Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

-come funz. chiavetta accesso banca web? algoritmo? e

1,606 views
Skip to first unread message

Roby_K

unread,
Mar 5, 2008, 6:21:03 AM3/5/08
to

info:

Ma come funziona la chiavetta che forniscono
sia S.Paolo IMI e ora Banca Intesa?

la O-KEY...

Capisco che genera un codice casuale abbinato
probabilmente al codice utente, ma essendo
CASUALE come mai accetta "solo" quello
creato dalla chiavetta e magari NON uno
inventato da me o cambiando una cifra
da quello generato? saranno numeri generati
casuali determinati ? non capisco ?

E poi, sembra che se genero con la chiavetta
il numero e entro nel sito della banca e magari
poi esco e provo a rientrare con lo stesso
numero generato , dicono che NON funziona
piu? come mai? viene cancellato dal sistema?
ancor piu strano visto che NON c'e alcuna
connssione tra questa chiavetta e il computer!
si preme un tasto e si legge il numero che
si digita nel sito...

chi mi aiuta a capire come funziona?

c'e magari qualche sito che spiega il funzionamento
o documntazioni tecniche (standard ISO o altro ) ?

grazie e scusate se OT

Roberto Montaruli

unread,
Mar 5, 2008, 4:41:36 PM3/5/08
to
Roby_K ha scritto:

> info:
>
> Ma come funziona la chiavetta che forniscono
> sia S.Paolo IMI e ora Banca Intesa?
>
> la O-KEY...
>
> Capisco che genera un codice casuale abbinato
> probabilmente al codice utente, ma essendo
> CASUALE come mai accetta "solo" quello
> creato dalla chiavetta e magari NON uno
> inventato da me o cambiando una cifra
> da quello generato? saranno numeri generati
> casuali determinati ? non capisco ?
>

Potrebbe essere un codice generato in funzione del tuo codice utente e
del timer.

Inserendo quel codice, il sistema riconosce che sei tu e che lo hai
generato da poco, e quindi ti lascia accedere.

Qualche minuto dopo, quel codice non e' piu' valido.

DavideN

unread,
Mar 7, 2008, 5:46:38 AM3/7/08
to
Vorrei per prima cosa precisare che in informatica generare numeri
veramente casuali è impossibile.

Quindi quando si parla di un programma che genera numeri casuali in
realtà si stanno generando numeri pseudo casuali cioè molto vicini
alla casualità, ma che in qualche modo sono determinati a priori.

Precisato questo è ovvio che il numero generato dalla chiavetta non è
un numero sparato così a caso sennò che sicurezza darebbe? Ognuno ci
mette un numero ed entra al posto tuo.

Il numero viene generato con qualche algoritmo che sicuramente tiene
conto del tuo:
- codice utente
- dell'orario esatto in cui ti stai loggando

per questo il codice vale solo 30 secondi. Quando tu immetti il codice
il server esegue lo stesso algoritmo che viene eseguito quando tu
premi il tasto sulla chiavetta e confronta i codici: se sono uguali
entri sennò niente.

L'algoritmo presi in input questi dati potrebbe eseguire una funziona
matematica di cui è molto difficile trovare l'inversa e quindi la
sicurezza deriva da più fattori:

1) il codice ha una validità limitata (es. 30 secondi)
2) sicurezza basata sul fatto che possiedi la chiave e non sul fatto
che ti ricordi un codice
3) anche venendo a conoscenza del tuo codice utente e di un insieme di
numeri generati dalla chiavetta è pressochè impossibile risalire
all'algoritmo (cioè alla funzione che matematica che li genera)

Davide.

quaqo

unread,
Mar 6, 2008, 9:38:19 AM3/6/08
to
Roby_K ha scritto:

> Ma come funziona la chiavetta che forniscono
> sia S.Paolo IMI e ora Banca Intesa?

Il token ha un orologio interno ed un seme preimpostato.
Usa un generatore di numeri pseudocasuali.

Il server conosce il seme utilizzato dal token e quindi riesce a verificare
la correttezza delle informazioni ricevute.

Il software di autenticazione sul server è anche in grado di correggere gli
errori di sincronia entro un certo limite; ad ogni modo è possibile
risincronizzare il token col server se dovessero risultare troppo fuori
sync.

Il token genera un numero ogni k secondi, ed ha una scadenza (pochi anni).

È anche studiato in maniera tale da non poter essere disassemblato senza
comprometterlo.

Di solito si utilizza come secondo fattore di autenticazione, quindi il
perderlo non comporta un immediato pericolo se chi lo trova non conosce il
pin corrispondente: basta disabilitare quel token sul server e rimediarne
un altro.

--
Saluti, Federico
http://www.quaqo.org

fg

unread,
Mar 12, 2008, 5:08:03 AM3/12/08
to
DavideN ha scritto:

> Vorrei per prima cosa precisare che in informatica generare numeri
> veramente casuali è impossibile.
>
> Quindi quando si parla di un programma che genera numeri casuali in
> realtà si stanno generando numeri pseudo casuali cioè molto vicini
> alla casualità, ma che in qualche modo sono determinati a priori.
>

Questo in realtà dipende, non è tanto "in informatica" ma con i computer
normalmente utilizzati. Esistono infatti appositi hardware che
basandosi sulle fonti piu' disparate (dal rumore di fondo dei segnali
radio ad appositi materiali che generano oscillazioni poco uniformi)
riescono a generare numeri la cui "casualità" è molto alta.
Sapevo anche di software che per incrementare il livello di accuratezza
del generatore di un pc normale utilizzavano la scheda audio giocando
appunto sul rumore di fondo....

