Пользователь
0,0
рейтинг
28 августа 2014 в 19:29

Что внутри у ридера для двухфакторной авторизации?



В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.
Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.
Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.
Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.
Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.
А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.
Увы, откровений не будет.

(Аккуратно, траффик!)


Здесь и далее по клике на картинку можно открыть полноразмерную фотографию, так что аккуратнее с траффиком!

Когда я первый раз пришел за токеном, мне вручили вот такой калькулятор:



Карта вставляется сверху. После вставки карты необходимо выбрать режим работы (А или Б — отличаются лимитами по операциям), далее ввести свой пин, после чего ввести ключ, который отправляется интернет-банком. После ввода ключа устройство выдаст ответный ключ. Вот и весь алгоритм работы.

С обратной стороны генератор выглядит вот так:



Открыть, не повредив корпус устройства, не удалось, весь периметр проклеен:



Откручиваем винты и смотрим на обычную клавиатуру:



Вот, собственно, и все кишочки. Под компаунд, закрывающий микросхему, лезть без специальных средств бесполезно, поэтому остается только догадываться о том, какой же контроллер стоит на борту.

Небольшое лирическое отступление.
Уже не актуальная история про выдачу токена\ридера
Прежде, чем вскрывать этот токен, я озаботился получением второго. И вот тут есть интересные подробности.
При получении первого токена я сообщил сотруднику банка, что мне не нужна смс-авторизация. На что мне ответили «угу», и смс-ка о том, что такой тип авторизации включен, всё же пришла. Придя домой, я убедился, что и токен, и смс-ки работают. Это меня, безусловно, не устраивало, поэтому идти в банк еще раз всё равно пришлось бы.
В мой второй приход в банк я опять сказал, что мне нужен токен (старый безвозвратно уничтожен) и что нужно отключить смс-авторизацию. С отключением смс-ок проблем не было. Пара кликов в программе, и мне пришло смс о том, что смс отключены.
С подключением нового токена возникли вопросы. Видимо, систему в банке запустили совсем недавно, и не все сотрудники в курсе, что и как у них там работает.
Логика какая должна быть? Приходит клиент, просит завести ему новый генератор. Что нужно сделать? Наверное, отвязать старый и уже после этого привязать новый. Но, судя по тому, что мне говорил сотрудник, привязывается не токен, а карта (да, забыл упомянуть, карта должна быть чипованная, с не чипованными картами их токены не работают). По некоторому размышлению, сотрудник решил просто привязать новый токен, решив, что старый отвяжется. Токен привязался, что я и проверил на месте через мобильный интернет.
А дальше… А дальше я пришел домой и, разумеется, первым же делом решил воспользоваться старым токеном. И что бы вы думали? Разумеется, ключ от него спокойно заработал. Таким образом, у меня теперь два токена. Поэтому, после регистрации токена в системе в случае его неработоспособности не выкидывайте токен! Его можно постараться оживить, и тогда плакали ваши денежки! Полагаю, поможет только экстерминатус физическое уничтожение устройства. Судя по всему, система либо не умеет отвязывать токены, либо это нужно ну уж очень хитро делать. Уважаемые представители банка, наверняка вы читаете эту статью и узнали свои устройства! Пожалуйста, сделайте выводы!

Да, теперь, собственно, о втором токене, который в заглавной фотографии.
Он другой фирмы. Сотрудники банка сообщили мне, что вроде он работает надежнее белого, по которому много брака. Он компактнее, и у него есть пищалка, которая срабатывает при нажатии кнопок.

Первый токен не разборный, и поэтому батарейки в нем не предполагается менять.
Вот второй с видом спереди и сзади:





Разумеется, раз у меня теперь два токена, то в одном можно передернуть батарейки и посмотреть, будет ли он после этого адекватно работать. Так вот, оба токена без проблем снова работают и после смены батареек.

Черный токен разбирается немного хитрее белого. Необходимо снять лицевую наклейку-клавиатуру, под которой обнаружатся винты, которыми лицевая панель-печатная плата прикручена к корпусу:



Откручиваем их и получаем две половинки устройства:



Основная плата крупнее:



А теперь немного личных рассуждений.
Белый калькулятор выглядит довольно топорно. Плохо, что конструкция не разборная и нельзя поменять батарейки. Не отмытый флюс на плате — тоже не очень хорошо. Зачем нужен часовой кварц, если ключ, по всей видимости, хранится в прошивке контроллера, не понятно.
Сайт производителя не блещет объемом информации. Закупочных цен на такие токены я не нашел.

Черный экземпляр является разработкой другой компании. Плата выглядит лучше, да и в целом устройство оставляет больше положительных впечатлений. Цен также не нашел.

