Discussion:
funzionamento chiavetta accesso banca web?
(troppo vecchio per rispondere)
Roby_K
2008-03-05 11:10:30 UTC
Ma come funziona la chiavetta che forniscono
sia S.Paolo IMI e ora Banca Intesa?

la O-KEY...

Capisco che genera un codice casuale abbinato
probabilmente al codice utente, ma essendo
CASUALE come mai accetta "solo" quello
creato dalla chiavetta e magari NON uno
inventato da me o cambiando una cifra
da quello generato? saranno numeri generati
casuali determinati ? non capisco ?

E poi, sembra che se genero con la chiavetta
il numero e entro nel sito della banca e magari
poi esco e provo a rientrare con lo stesso
numero generato , dicono che NON funziona
piu? come mai? viene cancellato dal sistema?
ancor piu strano visto che NON c'e alcuna
connssione tra questa chiavetta e il computer!
si preme un tasto e si legge il numero che
si digita nel sito...

chi mi aiuta a capire come funziona?

c'e magari qualche sito che spiega il funzionamento
o documntazioni tecniche (standard ISO o altro ) ?

grazie.
Marco Trapanese
2008-03-05 11:41:34 UTC
Post by Roby_K
Capisco che genera un codice casuale abbinato
probabilmente al codice utente, ma essendo
CASUALE come mai accetta "solo" quello
creato dalla chiavetta e magari NON uno
inventato da me o cambiando una cifra
da quello generato? saranno numeri generati
casuali determinati ? non capisco ?
E poi, sembra che se genero con la chiavetta
il numero e entro nel sito della banca e magari
poi esco e provo a rientrare con lo stesso
numero generato , dicono che NON funziona
piu? come mai? viene cancellato dal sistema?
ancor piu strano visto che NON c'e alcuna
connssione tra questa chiavetta e il computer!
si preme un tasto e si legge il numero che
si digita nel sito...
Non conosco la chiavetta in oggetto, ma sicuramente si baseranno sul
principio OTP (One Time Password). Di certo una volta usata la chiave il
sistema centrale non la accetta più. Poi ho visto varie implementazioni
sia con algoritmi dedicati (per cui i numeri non sono poi così casuali)
sia con tabelle precaricate. In questo casi i numeri possono davvero
essere "casuali" ma sono già caricati sia nella chiavetta che nel
server. In caso di disallineamento il server sa che indietro non si
torna e quindi verifica se la tua chiave è presente qualche record più
avanti.

Almeno questo è quanto era emerso da una ricerca fatti alcuni anni fa.
Probabilmente oggi le cose stanno diversamente ma il principio non
dovrebbe essere troppo diverso.

Ciao!
Marco / iw2nzm
dalai lamah
2008-03-05 20:05:02 UTC
Post by Roby_K
Capisco che genera un codice casuale abbinato
probabilmente al codice utente, ma essendo
CASUALE come mai accetta "solo" quello
creato dalla chiavetta e magari NON uno
inventato da me o cambiando una cifra
da quello generato? saranno numeri generati
casuali determinati ? non capisco ?
E poi, sembra che se genero con la chiavetta
il numero e entro nel sito della banca e magari
poi esco e provo a rientrare con lo stesso
numero generato , dicono che NON funziona
piu? come mai? viene cancellato dal sistema?
ancor piu strano visto che NON c'e alcuna
connssione tra questa chiavetta e il computer!
si preme un tasto e si legge il numero che
si digita nel sito...
Ne ho discusso qualche tempo fa con i colleghi, e c'era un po' di
discussione al riguardo. Secondo me si tratta di un algoritmo di
generazione di numeri pseudocasuali crittograficamente sicuro, "alimentato"
da un seme diverso per ciascun utente ma noto alla banca. Quindi la banca
(che conosce il tuo seme e può riprodurre la sequenza dei numeri) è in
grado di sapere a che punto della sequenza sei arrivato, e annullare tutti
i numeri precedenti.

Puoi partire da qui per trovare informazioni a bizzeffe sui generatori di
numeri pseudocasuali:

http://en.wikipedia.org/wiki/Pseudo_Random_Number_Generator
http://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator
--
emboliaschizoide.splinder.com
Roberto P.
2008-03-06 07:31:58 UTC
Post by dalai lamah
Post by Roby_K
Capisco che genera un codice casuale abbinato
probabilmente al codice utente, ma essendo
CASUALE come mai accetta "solo" quello
creato dalla chiavetta e magari NON uno
inventato da me o cambiando una cifra
da quello generato? saranno numeri generati
casuali determinati ? non capisco ?
E poi, sembra che se genero con la chiavetta
il numero e entro nel sito della banca e magari
poi esco e provo a rientrare con lo stesso
numero generato , dicono che NON funziona
piu? come mai? viene cancellato dal sistema?
ancor piu strano visto che NON c'e alcuna
connssione tra questa chiavetta e il computer!
si preme un tasto e si legge il numero che
si digita nel sito...
Ne ho discusso qualche tempo fa con i colleghi, e c'era un po' di
discussione al riguardo. Secondo me si tratta di un algoritmo di
generazione di numeri pseudocasuali crittograficamente sicuro,
"alimentato"
da un seme diverso per ciascun utente ma noto alla banca. Quindi la banca
(che conosce il tuo seme e può riprodurre la sequenza dei numeri) è in
grado di sapere a che punto della sequenza sei arrivato, e annullare tutti
i numeri precedenti.
Il mio dispositivo non credo funzioni così.
C'è un pulsante, ogni volta che lo premo su display compare un codice di
accesso valido per un tempo limitato dal momento della visualizzazzione.
Ovvero se premo 3 volte, mi compaiono 3 codici.
Ognuno di essi è valido, anche se non utilizzato.
Quindi una sincronizzazione con la banca sul numero di codici
generetai/inviati/utilizzati è improbabile.
Dopo 20 minuti però il codice non è più utilizzabile (ovvero se premo ora,
il numero visualizzato non lo posso utilizzare fra un'ora).
Per me si tratta di una generazione di numeri pseudocasuali, legati al tempo
ed al codice utente.

