 |
www.elektronik.si
Forum o elektrotehniki in računalništvu
|
| Poglej prejšnjo temo :: Poglej naslednjo temo |
| Avtor |
Sporočilo |
geier
Član
Pridružen-a: Sob 06 Dec 2003 1:58
Prispevkov: 278
Aktiv.: 1.17
|
 Objavljeno: Ned Avg 30, 2015 9:59 am Naslov sporočila: |
 |
|
| mucek je napisal/a: |
Ne bi vedel, mi pa ni logicno, da bi delala offline, saj nima podatkov ...
Lp, g |
Zato, ker je aplikacija verjetno samo kalkulatercek prestavljen na android platformo,
da pac ni potrebna se ena fizicna naprava.
Vsi ti kalkulatorji (vem da ga ima SKB) pa so offline stvari, saj nima nobene povezave nikamor, pa te niti za uro ne vprasa.
Ne vem kako to dela, predvidevam pa, da nek algoritem preveri crc ali pa skupek teh.
Zato pa sprasujem, ce to kdo ima da preveri.
Hvala
|
|
| Nazaj na vrh |
|
 |
frenki
Moderator
Pridružen-a: Ned 23 Feb 2003 21:26
Prispevkov: 6735
Aktiv.: 28.41
Kraj: Ljubljana (JN76GB)
|
| Objavljeno: Ned Avg 30, 2015 10:44 am Naslov sporočila: |
|
|
| Geier konkretno v primeru DH temu ni tako. Nobena od spletnih bank v offline načinu ne bo počela nič pametnega. Ne na android platformi, ne spletna banka kot taka. Android aplikacija je ena od izvedb spletne banke, ki nima nobene zveze z identifikatorjem (po tvoje kalkulator), kot je ta na SKB NET-u. Avtentikacijo na spletni banki se v primeru DH izvede z uporabo digitalnega potrdila, v primeru android aplikacije pa imetnika računa identificira telefonska številka, na katero je vezana možnost uporabe aplikacije z določenim bančnim računom. Možnosti, ki jih aplikacija na telefonu omogoča pa so precej podobne izvedbi na spletu ... spremljanje prilivov/odlivov in stanja na transakcijskem računu, priprava in izvedba plačilnih nalogov, ...
|
|
| Nazaj na vrh |
|
|
geier
Član
Pridružen-a: Sob 06 Dec 2003 1:58
Prispevkov: 278
Aktiv.: 1.17
|
| Objavljeno: Pon Avg 31, 2015 12:40 pm Naslov sporočila: |
|
|
Sory, vidim, da se nisem najbolje izrazil:
Ne govorim o aplikaciji 'mobilna banka', kjer torej preko telefona in
mobilnega omrezja preko podatkovne povezave dostopas do svojega racuna,
kot ima to DH in lahko direktno preko smartphona placujes ipd.
Govorim o aplikaciji, ki generira SAMO enkratna gesla,
tako kot jih generira tista tablica (kalkulatorcek) pri npr SKB.
Ta aplikacija ni vezana na telefonsko stevilko, lahko jo instaliras na vec naprav.
Do same banke oz racuna pa se vedno dostopas preko racunalnika in
kakrsne koli povezave preko interneta (LAN, WI-FI, GSM).
Za to 'One Time Password' (Generator Enkratnih Gesel) aplikacijo me zanima, ce deluje tudi v 'offlline' mode,
ker ne pocne nic drugega, kot tisti kalkulatorcki: zgenerira enkratno casovno omejeno kodo,
ki jo potem prepises v identifikacijsko polje za dostop.
Ce res deluje tudi v offline, bi lahko rekel,
da sta generator gesel in pa sam dostop do banke galvansko locena 
Nekateri pravijo, da to dela, nekateri pa da ne in tukaj me zanima izjava nekoga, ki to ima .... ce lahko preveri.
Hvala
|
|
| Nazaj na vrh |
|
|
frenki
Moderator
Pridružen-a: Ned 23 Feb 2003 21:26
Prispevkov: 6735
Aktiv.: 28.41
Kraj: Ljubljana (JN76GB)
|
| Objavljeno: Pon Avg 31, 2015 1:19 pm Naslov sporočila: |
|
|
Geier če imaš v mislih tole na sliki, potem pa zadeva ni čisto takšna, kot si jo predstavljaš. Čeprav mogoče izgleda kot kalkulator je njegova funkcija povsem druga. Aplikacije, ki bi bila izdelana za mobilni telefon in bi funkcionalno nadomestila omenjeno napravo vsaj po mojem vedenju ni in je v bližnji prihodnosti verjetno niti ne bo. Seveda se jo da napisat, vendar je smisel tovrstne avtentikacije povsem drugačen. Poenostavljeno si stvar lahko predstavljaš kot strojno izvedeno challenge-response avtentifikacijo. Identifikacijska kartica deluje samo offline in to šele potem, ko so ključi in algoritem na kartici vprogramirani in usklajeni z avtorizacijskim strežnikom. Nekaj o tem lahko prebereš tudi tukaj.