Я не специалист по безопасности, но из статей в википедии получается, что раз батарейки не влияют на работу устройства, а в одном из токенов нет часового кварца, то используется авторизация типа OATH.

UPD.: Посыпаю голову пеплом. Как правильно замечают Cobolorum и farcaller это не токен, а всего лишь ридер и генерация ключа осуществляется в самой карте, а не в ридере. Так что не стоит паниковать, если теряете такой ридер. Главное — не терять карту.

Буду рад любым комментариям и дополнениям!
Обо всех замеченных ошибках прошу сообщать в личку.
Александр @Karlson_rwa
карма
26,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (19)

  • +8
    Не это не токен, это просто картридер с клавиатурой и экранчиком. Такую что шутку можно на коленке собрать. В серьезных устройствах должен быть tamper sensor.
    • +2
      Т.е. получается, что потеря такого ридера ни к чему не ведет? Только если терять карту, могут быть проблемы?
      • 0
        Похоже что да.
      • 0
        данные записаны на чипе карты, у меня в доме два ридера от разных карт — работает любой. После ввода PIN вставленной карты и происходит вся магия.
        Самое забавное, что за три неверных попытки пина карта блокируется так же как и в банкомате, так что осторожнее.
        • –1
          Еще субьективное мнение — никакой генерации там нет, там просто заполненный массив ключ-значение. У моего банка 8 цифр запрос, 8 ответ — иногда встречал повторы, но могу ошибаться. Инсайдеры банка говорят что это не так, но кто его знает. Да и к тому же, до недавнего у соседнего банка юзалась бумажка с вопрос-ответ, так что я не удивлюсь
  • +10
    Но, судя по тому, что мне говорил сотрудник, привязывается не токен, а карта (да, забыл упомянуть, карта должна быть чипованная, с не чипованными картами их токены не работают)


    Потому что это устройство — фактически пользовательский интерфейс к чипу карты. Вся криптография проходит именно там.
  • 0
    Через некоторое время по состоянию можно будет узнать из каких цифр состоит ваш PIN.
    • 0
      Кроме пина надо вводить код из интернет-банка.
      • +1
        Но — скорее всего — цифры пина будут более затерты, чем остальные. Вспомним детскую задачку про самую затертую кнопку в лифте :)
  • 0
    Генерировать может и устройство. Например ключ у вас на карте (и защищен пин кодом) а генерация на основе того же HOTP ( только не time based, так как таймера нет). В этом случае меняющаяся часть хэша не текущее время а тот самый код который отправляется банком клиенту — во всем остальном принцип тот же
  • 0
    А чем такие терминалы с пинпадами(, или что это за клавиатуры и зачем?) отличаются от брелков, которые по своему зашитому алгоритму генерят пин для 2-факторной авторизации для некоторых авторизаций…
    • +1
      Один терминал можно использовать для нескольких карт.
      Ключом является карта, а терминал в каком-то смысле лишь средство по генерации информации от карты.
      Сменили карту — не нужно менять токен (т.е. терминал).
  • 0
    Что-то как-то сложно. Для чего все это нужно? Для авторизации в интернет-банке или для чего-то еще?
  • +1
    Эти ридеры Банка ВТБ24 если не ошибаюсь? ;)
  • 0
    ВТБ же? А сколько денег просят за такую штуку?
    • 0
      Мне такую штуку дали после заключения договора на удалённое обслуживание карты (ридер бесплатно, удалёнка 25 рублей в месяц, банк не ВТБ). Вопрос, на сколько хватает батареек если ридер не разборный? Я пользуюсь примерно год, в статусе показывает 45% заряда, но я не уверен, что до меня ридером никто не пользовался.

      Вопрос автору статьи, конечно.
      • 0
        По идее, и это написано в инструкции, срок службы — 5 лет. При этом, насколько я понял, потыкавшись мультиметром, в режиме ожидания ридер всё же что-то потребляет. Когда Вы вставляете карту, замыкается контакт (прямоугольник поменьше слева сверху от шести(восьми)лапого разъема) и напряжение повышается \ проц выходит из спячки.

        Белый ридер можно разобрать (я разбирал снизу, отколупав фальшивый бортик) и потом собрать заново. Там есть пара защелок, поэтому им еще можно будет пользоваться.
    • +1
      500 рублей.
  • 0
    Да, теперь, собственно, о втором токене, который в заглавной фотографии.
    Он другой фирмы. Сотрудники банка сообщили мне, что вроде он работает надежнее белого, по которому много брака.

    Странно, в том отделении банка, в котором получал белый ридер я, сказали обратное: с белыми проблем меньше.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.