Ik was vandaag aan het telebankieren, en iedere keer als ik dat doe denk ik: "Fantastisch! Hoe doen ze het?"
Met andere woorden: ik ben erg benieuwd naar de werking van de Random Reader van de Rabobank (of die van ABN Amro, Postbank etc.). Hoe controleert de website van de bank of de code die je invoert ook daadwerkelijk de code is die op je random reader staat? Waarschijnlijk iets met tijd, maar mijn reader loopt een uurtje achter en toch werkt het allemaal.
En de site van bv. de rabobank, weet iemand in welke taal is die geschreven (dat gedeelte wat met de random reader werkt)?
Liefst zo precies mogelijk. Van de site van de Random Reader (en ook die van de ABN Amro) werd ik niet veel wijzer, maar dat zal wel beveiliging zijn :)
Die site had ik uiteraard al gevonden, maar dat is meer de gebruiksaanwijzing van de Random Reader. Ik ben meer benieuwd naar de interne werking.
Hoe genereert de Random Reader iedere keer een andere code en hoe weet de website van de Rabobank dat die code correct is en een andere fout?
Als je moet betalen bij de Rabobank, moet je eerst een controlegetal invoeren die op de Rabobanksite staat, en dan krijg je een getal terug van de Random Reader die je weer moet invoeren (signeercode; zie link van Hipska). Hoe worden die getallen gegenereerd?
En terzijde:
Als je 3x de verkeerde pin invoert, wordt je chip geblokkeerd (niet alleen voor de Random Reader, maar ook voor de gewone 'chipknip-automaten'). Kan de Random Reader naar de chip schrijven?
Ik heb zo'n vermoeden dat Kasper bedoeld wat voor mechanisme gebruikt wordt om de code te controleren aangezien het apparaat niet aan de pc vast zit.
Ik ben ook benieuwd, dus als iemand de oplossing heeft..
Ik weet het dus niet, maar als ik er zo over nadenk moet het eigenlijk wel zo zijn dat de code die je invoert op een vast manier om wordt gezet naar de uitvoer. Dus invoercode 12 levert altijd een 34 op als antwoord, maar dan met grotere getallen.
Anders zou ik geen idee hebben hoe er gegevens overgezet kunnen worden tussen pc en random reader.
Er zitten geloof ik ook geen wisselbare batterijen in het apparaat? Dat zou kunnen net zoals er ook horloges zijn die beweging om zetten in elektrische energie. Zo veel stroom verbruikt dat apparaatje niet.
En bij het blokkeren van een pas moet je een nieuwe pas aanvragen geloof ik? Dan wordt er waarschijnlijk contact gemaakt met de chip ofzo, waardoor de gegevens erop gewoon vernietigd worden en de pas onbruikbaar is.
Ben benieuwd of iemand het weet en of ik in de buurt zit :P
Als de batterij voor 75% vol is, adviseert de Rabobank om een nieuwe reader te gaan halen. Ik heb wel eens gehad dat mijn reader 40% vol was, en toen ging hij foutieve codes genereren.
Ik vermoed dat dat komt omdat door die zwakke batterij de interne klok verkeerd gaat lopen en dat op basis van tijd de code wordt aangemaakt. Net zoals je microtime() gebruikt in PHP, zoiets :)
De code van je Random Reader is overigens ook maar tijdelijk geldig, na enkele minuten kan je niet meer inloggen met die code.
Maar op mijn reader loopt de klok een uur achter. Ofwel ze houden geen rekening met zomer-/wintertijd , ofwel ze hanteren UTC, ofwel mijn gehele theorie van de tijdgebaseerde code is niet goed :)
Ik weet dat de postbank met "wachtwoord" + tan codes die door door de server worden gemaakt + verzonden via sms
?
Onbekende gebruiker
16-01-2006 09:10
Het moet wel zo zijn dat ze gebruik maken van de tijd, omdat een code na een aantal minuten weer verloopt. Ze zullen dus een soort hash nemen van jouw pincode in combinatie met de tijd en je rekeningnummer, zodoende komt er een 8 cijferige code uit die ze kunnen controleren, omdat ze het berekeningsalgoritme kennen. Uiteindelijk zullen er meerdere mogelijkheden per minuut zijn, omdat een code meerdere minuten geldig is.
Als ik daar zo over nadenk is het volgens mij nog niet eens zo moeilijk te achterhalen. Maar brute force zal niet werken, dus is het waarschijnlijk toch moeilijk.
Met het controleren werkt het net zo. Echter wordt dan naast de tijd ook het controle getal meegenomen.
Ik weet dat de postbank met "wachtwoord" + tan codes die door door de server worden gemaakt + verzonden via sms
Hoe het met de Postbank werkt heb ik nooit precies begrepen. Ik heb wel eens gezien dat klanten van de Postbank een lijstje kregen met die TAN-codes erop, maar sommigen gebruiken ook een reader (of was dat ABN AMRO?). Dat het wachtwoord per sms verzonden wordt is trouwens wel makkelijker, maar ook onveiliger.
Het moet wel zo zijn dat ze gebruik maken van de tijd, omdat een code na een aantal minuten weer verloopt. Ze zullen dus een soort hash nemen van jouw pincode in combinatie met de tijd en je rekeningnummer, zodoende komt er een 8 cijferige code uit die ze kunnen controleren, omdat ze het berekeningsalgoritme kennen. Uiteindelijk zullen er meerdere mogelijkheden per minuut zijn, omdat een code meerdere minuten geldig is.
Als ik daar zo over nadenk is het volgens mij nog niet eens zo moeilijk te achterhalen. Maar brute force zal niet werken, dus is het waarschijnlijk toch moeilijk.
Met het controleren werkt het net zo. Echter wordt dan naast de tijd ook het controle getal meegenomen.
Ja, dat dacht ik dus ook, maar dan moet de tijd op de Random Reader wel altijd kloppen (en vrij nauwkeurig ook?). Waarschijnlijk kan je om die reden de tijd ook niet veranderen, noch de batterij zelf verwisselen. Dat doen levert een onbruikbare reader op.
De server van de Rabobank zal dan ook wel een verbinding met een atoomklok hebben of zoiets :)
Overigens denk ik toch dat het algoritme wat lastiger te achterhalen is dan Martin denkt; volgens mij is de werking een van de geavanceerdere manieren van ICT-beveiliging. Dat moet ook wel, anders zou niemand telebankieren. Op zich wel interessant om dat algoritme uit te rekenen, als dat kan.