| Opis: |
|
| Velikost datoteke: |
48.18 KB |
| Pogledana: |
2 krat |
|
|
|
| Nazaj na vrh |
|
|
mujo
Član
Pridružen-a: Ned 02 Jan 2005 19:24
Prispevkov: 746
Aktiv.: 3.15
Kraj: MB
|
| Objavljeno: Pon Avg 31, 2015 1:56 pm Naslov sporočila: |
|
|
Dodatno k temu, kar je napisal frenki, spada še drugi način dodatne avtorizacije - uporaba enkratnih gesel (upam, da je prevod pravi).
Tega uporablja recimo NKMB. Konkretno uporablja rešitev podjetja RSA - SecurID. Ta obesek za ključek vsako minuto izpiše drugo številko (ki je veljavna samo eno minuto!). Ko se vnese številka, se na drugi strani preveri ali se ujema. Več o tem piše na povezavah.
|
|
| Nazaj na vrh |
|
|
geier
Član
Pridružen-a: Sob 06 Dec 2003 1:58
Prispevkov: 278
Aktiv.: 1.17
|
| Objavljeno: Pon Avg 31, 2015 4:03 pm Naslov sporočila: |
|
|
Kot kalkulator sem imel v mislih tocno to in
ta kalkulator po vneseni PIN kodi vrne 10-mestno kodo,
ki jo pretipkas na login na stran in delas z denarjem.
Tako je bilo pri SKB vcasih, sedaj pa je ta kalkulator ocitno 'proaktiven' in
moras vanj v drugem koraku vpisati kodo, ki ti jo zgenerira SKB stran, da se sistema ocitno uskladita.
Pri vsej tej debati me vse bolj zanima, kako to dejansko deluje in
sem prisel tudi do tele wikipedije, ki govori o OTP.
Ker pri dolocenih generatorjih se generator in centralni sistem ne pogovarjata nikoli. Zato sem razmisljal CRC-jih.
Med omenjenimi je tudi challenge nacin, ki ga omenja frenki:
| Citiram: |
OTP generation algorithms typically make use of pseudorandomness or randomness, making prediction of successor OTPs by an attacker difficult, and also hash functions, which can be used to derive a value but are hard to reverse and therefore difficult for an attacker to obtain the data that was used for the hash. This is necessary because otherwise it would be easy to predict future OTPs by observing previous ones. Concrete OTP algorithms vary greatly in their details. Various approaches for the generation of OTPs are listed below:
Based on time-synchronization between the authentication server and the client providing the password (OTPs are valid only for a short period of time)
Using a mathematical algorithm to generate a new password based on the previous password (OTPs are effectively a chain and must be used in a predefined order).
Using a mathematical algorithm where the new password is based on a challenge (e.g., a random number chosen by the authentication server or transaction details) and/or a counter
|
Na sparkasi pa ponujajo sledece:
| Citiram: |
Vse uporabnike, ki vam po dnevu uvedbe poteče certifikat* za dostop v elektronsko banko Net.Stik in mNet.Stik pozivamo, da si v najbližji poslovni enoti banke izberete svojo napravo, ki vam bo omogočala nemoten dostop do elektronske banke.
Za dostop boste lahko izbirali med sledečimi možnostmi:
1. Kvalificirano digitalno potrdilo na pametnem mediju (USB ključku, ki omogoča direktno uporabo na poljubnem računalniku) ali
2. Aplikacija, ki generira enkratna gesla** in se namesti na vašo mobilno napravo - GEG aplikacija ali
3. Generatorjem enkratnih gesel** v velikosti kalkulatorja - GEG tablica ali
4. Generatorjem enkratnih gesel** v velikosti kreditne kartice - GEG kartica.
**Generator enkratnih gesel po vnosu PIN kode ustvari časovno veljavno 8-mestno numerično geslo, s katerim nato vstopite v elektronsko banko Net.Stik ali mNet.Stik.
Vsaka od zgoraj naštetih možnosti opravlja enako varnostno funkcijo, med seboj se razlikujejo le po obliki.
|
Govorim oz. sprasujem pa torej za GEG aplikacijo (OTP), ki glede na navodila deluje tako, ket je to delalo pri starih oz. prvih SKB kalkulatorjih:
1. Aplikacijo zazenes,
2. vneses PIN in
3. aplikacija ti vrne 8-mestno kodo, ki jo v 1 min prepises v identifikacijsko polje na internetni strani za vstop v spletno banko.
