- PVSM.RU - https://www.pvsm.ru -
В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.
Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.
Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.
Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.
Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.
А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.
Увы, откровений не будет.
(Аккуратно, траффик!)
Здесь и далее по клике на картинку можно открыть полноразмерную фотографию, так что аккуратнее с траффиком!
Когда я первый раз пришел за токеном, мне вручили вот такой калькулятор:
Карта вставляется сверху. После вставки карты необходимо выбрать режим работы (А или Б — отличаются лимитами по операциям), далее ввести свой пин, после чего ввести ключ, который отправляется интернет-банком. После ввода ключа устройство выдаст ответный ключ. Вот и весь алгоритм работы.
С обратной стороны генератор выглядит вот так:
Открыть, не повредив корпус устройства, не удалось, весь периметр проклеен:
Откручиваем винты и смотрим на обычную клавиатуру:
Вот, собственно, и все кишочки. Под компаунд, закрывающий микросхему, лезть без специальных средств бесполезно, поэтому остается только догадываться о том, какой же контроллер стоит на борту.
Небольшое лирическое отступление.
Да, теперь, собственно, о втором токене, который в заглавной фотографии.
Он другой фирмы. Сотрудники банка сообщили мне, что вроде он работает надежнее белого, по которому много брака. Он компактнее, и у него есть пищалка, которая срабатывает при нажатии кнопок.
Первый токен не разборный, и поэтому батарейки в нем не предполагается менять.
Вот второй с видом спереди и сзади:
Разумеется, раз у меня теперь два токена, то в одном можно передернуть батарейки и посмотреть, будет ли он после этого адекватно работать. Так вот, оба токена без проблем снова работают и после смены батареек.
Черный токен разбирается немного хитрее белого. Необходимо снять лицевую наклейку-клавиатуру, под которой обнаружатся винты, которыми лицевая панель-печатная плата прикручена к корпусу:
Откручиваем их и получаем две половинки устройства:
Основная плата крупнее:
А теперь немного личных рассуждений.
Белый калькулятор выглядит довольно топорно. Плохо, что конструкция не разборная и нельзя поменять батарейки. Не отмытый флюс на плате — тоже не очень хорошо. Зачем нужен часовой кварц, если ключ, по всей видимости, хранится в прошивке контроллера, не понятно.
Сайт производителя [10] не блещет объемом информации. Закупочных цен на такие токены я не нашел.
Черный экземпляр является разработкой другой компании [11]. Плата выглядит лучше, да и в целом устройство оставляет больше положительных впечатлений. Цен также не нашел.
Я не специалист по безопасности, но из статей [12] в википедии [13] получается, что раз батарейки не влияют на работу устройства, а в одном из токенов нет часового кварца, то используется авторизация типа OATH [14].
UPD.: Посыпаю голову пеплом. Как правильно замечают Cobolorum [15] и farcaller [16] это не токен, а всего лишь ридер и генерация ключа осуществляется в самой карте, а не в ридере. Так что не стоит паниковать, если теряете такой ридер. Главное — не терять карту.
Буду рад любым комментариям и дополнениям!
Обо всех замеченных ошибках прошу сообщать в личку.
Автор: Karlson_rwa
Источник [17]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/zhelezo/68531
Ссылки в тексте:
[1] Image: http://habrastorage.org/files/5a1/c2e/bef/5a1c2ebefdaa48d3ba0e24d540dd03ba.png
[2] Image: http://habrastorage.org/files/d9d/022/604/d9d02260411c4e41b48b0b2f42edcb4f.png
[3] Image: http://habrastorage.org/files/bf0/740/946/bf074094636d4daaae9d58db10654773.png
[4] Image: http://habrastorage.org/files/e03/764/3fe/e037643fe84f4efc85984abe688f03d8.png
[5] Image: http://habrastorage.org/files/37f/986/5a5/37f9865a59ba4e868c1e5543a2d0ac14.png
[6] Image: http://habrastorage.org/files/5e8/439/693/5e843969391a4335a90000eaef998d44.png
[7] Image: http://habrastorage.org/files/5da/860/b3b/5da860b3b3d04c8aa2569ee2e375895c.png
[8] Image: http://habrastorage.org/files/3b2/66b/e78/3b266be78ad344488888a254f5e0b0f8.png
[9] Image: http://habrastorage.org/files/91a/c07/74e/91ac0774e5ef4520ad1bd26ff9805167.png
[10] Сайт производителя: https://www.vasco.com/products/client_products/card_reader_digipass/digipass_830.aspx
[11] другой компании: http://www.gemalto.com/products/otp_thin_reader/index.html
[12] статей: http://en.wikipedia.org/w/index.php?title=SecurID&oldid=621912726
[13] википедии: http://en.wikipedia.org/w/index.php?title=Security_token&oldid=622886197
[14] OATH: http://openauthentication.org/aboutOath
[15] Cobolorum: http://habrahabr.ru/users/cobolorum/
[16] farcaller: http://habrahabr.ru/users/farcaller/
[17] Источник: http://habrahabr.ru/post/234857/
Нажмите здесь для печати.