On-Line banking
Serych@Panska.CZ
Serych
Středa Březen 17 11:52:59 CET 2004
Cili jednoduse receno:
1) Pri prvotnim prihlaseni se na stranky banky zadam pouze PIN a ono to
vygeneruje cislo
2) Po prihlaseni mi to na strance ukaze nejake jine vygenerovane cislo,
kterym si mohu, pokud chci, overit, ze komunikuji opravdu s bankou. Kdyz to
naklofu do "kalkulacky" napise na displeji "overeno" (ve chvili, kdy to tam
klofu musi mit "kalkulacka" na displeji stale jeste to puvodni po PINu
vygenerovane cislo (kalkulacka po minute necinnosti usne)).
3) Kdyz delam transakci, musim do "kalkulacky" naklofat cisla obou uctu,
ktere se transakce ucastni a castku. Na zaklade techto cisel to vygeneruje
cislo.
Jakub Serych
> -----Původní zpráva-----
> Od: Ales Prochaska [SMTP:prochaska@alsoft.cz]
> Odesláno: 24. dubna 2000 0:57
> Komu: Multiple recipients of list
> Předmět: Re: On-Line banking
>
> Pouzivaji se dva principy, z bezpecnostniho hlediska priblizne
> rovnocenne. Prvni z nich je challenge-response, kdy banka posle nahodne
> cislo, klient ho kalkulatorem zasifruje a prvni polovinu vysledku posle
> zpet bance. Banka (protoze zna tajne koeficienty algoritmu v klientove
> kalkulacce) overi spravnost a posle klientovi tu druhou polovinu, aby
> si mohl zkontrolovat, ze i banka je ta prava. Druha varianta je
> one time password, ktery zahrnuje casovy usek a poradove cislo
> generovani v tomto useku. Funguje stejne, jen banka neposila tu vyzvu.
> Jako druha uroven zabezpeceni se pouziva autentizacni kod zpravy
> (MAC), ktery se vypocitava z hodnot zpravy (castka, atd.).
> Kalkulacka si zasadne sekvenci hesel nepamatuje, ale pouziva
> kryptograficky bezpecny (= nepredikovatelny) generator pseudonahodnych
> cisel, zalozeny na blokove sifre v citacovem nebo zpetnovazebnim
> rezimu. Banka zna tajne koeficienty (koren pseudonahodne posloupnosti)
> klienta a umi tedy generovat pro kontrolu stejnou sekvenci.
> To vse zcela nezavisle na pripadnem pouziti SSL.
> Ales Prochaska
>
> >
> > Jenom PIN nebo taky vyzvu od banky ? Predpokladal bych ze to sifruje
> vyzvu
> > PINem. Ale mozna si to pamatuje sekvenci hesel a funguje to jako kdyz se
> > odskrtavaji hesla z papirku....
> >
Další informace o konferenci Hw-list