Ne preko telefona, ampak preko racunalnika, povezanega v internet,
ker ti telefonska aplikacija sluzi izkljucno za generacijo kode.
Med zgoraj ponujenimi 4 moznostmi sta 3. in 4.,
ki definitivno nimata pozevave z nobenim servejem,
torej kalkulatorja, kot ga je slikal frenki in pa kalkulatorja vgrajenega v
velikost placilne kartice.
Zdaj me pa zanima, ce aplikacija (2. ponudba) lahko deluje na enak nacin, torej ali mi bo izpisala/izracunala kodo, ce bom telefon (aplikacija GEG kalkulator) dal v flight mode.
Hvala
|
|
| Nazaj na vrh |
|
|
frenki
Moderator
Pridružen-a: Ned 23 Feb 2003 21:26
Prispevkov: 6735
Aktiv.: 28.41
Kraj: Ljubljana (JN76GB)
|
| Objavljeno: Pon Avg 31, 2015 6:17 pm Naslov sporočila: |
|
|
| Citiram: |
2. Aplikacija, ki generira enkratna gesla** in se namesti na vašo mobilno napravo - GEG aplikacija
**Generator enkratnih gesel po vnosu PIN kode ustvari časovno veljavno 8-mestno numerično geslo, s katerim nato vstopite v elektronsko banko Net.Stik ali mNet.Stik. |
 Torej le ponujajo tisto, kar je po mojem skromnem mnenju nesmisel, neumnost, ... kakor koli že kdo to imenuje. Dva prispevka višje sem pisal o tem, kaj si mislim o tovrstni aplikaciji. Mogoče pa ponuja celo kake uporabniku prijazne opcije v stilu "... ne sprašuj za pin številko ..." ali pa "... zapomni si pin številko ..."  Pa saj tega niti ne rabi ... je drugih lukenj dovolj.
Resno: Mogoče bo kdo, ki to aplikacijo pozna potrdil (jaz sklepam) - Tako kot je zastavljeno bi moralo delati ne glede na mrežne povezave. Torej tudi v flight mode.
|
|
| Nazaj na vrh |
|
|
geier
Član
Pridružen-a: Sob 06 Dec 2003 1:58
Prispevkov: 278
Aktiv.: 1.17
|
| Objavljeno: Tor Sep 01, 2015 12:48 pm Naslov sporočila: |
|
|
No super, da sedaj vemo, o cem govorimo.
In tocno tako je imela SKB v prvi verziji, ko so bili ti kalkulatorcki crni.
Vpisal si PIN ter dobil kodo, s katero si vstopil v SKBnet in delal.
To je bilo vse.
Sedaj so ocitno presli na en visji nivo, sparkase pa na tega prvega.
Tako ali tako pa se je malo tezko pogovarjati o detaljih, ko se na wiki pise:
| Citiram: |
Standardization:
Many OTP technologies are patented. This makes standardization in this area more difficult,
as each company tries to push its own technology.
Standards do, however, exist – for example, RFC 1760 (S/KEY), RFC 2289 (OTP), RFC 4226 (HOTP) and RFC 6238 (TOTP).
|
Nenazadnje, po vsej tej debati mislim, da je ze SIM kartica narejena na osnovni Challenge-Response,
saj po vkljucitvi zahteva PIN, ce imas le to vkljuceno.
Zahteva = Challenge
PIN = Response
Tukaj so si ocitno zamislili 3 tipe kalkulatorjev, ki delajo isto,
le fizicno izgledajo drugace.
Torej upam na nekoga, da pri aplikaciji preveri ta flight mode,
kar ti vsaj da obcutek, da se paswordi in sam dostop do banke dogajajo po razlicnih medijih,
kar zmanjsa moznos za taping.
Hvala
|
|
| Nazaj na vrh |
|
|
mujo
Član
Pridružen-a: Ned 02 Jan 2005 19:24
Prispevkov: 746
Aktiv.: 3.15
Kraj: MB
|
| Objavljeno: Tor Sep 01, 2015 1:01 pm Naslov sporočila: |
|
|
| geier je napisal/a: |
Nenazadnje, po vsej tej debati mislim, da je ze SIM kartica narejena na osnovni Challenge-Response,
saj po vkljucitvi zahteva PIN, ce imas le to vkljuceno.
Zahteva = Challenge
PIN = Response
|
Ni to Challenge Response princip. To kar si napisal je samo vnos PIN.
