto precisa, ma ha di fatto proposto i due metodi già descritti qui aggiungendone uno legato ad un PIN. Probabilmente esistono diversi dispositivi in commercio. Quello che ho a casa sembrerebbe legato al tempo, ma forse ne esistono altri legati al numero di pressioni (in quel caso dovrebbe cambiare il codice ad ogni pressione del pulsante).
e modifico a volte più volte il testo...[/ot]Non direi comunque che wikipedia sia stata molto precisa, ma ha di fatto proposto i due metodi già descritti qui aggiungendone uno legato ad un PIN. Probabilmente esistono diversi dispositivi in commercio. Quello che ho a casa sembrerebbe legato al tempo, ma forse ne esistono altri legati al numero di pressioni (in quel caso dovrebbe cambiare il codice ad ogni pressione del pulsante).
Esistono vari sistemi, tutti simili. Molti dei dispositivi li fabbrica Vasco (il noto cantante non c'entra 
)
)
Grazie a tutti per le informazioni.
Anche il mio è della VASCO (made in China) a 6 digits.
http://www.vasco.com/products/client_pr ... s_go6.aspx
Anche il mio è della VASCO (made in China) a 6 digits.
http://www.vasco.com/products/client_pr ... s_go6.aspx
[ot]
Mi sarei stupito fosse fatto altrove.[/ot]
"Camillo":
... made in China...
Mi sarei stupito fosse fatto altrove.
[/ot]
Facendo alcune verifiche, risulta che la mia (uguale a quella di Camillo, che mi risulta siano le più diffuse) genera OTP su base temporale - l'unico problema è la mia banca emittente: MPS .
E' un approccio comprensibile nonostante il potenziale problema degli orologi, perché dal punto di vista pratico risolve molti altri problemi. Un approccio equivalente (dal punto di vista della sicurezza) senza orologio è possibile ma probabilmente poco usato per tali motivi.
. E' un approccio comprensibile nonostante il potenziale problema degli orologi, perché dal punto di vista pratico risolve molti altri problemi. Un approccio equivalente (dal punto di vista della sicurezza) senza orologio è possibile ma probabilmente poco usato per tali motivi.
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo