Domanda sui Token ossia le chiavette per i bonifici online.
-
MindbendeR
- Fantasma
- Messaggi: 46
- Iscritto il: 2 agosto 2011, 4:59
Domanda sui Token ossia le chiavette per i bonifici online.
Per pura curiosità mi sono documentato per capire come funziona questo dispositivo.
Quello che ho capito è che in sostanza, il mio profilo online, nel sito bancario, è in qualche modo legato a questo token e solo a questo, e il server bancario, tramite un particolare algoritmo, è in grado di stabilire una corrispondenza biunivoca tra il codice generato dalla chiavetta e il mio acconto online.
Mi sono però sempre chiesto una cosa:
se inserisco un codice, durante il bonifico, ma lo lascio scadere fino a farne apparire uno nuovo, quello prima inserito è oramai nullo e devo scrivere quello nuovo appena rigenerato o è sempre valido?
Quello che ho capito è che in sostanza, il mio profilo online, nel sito bancario, è in qualche modo legato a questo token e solo a questo, e il server bancario, tramite un particolare algoritmo, è in grado di stabilire una corrispondenza biunivoca tra il codice generato dalla chiavetta e il mio acconto online.
Mi sono però sempre chiesto una cosa:
se inserisco un codice, durante il bonifico, ma lo lascio scadere fino a farne apparire uno nuovo, quello prima inserito è oramai nullo e devo scrivere quello nuovo appena rigenerato o è sempre valido?
-
giupmat
- Fondatore
- Messaggi: 1482
- Iscritto il: 5 maggio 2008, 12:10
- GFace: giupmat
- Origin: giupmat
- steam: giupmat
- Supporto a Battlefield: supportato
- Supporto a War Thunder: Supportato
- Località: Fushe Pass
Re: Domanda sui Token ossia le chiavette per i bonifici onli
Non c'è dubbio: devi usare il codice nuovo. Ogni codice ha una validità temporale similare a quello che accade per le sessioni tunnel TLS (le sessioni https che il vostro browser apre verso una pagina sicura): scaduto il termine di validità (diciamo 60 secondi) non potrai effettuare il bonifico.
Questo vuol dire che se all'inizio della transazione hai il codice 112233 e durante l'operazione fai scadere il codice (perchè sei lento come la morte) sei costretto a generare un nuovo codice (diciamo 223344) e ad utilizzare quello per concludere correttamente. Se tenti di concludere il bonfico con 112233 semplicemente l'operazione fallisce.
Questo vuol dire che se all'inizio della transazione hai il codice 112233 e durante l'operazione fai scadere il codice (perchè sei lento come la morte) sei costretto a generare un nuovo codice (diciamo 223344) e ad utilizzare quello per concludere correttamente. Se tenti di concludere il bonfico con 112233 semplicemente l'operazione fallisce.
Re: Domanda sui Token ossia le chiavette per i bonifici onli
I classici orologi da polso digitali hanno una desincronia di qualche secondo al mese (nel senso che ogni mese l'ora originariamente impostata risulta sfasata di qualche secondo) ad eccezione di quelli radio controllati che si auto-calibrano ogni giorno ricevendo ricevendo l'ora via radio.
Quello che mi chiedo è: queste chiavette hanno un orologio radio-controllato al loro interno per non desincronizzarsi con l'orologio della banca?
Quello che mi chiedo è: queste chiavette hanno un orologio radio-controllato al loro interno per non desincronizzarsi con l'orologio della banca?
-
giupmat
- Fondatore
- Messaggi: 1482
- Iscritto il: 5 maggio 2008, 12:10
- GFace: giupmat
- Origin: giupmat
- steam: giupmat
- Supporto a Battlefield: supportato
- Supporto a War Thunder: Supportato
- Località: Fushe Pass
Re: Domanda sui Token ossia le chiavette per i bonifici onli
La key è semplicemente un orologio al quarzo da pochi centesimi, a cui è aggiunto qualche altro ammenicolo tecnico in grado di eseguire un semplice algoritmo: quello che viene generato alla pressione del tassto è una serie di "hashcode" chee si basano sul codice univoco del token e sulle coordinate temporali.
Dall'altra parte c'è un server che esegue il medesimo calcolo ed ottiene la stessa serie. I risultati accettati, dunque, sono tutti quelli della serie: il trucco sta infatti nella tolleranza. Il backend accetta tutti i codici precedenti o successivi di 15 minuti dall'ora esatta, a meno che non siano già stati usati.
Per migliorare la sicurezza in molte infrastrutture è stato poi aggiunto un sistema di autoapprendimento che tiene conto della discrepanza oraria tra server e token ad ogni transazione. In questo modo il sistema impara da se stesso e può prevedere di quanto sia, grossomodo, lo scarto orario tra le due parti. In questo modo il sistema restringe il campo (e di conseguenza il numero di hashcode accettati) in base all'andamento a lungo termine delle risposte del token.
È un sistema tanto economico quanto efficace ed ha un grado di sicurezza talmente alto (le statistiche dicono che sono tra i sistemi di credenzial di accesso meno bucati in assoluto dopo le smartcard a firma asimmetrica) che viene utilizzato per accessi VPN, per accessi a coordinate e conti bancari, a portali governativi, eccetera.
Dall'altra parte c'è un server che esegue il medesimo calcolo ed ottiene la stessa serie. I risultati accettati, dunque, sono tutti quelli della serie: il trucco sta infatti nella tolleranza. Il backend accetta tutti i codici precedenti o successivi di 15 minuti dall'ora esatta, a meno che non siano già stati usati.
Per migliorare la sicurezza in molte infrastrutture è stato poi aggiunto un sistema di autoapprendimento che tiene conto della discrepanza oraria tra server e token ad ogni transazione. In questo modo il sistema impara da se stesso e può prevedere di quanto sia, grossomodo, lo scarto orario tra le due parti. In questo modo il sistema restringe il campo (e di conseguenza il numero di hashcode accettati) in base all'andamento a lungo termine delle risposte del token.
È un sistema tanto economico quanto efficace ed ha un grado di sicurezza talmente alto (le statistiche dicono che sono tra i sistemi di credenzial di accesso meno bucati in assoluto dopo le smartcard a firma asimmetrica) che viene utilizzato per accessi VPN, per accessi a coordinate e conti bancari, a portali governativi, eccetera.
Re: Domanda sui Token ossia le chiavette per i bonifici onli
No no. nei Token della mia banca non c'è nessun orologio. Ogni volta che serve lo accendi e tira fuori il numerino. Ma poi si spegne.
-
giupmat
- Fondatore
- Messaggi: 1482
- Iscritto il: 5 maggio 2008, 12:10
- GFace: giupmat
- Origin: giupmat
- steam: giupmat
- Supporto a Battlefield: supportato
- Supporto a War Thunder: Supportato
- Località: Fushe Pass
Re: Domanda sui Token ossia le chiavette per i bonifici onli
All'interno c'è comunque un orologio che rimane vivo grazie alla batteria (che non togli). Anche se non ti fa vedere l'ora non vuol dire che non ci sia. Fidati.
-
MindbendeR
- Fantasma
- Messaggi: 46
- Iscritto il: 2 agosto 2011, 4:59
Re: Domanda sui Token ossia le chiavette per i bonifici onli
Grazie, ora è tutto chiaro.