Challenge Response je, da jaz tebi dam rumeno barvo, ti dodaš nekaj svojega in dobiš vijolično barvo. Jaz pa morem preveriti ali je barva, ki si mi jo dal nazaj pravilna. Oz drugače povedano - pošiljava si parametre za vhod skrite funkcije in primerjava rezultat.
|
|
| Nazaj na vrh |
|
|
kobranka
Član
Pridružen-a: Sob 24 Jul 2010 19:37
Prispevkov: 3403
Aktiv.: 18.74
Kraj: nekje v zgornjem posočju
|
| Objavljeno: Tor Sep 01, 2015 4:18 pm Naslov sporočila: |
|
|
| Saj nekateri kalkulatorji za kartice uporabljaj vse to. Uporabljajo OTP in pa podpis ter podpis plus. Slednji je lahko zeloooo dolg za vnašanje.
|
|
| Nazaj na vrh |
|
|
Proteus
Član
Pridružen-a: Sre 15 Jun 2005 10:03
Prispevkov: 1943
Aktiv.: 8.20
|
| Objavljeno: Tor Sep 01, 2015 4:48 pm Naslov sporočila: |
|
|
Novost od sredine prejšnjega meseca je tudi MasterCard SecureCode za nakupe preko spleta.
MasterCard je potrebno registrirati, kupiti pa moraš še generator varnostne kode. Še en "kalkulatorček".
Pri plačilu moraš poleg številke kartice navesti še 8-mestno številko (enkratno varno geslo), ki se generira s prej omenjenim generatorjem.
|
|
| Nazaj na vrh |
|
|
frenki
Moderator
Pridružen-a: Ned 23 Feb 2003 21:26
Prispevkov: 6735
Aktiv.: 28.41
Kraj: Ljubljana (JN76GB)
|
| Objavljeno: Tor Sep 01, 2015 7:47 pm Naslov sporočila: |
|
|
| Pa tale SecureCode podpirajo vsi trgovci, ki sicer sprejemajo MasterCard kartice?
|
|
| Nazaj na vrh |
|
|
Proteus
Član
Pridružen-a: Sre 15 Jun 2005 10:03
Prispevkov: 1943
Aktiv.: 8.20
|
| Objavljeno: Tor Sep 01, 2015 9:39 pm Naslov sporočila: |
|
|
| frenki je napisal/a: |
| Pa tale SecureCode podpirajo vsi trgovci, ki sicer sprejemajo MasterCard kartice? |
Trenutno še ne vsi (govorim o internetnih trgovcih, da ne bo pomote), vendar pa njihovo število narašča.
Na srečo pri večini obstaja alternativa preko Paypal.
Pri moji banki hočejo imeti za ta kalkulatorček 10€.
|
|
| Nazaj na vrh |
|
|
frenki
Moderator
Pridružen-a: Ned 23 Feb 2003 21:26
Prispevkov: 6735
Aktiv.: 28.41
Kraj: Ljubljana (JN76GB)
|
| Objavljeno: Tor Sep 01, 2015 11:41 pm Naslov sporočila: |
|
|
| Torej verjetno MasterCard-ov odgovor na PayPal in podobne plačilne mehanizme. Korak v pravo smer, ampak v današnjem času verjetno precej prepozno.
|
|
| Nazaj na vrh |
|
|
MarkoM
Član
Pridružen-a: Tor 12 Sep 2006 15:29
Prispevkov: 2825
Aktiv.: 12.36
Kraj: Lovrenc na P.
|
| Objavljeno: Sre Sep 02, 2015 9:47 am Naslov sporočila: |
|
|
Sem sedaj že nekaj let pri deželni banki, prej sem bil skozi pri nkbm. Deželna ima za avtentifikacijo v spletno banko generator gesel, ki je povsem enak tistemu za mastercard. Enak je bil tudi pri nkbm za securecode za mastercard. Delata pa skrižoma brez težav.
Ne predstavljam pa si kako bi to nadomestila aplikacija, saj moram kartico vstavit v generator in vpisat pin. Po tem takem generator prebere nekaj s kartice?
|
|
| Nazaj na vrh |
|
|
|
|
Ne, ne moreš dodajati novih tem v tem forumu
Ne, ne moreš odgovarjati na teme v tem forumu
Ne, ne moreš urejati svojih prispevkov v tem forumu
Ne, ne moreš brisati svojih prispevkov v tem forumu
Ne ne moreš glasovati v anketi v tem forumu
Ne, ne moreš pripeti datotek v tem forumu
Ne, ne moreš povleči datotek v tem forumu
|
Uptime: 498 dni
Powered by phpBB © 2001, 2005 phpBB Group
|
Pomoč
Išči
Seznam članov
Skupine
Statistika
Album
Filemanager
Registriraj se
Priponke
Koledar
Tvoj profil
Prijava