GuidoBonetti

unread,
Mar 15, 2008, 4:25:20 AM3/15/08
to
"DavideN" <david...@gmail.com> ha scritto nel messaggio
news:13344a84-407c-4e09...@n77g2000hse.googlegroups.com

Visto che state parlando di O-Key di Banca Intesa mi permetto di darvi
materiale su cui lavorare .
Sono cliente online di Banca Intesa e da ieri sono in possesso do O-Key .
Entro nel sito con codice cliente , codice segreto fornito dalla filiale e
digito il codice O-Key che avevo elaborato forse un minuto prima e scritto
su foglietto .
Tutto Ok !
In entrata hai quattro procedure da fare : abilitazione servizi , modifica
del codice segreto , scelta del limite di euro giornalieri , e poi non lo sò
perchè non ci sono mai giunto perchè sono stato bloccato per codice O-Key
errato per cinque volte pur avendolo digitato perfettamente bene dopo aver
fatto la scelta del limite di spesa o di transazione .
Nota bene : ho verificato la sincronizzazione del mio PC con l' orologio
atomico ed ero fuori di un solo secondo .
Ho googlato un pò per capirci qualcosa e sono giunto alla conclusione , dopo
avervi letto , che il mio nuovissimo O-Key non è sincronizzato o che la
procedura di acquisizione del nuovo codice segreto ha incasinato tutto ( ma
la cosa si dovrebbe risapere ) .
Dovrebbe essere così perchè altrimenti non si comprende come abbia fatto ad
entrare nel sito .
L' unica cosa che differenzia le varie digitazioni è che la prima l' ho
fatta premendo O-Key , scrivendo il numero su foglietto e digitandolo dopo
circa un minuto , un minuto e mezzo mentre eseguendo le procedure premevo l'
O-Key e digitavo subito il numero .
Lunedì vado in banca a farmi consegnare un nuovo codice segreto ma volevo
chiarirmi la situazione .
Ciao , Guido

GuidoBonetti

unread,
Mar 15, 2008, 7:29:10 PM3/15/08
to
"GuidoBonetti" <guyb...@virgilio.it> ha scritto nel messaggio
news:47db87f4$0$36445$4faf...@reader5.news.tin.it

Ho trovato questo :

it.comp.sicurezza.crittografia ho trovato questo :
Da: forum123(at)email.it ([proxima])
Gruppi: it.comp.sicurezza.crittografia
Organizzazione: TIN.IT (http://www.tin.it)
Data: Dec 20 2007 14:37:47

Copio ed incollo per vostra comodità alcuni passaggi :
--------------------
In breve: il token ha un orologio interno ed una chiave random preimpostata.


Il server conosce il seme utilizzato dal token e quindi riesce a verificare
la correttezza delle informazioni ricevute.
Il software di autenticazione sul server è anche in grado di correggere gli
errori di sincronia entro un certo limite; ad ogni modo è possibile
risincronizzare il token col server se dovessero risultare troppo fuori
sync.
Il token genera un numero ogni k secondi, ed ha una scadenza (pochi anni).

-----------------
Da quello che so sui token questi generano dei numeri casuali ogni tot
secondi che vengono poi combinati con il proprio PIN per creare il codice di
accesso vero e proprio.
Esempio:

il PIN è 1234
il tokencode è 12345
il codice è 123412345

quando cambia il tokencode, cambia il codice di accesso:
adesso il tokencode è 67890
il codice è quindi diventato 123467890

Il token è sincronizzato temporalmente col dispositivo su cui si deve
accedere per cui entrambi i componenti sanno sempre qual è il tokencode
generato.

Ecco perché se si combina il proprio PIN con un codice generato da un
tokencode che non è il proprio non si accede alla risorsa protetta.

Quasi sicuramente il tutto è basato su un generatore di numeri casuali
inizializzato con un numero univoco scelto da chi ha impostato l'accesso (la
banca o l'amministratore di un sistema, ad esempio).

La curiosità è sapere se il quarzo del token sgarri nel tempo e di quanto,
così da rendere ad esempio inaccessibile una risorsa dopo un tot di mesi
perché si è persa la sincronizzazione fra il server ed il token.

Secondo me più il tempo che intercorre fra un numero ed il successivo è
minore tanto più deve essere di qualità il quarzo che tiene sincronizzato il
token. Mi ricordo di alcuni orologini al quarzo da poche migliaia di lire
che sgarravano di 1 minuto in 1 mese! Se fossero montati sui token, dopo un
mese perderebbero la sincronizzazione col server...
------------------------
Ciao , Guido

GuidoBonetti

unread,
Mar 17, 2008, 5:21:13 PM3/17/08
to
"GuidoBonetti" <guyb...@virgilio.it> ha scritto nel messaggio
news:47dc5bc9$0$37193$4faf...@reader3.news.tin.it
>> Lunedě vado in banca a farmi consegnare un nuovo codice segreto ma

>> volevo chiarirmi la situazione .
>> Ciao , Guido

Andato in banca e sostituito l' O-Key .
Ora tutto ....... Okey !! ( Scusatemi l' ironia ) .
Ciao , Guido

0 new messages