Tak zwany token - głupie pytanie

26.10.06, 09:19
Z góry prosze o wybaczenie ignorancji oraz wytłumaczenie jak soltys krowie na
miedzy ;)
Zakładając konto w banku dostałam tzw. token do operacji internetowych. Jak
chcę się zalogować, czy zrobić przelew, klikam w niego, on generuje ciąg
cyfr, wpisuję go i w ten sposób zatwierdzam operację. Jak to działa? Skąd
komputer "wie", co token wygenerował?
    • tiges_wiz Re: Tak zwany token - głupie pytanie 26.10.06, 09:31
      bo korzysta z takiego samego algorytmu?
      • meduza7 Re: Tak zwany token - głupie pytanie 26.10.06, 09:45
        Sołtysie, jaśniej! Muuuuu....
    • facet123 Re: Tak zwany token - głupie pytanie 26.10.06, 10:39

      Każdy token ma zapisany na stałe pewien unikalny kod. Kod jest zapisany w taki
      sposób, że bardzo trudno byłoby go wydostać. W chwili wydawania tokena w banku
      ten kod jest kojarzyne z twoim kontem.
      Teraz gdy logujesz się do swojego konta serwer bankowy generuje losowo numer.
      Przy każdym logowaniu ten numer będzie inny. Następnie wpisujesz ten numer do
      swojego tokena i on na podstawie tych dwóch liczb: stałego kodu tokena i numeru
      wygenerowanego przez serwer bankowy wylicza za pomocą złożonego algorytmu
      trzecią liczbę - tę która wypisuje na wyświetlaczu. Algorytm wyliczenia działa
      tak, że nie sposób na podstawie wyniku i tej losowej liczby dojść do tego jaki
      kod jest zawarty w tokenie.
      Teraz wpisujesz wynik tokena na formularz na stronie i przesyłasz z powrotem do
      banku. Serwer bankowy zna kod tokena i zna liczbe którą wygenerował więc ma
      dość danych żeby za pomocą tego samego algorytmu wyliczyć wynik tokena.
      Porównuje następnie przysłany przez ciebie wynik z tym który sam obliczył i
      jeżeli są one równe, to wie, że po drugiej stronie jest osoba z ważnym tokenem
      skojarzonym z tym kontem.

      Dzięki takiemu działaniu jeżeli ktoś by nawet podsłuchał cąłą transmisję, to
      znaczy znał losową liczbę wygenerowaną przez serwer oraz odpowiedź tokenu to
      nic mu to nie da, bo przy następnym logowaniu otrzyma on inna losową liczbę i
      bez znajomości kodu wewnętrznego tokenu nie będzie w stanie poprawnie
      odpowiedzieć.
      • Gość: Informatyk Re: Tak zwany token - głupie pytanie IP: *.chello.pl 26.10.06, 10:59
        > Dzięki takiemu działaniu jeżeli ktoś by nawet podsłuchał cąłą transmisję, to
        > znaczy znał losową liczbę wygenerowaną przez serwer oraz odpowiedź tokenu to
        > nic mu to nie da

        Oczywiście trzeba pamiętać że jest to jedynie hipoteza, to znaczy nikt nie zna
        algorytmu który pozwoliłby szybko ustalić kolejną liczbę. Bo oczywiście złodziej
        może sprawdzać wszystkie możliwe unikalne kody aż trafi na taki który zgadzałby
        się ze wszystkimi dotychczas wygenerowanymi wartościami - ale zajmie mu to
        więcej czasu niż istnieje wszechświat.
        Być może przy pomocy komputera kwantowego znalezienie unikalnego kodu będzie
        znacznie łatwiejsze, a być może istnieje wręcz prosta metoda wyliczenia go przy
        pomocy zwykłego komputera. Na razie nikt tego nie potrafi, więc uważamy że jest
        bezpiecznie.
        • meduza7 Re: Tak zwany token - głupie pytanie 26.10.06, 12:55
          Dzięki za cierpliwe objaśnienia :)
          czy znaczy to też, że jeśli sobie poklikam w token nie logując się przy tym do
          swojego konta, nie zaszkodzi mu to i dalej będę mogła się zalogować?
          • facet123 Re: Tak zwany token - głupie pytanie 26.10.06, 13:11
            Teoretycznie tak. Nie wiem jednak, czy token nie zawiera jakiegoś dodatkowego
            zabezpieczenia które np.zablokuje go gdy wpisze się kika razy coś bez sensu
            (liczby generowane przez serwer bankowy są losowe, ale mogą zawierać jakiś
            wzór, np.jakąś stałą cyfrę). Takie zabezpieczenie mogłoby np. służyć temu aby
            dodatkowo utrudnić pracę komuś kto stara się z nim eksperymentować (co mogłoby
            np. oznaczać ze został on skradziony) mimo, że matematycznie istnieje znikome
            prawdopodobienstwo aby mógł cokowiek w ten sposob osiągnąć. Wydaje mi się
            jednak, mimo,że pewności nie mam, że takich zabezpieczeń w tokenach nie ma.
            Tyle, że pin trzeba podać dobry.
            • meduza7 Re: Tak zwany token - głupie pytanie 27.10.06, 12:05
              Jakby co, zawsze można zadzwonić do banku i odblokować konto, co, nawiasem
              mówiąc, musiałam zrobić dwa razy na początku moich przygód z tokenem. Jeszcze
              raz dziękuję!
      • Gość: t Re: Tak zwany token - głupie pytanie IP: *.tpnet.pl 29.10.06, 17:12
        Komputer nie generuje liczb losowych.
        To taka mała moja uwaga.
        • facet123 Re: Tak zwany token - głupie pytanie 30.10.06, 09:16
          > Komputer nie generuje liczb losowych.
          > To taka mała moja uwaga.

          Sam z siebie nie. Wystarczy jednak, że poprosi o 'zarodek' do geneorwanie liczb
          losowych który stworzy sobie na podstawie losowego walenia w klawiaturę albo
          losowego machania myszką i już.
          Istnieją też sprzetowe generatory liczb losowych - urządzenia peryferyjne które
          wykorzystują zjawska kwantowe takie jak szum termiczny, albo rozpad nietrwałego
          izotopu do pozyskania wartości czysto losowych.
Pełna wersja