PTT職涯區 / Bank_Service (銀行服務)

[閒聊] 匯豐加密小精靈的原理?

看板Bank_Service (銀行服務)作者 ( )時間12年前 (2014/07/15 16:14), 編輯推噓24(24086)
留言110則, 22人參與, 最新討論串1/1
用了一次整合帳戶的加密小精靈覺得好神奇~ 現在要登入匯豐網銀(手機和電腦版亦同), 打完帳號和密碼,接著會要求輸入認證碼, 於是拿加密小精靈打入另外一組自設密碼(打錯三次就會鎖住), 這個時候就會跑出一串數字, 再把這串數字打到匯豐網銀登入的認證碼,就可以成功登入了 我不能理解的地方在於加密小精靈沒有任何傳輸界面 (難道裡面有類似SIM卡概念的遠端介面?) 但是為什麼可以同時讓網銀知道手上這台沒啥質感的認證碼? 有版友知道原理嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.149.250 ※ 文章網址: http://www.ptt.cc/bbs/Bank_Service/M.1405412065.A.047.html
07/15 16:18, , 1F
時間
07/15 16:18, 1F
07/15 16:25, , 2F
想了解原理的可以看這個 wiki: http://goo.gl/q0Fvx9
07/15 16:25, 2F
07/15 16:27, , 3F
簡單說就是靠時間以及不讓人知道的演算法, 以及每個加密
07/15 16:27, 3F
07/15 16:27, , 4F
精靈裡面唯一的一個內碼, 算出一個會隨時間一直變動的碼,
07/15 16:27, 4F
07/15 16:28, , 5F
server 有紀錄每個使用者加密精靈的內碼, 再用一樣的演算
07/15 16:28, 5F
07/15 16:29, , 6F
法以及時間值, 去檢查看你輸入的碼, 是不是符合該加密精
07/15 16:29, 6F
07/15 16:30, , 7F
靈產生出來的值, 確認你是不是真的持有該加密精靈
07/15 16:30, 7F
07/15 16:32, , 8F
這東西其實很多銀行都有採用, 我手上就有國泰世華, HSBC
07/15 16:32, 8F
07/15 16:32, , 9F
Adv, Citibank SG 三個這類型 OTP, 長的都一模一樣, 只是
07/15 16:32, 9F
07/15 16:33, , 10F
顏色不一樣, 操作流程也有一點小差別, 但是背後原理都是
07/15 16:33, 10F
07/15 16:34, , 11F
一樣是採用時間當演算法的其中一個輸入.
07/15 16:34, 11F
07/15 17:52, , 12F
其實不一定要隨身帶這台呀 你可以先產生十組 抄下來
07/15 17:52, 12F
07/15 17:53, , 13F
若要用時 一組一組用掉就可以了 其實就是符合機碼的數字
07/15 17:53, 13F
07/15 17:53, , 14F
沒什麼特別的原理 不然還真的隨時帶一台計算機 多麻煩呀
07/15 17:53, 14F
07/15 17:54, , 15F
就一次先產生幾組 抄在皮夾裡 有需要時拿來都可以用
07/15 17:54, 15F
07/15 17:54, , 16F
以前的渣打也有個小黑碟 我也是一次抄個幾組 不隨身帶那台
07/15 17:54, 16F
07/15 18:00, , 17F
給樓上的: 用時間當輸入的機種你這方法行不通, 密碼是隨
07/15 18:00, 17F
07/15 18:00, , 18F
時間變化的. 你親自用過就知道了.
07/15 18:00, 18F
07/15 18:01, , 19F
所以抄下來後 過好幾天都可以用 所以根一樓說的"時間"無關
07/15 18:01, 19F
07/15 18:01, , 20F
是google那種驗證密碼app 才跟時間有關係
07/15 18:01, 20F
07/15 18:02, , 21F
請樓上自己試過就知道了 我渣打那時候就一次產生多組 可以
07/15 18:02, 21F
07/15 18:02, , 22F
用好幾天了
07/15 18:02, 22F
07/15 18:03, , 23F
現在在說匯豐, 你在說以前的渣打 !?
07/15 18:03, 23F
07/15 18:04, , 24F
甚至用好幾個禮拜 所以跟 時間 一點關係也沒有 樓上可試試
07/15 18:04, 24F
07/15 18:04, , 25F
匯豐我是還沒試 但原理應該是一樣的 不會扯上時間的
07/15 18:04, 25F
07/15 18:05, , 26F
因為我的三次按錯被鎖住了 要等重寄來 沒辦法試
07/15 18:05, 26F
07/15 18:09, , 27F
其實要驗證就先產生密碼 過一段時間 再用該密碼登入
07/15 18:09, 27F
07/15 18:10, , 28F
如果可以登入 就是跟時間一點關係也沒有
07/15 18:10, 28F
07/15 18:10, , 29F
google的密碼驗證app 才是跟時間有關 每30秒都換一組密碼
07/15 18:10, 29F
07/15 18:11, , 30F
超過30秒該密碼就無用 要重新產生 那個才是跟 時間 有關
07/15 18:11, 30F
07/15 18:11, , 31F
因為小精靈跟手機不同 電源一不足 時間就會走慢 就完全不準
07/15 18:11, 31F
07/15 18:12, , 32F
所以不可能用 跟任何 時間 有關的 當做原理的
07/15 18:12, 32F
07/15 19:32, , 33F
樓上biocim的原理被我推翻掉了...剛剛我產生五組認證碼
07/15 19:32, 33F
07/15 19:33, , 34F
網銀登入網頁開著 一直重複按加密小精靈 大約每隔20秒
07/15 19:33, 34F
07/15 19:33, , 35F
就會產生一組新的認證碼 然後我開始逐一測試1~5組認證碼
07/15 19:33, 35F
07/15 19:34, , 36F
通通都登入失敗 接著再馬上用加密小精靈產生最新驗證碼
07/15 19:34, 36F
07/15 19:34, , 37F
這下才可以成功登入進去 所以有可能新版的不適用這招
07/15 19:34, 37F
07/15 19:35, , 38F
二來也推翻掉alex1973大所說的時間驗證 ...
