Ik was vandaag aan het telebankieren, en iedere keer als ik dat doe denk ik: "Fantastisch! Hoe doen ze het?"
Met andere woorden: ik ben erg benieuwd naar de werking van de Random Reader van de Rabobank (of die van ABN Amro, Postbank etc.). Hoe controleert de website van de bank of de code die je invoert ook daadwerkelijk de code is die op je random reader staat? Waarschijnlijk iets met tijd, maar mijn reader loopt een uurtje achter en toch werkt het allemaal.
En de site van bv. de rabobank, weet iemand in welke taal is die geschreven (dat gedeelte wat met de random reader werkt)?
Liefst zo precies mogelijk. Van de site van de Random Reader (en ook die van de ABN Amro) werd ik niet veel wijzer, maar dat zal wel beveiliging zijn :)
Natuurlijk is het niet zo makkelijk als ik zeg dat het is, maar het principe is vrij eenvoudig, als je bedenkt dat je maar een beperkt aantal gegevens hebt:
-Rekening nummer
-Pin code
-Tijd
Die kun je natuurlijk op heel veel manieren met elkaar combineren, maar het is maar een 8 cijferige code, dat is voor coderingen een spreekwoordelijk eitje om te hacken. Waarschijnlijk zullen we het nooit weten, althans, dat hoop ik van harte :).
Ik weet dat de postbank met "wachtwoord" + tan codes die door door de server worden gemaakt + verzonden via sms
Hoe het met de Postbank werkt heb ik nooit precies begrepen. Ik heb wel eens gezien dat klanten van de Postbank een lijstje kregen met die TAN-codes erop, maar sommigen gebruiken ook een reader (of was dat ABN AMRO?). Dat het wachtwoord per sms verzonden wordt is trouwens wel makkelijker, maar ook onveiliger.
Het moet wel zo zijn dat ze gebruik maken van de tijd, omdat een code na een aantal minuten weer verloopt. Ze zullen dus een soort hash nemen van jouw pincode in combinatie met de tijd en je rekeningnummer, zodoende komt er een 8 cijferige code uit die ze kunnen controleren, omdat ze het berekeningsalgoritme kennen. Uiteindelijk zullen er meerdere mogelijkheden per minuut zijn, omdat een code meerdere minuten geldig is.
Als ik daar zo over nadenk is het volgens mij nog niet eens zo moeilijk te achterhalen. Maar brute force zal niet werken, dus is het waarschijnlijk toch moeilijk.
Met het controleren werkt het net zo. Echter wordt dan naast de tijd ook het controle getal meegenomen.
Ja, dat dacht ik dus ook, maar dan moet de tijd op de Random Reader wel altijd kloppen (en vrij nauwkeurig ook?). Waarschijnlijk kan je om die reden de tijd ook niet veranderen, noch de batterij zelf verwisselen. Dat doen levert een onbruikbare reader op.
De server van de Rabobank zal dan ook wel een verbinding met een atoomklok hebben of zoiets :)
Overigens denk ik toch dat het algoritme wat lastiger te achterhalen is dan Martin denkt; volgens mij is de werking een van de geavanceerdere manieren van ICT-beveiliging. Dat moet ook wel, anders zou niemand telebankieren. Op zich wel interessant om dat algoritme uit te rekenen, als dat kan.
Via SMS onveilig hoezo.
Je kan maar een SMS ontvangen + beperkt geldig. Daarnaast moet je inloggen via gebruikersnaam + wachtwoord. En als je geld wilt over wilt maken moet je beschikken overzijn telefoon + gebruikersnaam + wachtwoord.
Natuurlijk is het niet zo makkelijk als ik zeg dat het is, maar het principe is vrij eenvoudig, als je bedenkt dat je maar een beperkt aantal gegevens hebt:
-Rekening nummer
-Pin code
-Tijd
Die kun je natuurlijk op heel veel manieren met elkaar combineren, maar het is maar een 8 cijferige code, dat is voor coderingen een spreekwoordelijk eitje om te hacken. Waarschijnlijk zullen we het nooit weten, althans, dat hoop ik van harte :).
Volgens mij kunnen ze nog wel meer variable toevoegen hoor, als je bij elke tijd nog een andere willekeurig getal toevoegd en dat per pasnummer ook nogeens verschillend doet dan kun je dat nimmer achterhalen, het enige wat je kunt proberen is het te omzeilen.
Heb de patenten die op de achterkant staan vermeld gegoogeld. Ajb ;) Kasper heeft gelijk.
A semiconductor device that functions as a key to control access to a software program resident in a computer. The device includes a continuously running pulse generator that produces an output representative of real time, a shift register permanently storing a unique number and circuitry for executing an algorithm that combines real time and the permanently stored unique number to produce a password. The password is input to the computer. The computer is coded to execute an equivalent algorithm to produce a password within the computer. The two passwords are compared and access to the computer program is afforded only if they bear a prescribed relationship. The computer can be coded to produce on the video display thereof a time-space pattern on the computer video display, circuitry for deriving the stimulus number therefrom, and circuitry for processing the stimulus number so that the password displayed by the key is a function of the value of the stimulus number. The computer executes a similar procedure on the stimulus number so that access to the software program is afforded only if correspondence exists between the user input password and the password generated in the computer.
