选择你的语音


<-
Idioma - Language - Idioma - भाषा (Bhāṣā) - 语言 (Yǔyán)

银行令牌 - 如何运作(加密专题)
了解更多关于此图片的信息,请点击这里

根据我在互联网上的观察,人们确实不太了解银行令牌(Token)是如何运作的。因此,我将做一个简单的解释,希望对大家有所帮助。如有疑问,欢迎在本页面留言,我们将共同寻求解答。

令牌是一种旨在生成数字密码的设备,这些密码允许在特定的时间间隔内进行访问。

通常,这个间隔为 30 到 60 秒。目前大多数令牌的工作周期为 36 秒。

每个令牌都有一个序列号,通常印在设备上或贴在上面。了解序列号至关重要,因为它是在组装线上分配的,无法更改。

让我们做一个实际的实验。

令牌(序列号 36-107898-1)

令牌内部有一个时钟(电池平均寿命为 5 年)。这个时钟按秒计数,但计算过程是在特定的时间段(通常为 30 秒)内考虑精确值的。

让我们看一个模拟。

令牌获取一个时间单位(时、分、秒),进行涉及唯一内部代码的计算,结果就是显示屏上出现的密码。

 

时间 令牌内部代码/密钥 密码结果
第1天 15:01:05

36-107898-1

 678420
第1天 15:01:57

36-107898-1

 787654
第1天 15:01:57 36-107898-1  098653
第1天 15:01:57  36-107898-1  124232

 

每隔 30 秒,如果您按下令牌按钮,它会获取一个唯一的内部密钥(这里我们放入了序列号,但它可以是存储在设备和银行数据库中的任何值),并结合当前的时间和日期进行计算,从而产生一个全新的数字。

那么银行是如何知道我的密码的呢?

当您激活令牌时,银行工作人员(无论是当面还是通过电话)已将此“唯一编号”注册到系统中,因此它已与您的账户绑定。

因此,当银行要求您生成密码时,它已经掌握了该唯一编号,从而进行相同的计算。通常,银行计算机考虑到可能的延迟,会预留 90 秒的范围。

当您在银行进行身份验证(机构、密码、别名和访问密码)时,银行会在可能性范围内生成一个密码:

 

329879 ( 对应第23天 16:07:01)

765902 ( 对应第23天 16:07:31)

093765 ( 对应第23天 16:08:09)

 

在适当的时间,您输入密码:765902,银行识别出这是该时间段内的有效密码,并允许您访问。

 

规则如下:

如果令牌密码 等于 银行密码 -> 允许访问,

如果令牌密码 不等于 银行密码 -> 拒绝访问,

非常简单。系统会进行两次计算,一次在令牌上,一次在银行的内部程序中。

令牌计算 = 银行计算 -> 允许访问;如果不相等,则拒绝访问。

这是什么计算?

计算方法有很多种,目前 RSA 是最常用的。英语中称为 SecurID 的设备会在时间间隔内生成不同的密码,这种计算只有通过技术才能实现。我们谈论的是一台计算器。(趣闻)2011 年 3 月,黑客成功窃取了计算的“种子”,这给该工具带来了很大的不安全感,但在被新技术取代之前,它仍被视为一种技术。

 

是否可以通过一个或多个结果发现内部密码?

不能。

这是一种不允许“逆向”的加密类型。您有一个密码 A,经过计算 B,得到结果 C。

A -> B = C

然而,用户只能看到 C,即使知道 B,这涉及到一个目前看来无法解码的对数算法。

示例:

tokenBradesco

tokenBradesco2

在巴西,BRToken 提供多种服务,值得一看其说明手册:

http://www.brtoken.com.br/catalogosPT2010/SafeSIGNATURE.pdf (链接已更改,BrToken 更名为 DataLink,请参阅 http://www.datablink.com/ )

查看专利说明,该公司提供的此令牌能够读取计算机屏幕上的信息(接收闪烁的光信号)。

----------------------------------------

revisaoOrtografica

 (请参阅文末参考资料以及本页面链接的手册)
 SafeSIGNATURE 不仅仅是一个普通的 OTP(一次性密码)令牌。它拥有创新的方法,能够生成基于时间的密码(使用 OATHTOTP 标准),此外还具备交易签名功能,利用专有技术从计算机屏幕或投影生成的闪烁图像中读取和捕获交易信息。


SafeSIGNATURE “拍摄”您的操作,提供宁静与安全。
用户可以在网上银行或电子商务中一步步跟踪交易,并以身份验证/签名完成操作。

特点:

  • 只有令牌持有者才能进行交易。
  • 动态密码(OTP)仅在交易时使用。
  • 如果操作值被更改,系统将检测到并拒绝或使其无效。
  • 全面防御木马、钓鱼、中间人攻击(Man-in-the-Middle)和浏览器中间人攻击(Man-in-the-Browser)。
  • 防止盲目交易签名。用户可以看到并检查他们正在进行的交易。
  • 国产产品,性价比高,提供本地技术支持。
  • 屏幕数据捕获系统,为客户提供便利和安全,无需再次输入交易数据。
  • 颜色和按钮完全可定制(带有客户徽标)。
  • 可以在显示屏上添加消息,这些消息会自动出现,以便用户跟踪并确切知道他们在验证什么交易。


专利
pointSET™ U.S. Pat No. 6,466,145
INPI PI 0700657-8

----------------------------------------

Deixe seu comentário - Leave a comment - Deja tu comentario - 发表评论 - अपनी टिप्पणी छोड़ें

O editor não se responsabiliza pelos comentários registrados aqui., El editor no se hace responsable de los comentarios registrados aquí., The editor is not responsible for the comments registered here., 编辑不对此处记录的评论负责。, संपादक यहाँ दर्ज की गई टिप्पणियों के लिए जिम्मेदार नहीं है।

Número de celular e e-mail não irão aparecer na internet, El número de móvil y el correo electrónico no aparecerán en internet, Mobile number and email will not appear on the internet, 手机号码和电子邮箱不会出现在互联网上, मोबाइल नंबर और ईमेल इंटरनेट पर दिखाई नहीं देंगे.

Seja o primeiro a escrever um comentário.