07/15 19:35, 38F
07/15 19:35, , 39F
如果真的以時間驗證..不可能為了每個人一直在生成認證碼?
07/15 19:35, 39F
還有 31 則推文
07/15 22:45, , 71F
會跟你講不要一直按..因為如果超過密碼表的範圍太多的話
07/15 22:45, 71F
07/15 22:46, , 72F
是會認證失敗的..這時就要跟銀行同步密碼表的順序..
07/15 22:46, 72F
07/15 22:48, , 73F
time based 和 event based
07/15 22:48, 73F
07/15 22:48, , 74F
OATH HOTP TOTP OCRA
07/15 22:48, 74F
07/15 23:21, , 75F
alex 說的是對得,上面說推翻的太瞎了
07/15 23:21, 75F
07/15 23:21, , 76F
根本不管你現在人在那邊,他對應的時間是 server
07/15 23:21, 76F
07/15 23:21, , 77F
跟你卡片的時間
07/15 23:21, 77F
07/15 23:22, , 78F
兩邊透過同樣的時間透過演算法,正常來說兩邊要一樣
07/15 23:22, 78F
07/15 23:45, , 79F
所謂的時間是和1970/1/1基準時間算到目前的timestep
07/15 23:45, 79F
07/15 23:46, , 80F
所以時差問題不會存在 TOTP標準 RFC6238
07/15 23:46, 80F
07/15 23:47, , 81F
以前新竹企銀用的是event based的 這個OTP產生和時間無關
07/15 23:47, 81F
07/15 23:47, , 82F
所以可以先產生記下 只要是還沒用過的都有效 當然產生太
07/15 23:47, 82F
07/15 23:47, , 83F
多 還是會發生和server端不同步問題 server上設有寬容差
07/15 23:47, 83F
07/15 23:48, , 84F
time based則是太久不用 token上的時間可能和server端有
07/15 23:48, 84F
07/15 23:49, , 85F
差異而發生不同步 精密手錶一年都會差幾秒了 便宜的token
07/15 23:49, 85F
07/15 23:49, , 86F
用的料沒那麼好 一年可能會差到好幾十分鐘
07/15 23:49, 86F
07/15 23:50, , 87F
大家手上的晶片金融卡也有OTP功能 只要搭配二代讀卡機
07/15 23:50, 87F
07/15 23:51, , 88F
也可以產生OTP 這是event based的
07/15 23:51, 88F
07/16 00:24, , 89F
看推文長知識 XDDD
07/16 00:24, 89F
07/16 00:25, , 90F
永豐的 Display Card 應該也是差不多算法吧
07/16 00:25, 90F
07/16 09:07, , 91F
永豐的 display card 是 event based (跟以前渣打的一樣)
07/16 09:07, 91F
07/16 09:08, , 92F
不是 time based. 所以 display card 也可以抄很多組下來
07/16 09:08, 92F
07/16 09:08, , 93F
以後慢慢用.
07/16 09:08, 93F
07/16 11:00, , 94F
alex1973是正確的,我渣打,匯豐,永豐都用過,如alex所述 :)
07/16 11:00, 94F
07/16 12:11, , 95F
這篇釣出真多強者!! m起來~
07/16 12:11, 95F
07/16 13:52, , 96F
小弟才學疏淺m(_ _)m 大推alex1973的專業!長知識了!
07/16 13:52, 96F
07/16 13:55, , 97F
推推 這篇厲害!!!
07/16 13:55, 97F
07/16 19:27, , 98F
http://tinyurl.com/ocs598k 生產商都跟你講內建 RTC 了 ..
07/16 19:27, 98F
07/16 20:53, , 99F
emv cap 都是 event based 沒錯
07/16 20:53, 99F
07/17 22:14, , 100F
最近玩event based密碼心得 event based每產生一組密碼裡面有
07/17 22:14, 100F
07/17 22:17, , 101F
一個計數器會加1 網站是你輸入密碼 網站的計數器也會加1 產生
07/17 22:17, 101F
07/17 22:18, , 102F
密碼 輸入到網站 兩邊一起加1 兩邊同步 但是只要網站輸入錯誤
07/17 22:18, 102F
07/17 22:20, , 103F
密碼 網站會加1 但是小精靈不會加1 兩邊就會不同步 看系統設定
07/17 22:20, 103F
07/17 22:21, , 104F
兩邊計數器的值能差多少 比如說10 就代表你只能輸入10次錯誤密
07/17 22:21, 104F
07/17 22:22, , 105F
碼的機會 超過之後小精靈就不能用了
07/17 22:22, 105F
07/20 02:02, , 106F
魔獸世界也是用類似的東西才能登入
07/20 02:02, 106F
07/21 23:16, , 107F
有聽過 hash function 嗎?
07/21 23:16, 107F
03/12 16:57, , 108F
2017年Google到這篇文章 alex大大說的是正確的
03/12 16:57, 108F
11/27 10:52, , 109F
厲害,長知識了,謝謝alex大
11/27 10:52, 109F
05/18 12:09, , 110F
Alex是對的 反駁的人的邏輯很 "特別"
05/18 12:09, 110F
更多 tnchangc 的文章
文章代碼(AID): #1JnEBX17 (Bank_Service)
Bank_Service 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 tnchangc 的文章
文章代碼(AID): #1JnEBX17 (Bank_Service)