Roberto P.
Luca
2008-03-06 08:41:08 UTC
On 6 Mar, 08:31, "Roberto P."
Post by Roberto P.
C'è un pulsante, ogni volta che lo premo su display compare un codice di
accesso valido per un tempo limitato dal momento della visualizzazzione.
Ovvero se premo 3 volte, mi compaiono 3 codici.
Ognuno di essi è valido, anche se non utilizzato.
Quindi una sincronizzazione con la banca sul numero di codici
generetai/inviati/utilizzati è improbabile.
Perchè? Nel momento in cui tu inserisci un codice valido il sistema
può risincronizzarsi tranquillamente. Ma sono quasi pronto a
scommettere che se clicchi il tuo pulsante diciamo 256 volte senza
usare il codice che hai generato, con tutta probabilità invaliderai la
chiave (sempre che sia vero quello che dici, cioè che se premi il
tasto tre volte di seguito diciamo in un arco temporale di 5 secondi
ti vengono dati tre numeri diversi.... di chiavi OTP ne ho viste e
usate parecchie, ma in tutte la chiave è generata solo in base ad un
timer interno, magari con l'aggiunta di una password locale... )
Roberto P.
2008-03-06 09:59:29 UTC
"Luca" <***@gmail.com> ha scritto nel messaggio news:e3b3be86-026c-4653-920e-***@x41g2000hsb.googlegroups.com...
On 6 Mar, 08:31, "Roberto P."
Post by Roberto P.
C'è un pulsante, ogni volta che lo premo su display compare un codice di
accesso valido per un tempo limitato dal momento della visualizzazzione.
Ovvero se premo 3 volte, mi compaiono 3 codici.
Ognuno di essi è valido, anche se non utilizzato.
Quindi una sincronizzazione con la banca sul numero di codici
generetai/inviati/utilizzati è improbabile.
Perchè? Nel momento in cui tu inserisci un codice valido il sistema
può risincronizzarsi tranquillamente. Ma sono quasi pronto a
scommettere che se clicchi il tuo pulsante diciamo 256 volte senza
usare il codice che hai generato, con tutta probabilità invaliderai la
chiave (sempre che sia vero quello che dici, cioè che se premi il
tasto tre volte di seguito diciamo in un arco temporale di 5 secondi
ti vengono dati tre numeri diversi.... di chiavi OTP ne ho viste e
usate parecchie, ma in tutte la chiave è generata solo in base ad un
timer interno, magari con l'aggiunta di una password locale... )

Password locale?
E come la inserisci nel generatore di pin ?

Io ho a disposizione 2 generatori di pin, di 2 diverse banche.
In uno ogni 30 secondi è generato un pin monouso, nell'altro alla pressione
del pulsante è visualizzato un nuovo codice sul display, ma penso che anche
esso sia generato in base ad un timer interno.
Posso premere il pulsante tutte le volte che voglio, se premo troppo in
fretta il codice rimane lo stesso.
Se premo + lentamente il codice si aggiorna.

Rimango convinto che il codice generato sia dipendente dal codice utente e
dall'ora/data.
Luca
2008-03-06 10:22:27 UTC
On 6 Mar, 10:59, "Roberto P."
Post by Roberto P.
Password locale?
E come la inserisci nel generatore di pin ?
Con una microscopica tastierina numerica sulla chiavetta... abbiamo un
paio di società esterne che usano questo odioso sistema per l'accesso
alla VPN... dico odioso perchè è facilissimo sbagliare a digitare la
password...
Post by Roberto P.
Io ho a disposizione 2 generatori di pin, di 2 diverse banche.
In uno ogni 30 secondi è generato un pin monouso, nell'altro alla pressione
del pulsante è visualizzato un nuovo codice sul display, ma penso che anche
esso sia generato in base ad un timer interno.
Posso premere il pulsante tutte le volte che voglio, se premo troppo in
fretta il codice rimane lo stesso.
Se premo + lentamente il codice si aggiorna.
Esatto... tutte quelle che ho visto (e io ne ho 20, non due ;-) ) sono
così...
Coccolino delicato
2008-03-06 11:06:43 UTC
Magari all'interno ha un ricevitore del segnale tedesco dell'ora e della
data, così x essere tutti sincronizzati!
--
Coccolino delicato
Luca
2008-03-06 11:53:16 UTC
On 6 Mar, 12:06, Coccolino delicato
Post by Coccolino delicato
Magari all'interno ha un ricevitore del segnale tedesco dell'ora e della
data, così x essere tutti sincronizzati!
No non sono sincronizzate con un clock centrale... fidati.