Forum » Informacijska varnost » Kako deluje Sparkasse TOTP?
Kako deluje Sparkasse TOTP?
WhiteAngel ::
V splošnem TOTP standard zgosti shared secret in zaporedno številko 30-sekundne epohe. Danes sem opazil, da za vstop v Sparkasse spletno banko njihov TOTP na telefonu zgenerira vsakič drugo kodo znotraj 30 sekund. Ali kdo ve kaj več?
Moja razlaga:
1. Lahko so skrajšali epoho na 1 sekundo ali manj, kar pomeni, da imajo več dela z reševanjem time shifta? Morda se zanašajo, da na Androidu NTP deluje ok in time shift ni velik?
2. Ali pa uporabljajo HOTP in štejejo poskuse? V tem primeru mi bo spletna banka crknila, če se bom preveč igral?
Obe varianti se mi zdita, da kličeta po težavah. Je še kakšna tretja kombinacija v uporabi?
Aja, njihov TOTP deluje v offline načinu, če je kdo pomislil, da "goljufa" in kaj komunicira s spletno banko v ozadju.
Moja razlaga:
1. Lahko so skrajšali epoho na 1 sekundo ali manj, kar pomeni, da imajo več dela z reševanjem time shifta? Morda se zanašajo, da na Androidu NTP deluje ok in time shift ni velik?
2. Ali pa uporabljajo HOTP in štejejo poskuse? V tem primeru mi bo spletna banka crknila, če se bom preveč igral?
Obe varianti se mi zdita, da kličeta po težavah. Je še kakšna tretja kombinacija v uporabi?
Aja, njihov TOTP deluje v offline načinu, če je kdo pomislil, da "goljufa" in kaj komunicira s spletno banko v ozadju.
- spremenil: WhiteAngel ()
MrStein ::
1. Preverijo večkrat, za +5 -5 sekund. Če se z enim ujema, si noter.
Samo kot možnost, kaj v resnici dela, ne vem.
Samo kot možnost, kaj v resnici dela, ne vem.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
GupeM ::
borisk ::
pred 10 leti ko sem še bil pri SKB banki, si prav tako imel offline OTPG, in če določeno število gesel nisi uporabil, so ti mogli na banki posinhronirzirat kalkulatorček.
fiction ::
WhiteAngel je izjavil:
V splošnem TOTP standard zgosti shared secret in zaporedno številko 30-sekundne epohe. Danes sem opazil, da za vstop v Sparkasse spletno banko njihov TOTP na telefonu zgenerira vsakič drugo kodo znotraj 30 sekund. Ali kdo ve kaj več?Meni je bilo tudi sumljivo, ker odšteva od 90. Ni šanse, da bi ravno vsakič zadel začetek intervala. Pomoje to pomeni, da so vzeli interval 1 sec in je v vsakem trenutku aktivnih 90 one-time-passwordov, kar je v primerjavi z vsemi možnostmi zanemarljivo. Verjetno je bilo to zaradi boljšega UX-a (ali pa da si prisiljen uporabljati njihovo aplikacijo). Upam, da je samo ta prilagoditev, bog ne daj, da so sami izumljali tudi kaj crypto related.
Moja razlaga:
1. Lahko so skrajšali epoho na 1 sekundo ali manj, kar pomeni, da imajo več dela z reševanjem time shifta? Morda se zanašajo, da na Androidu NTP deluje ok in time shift ni velik?
2. Ali pa uporabljajo HOTP in štejejo poskuse? V tem primeru mi bo spletna banka crknila, če se bom preveč igral?
Obe varianti se mi zdita, da kličeta po težavah. Je še kakšna tretja kombinacija v uporabi?
Aja, njihov TOTP deluje v offline načinu, če je kdo pomislil, da "goljufa" in kaj komunicira s spletno banko v ozadju.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | NLB ukinitev certifikatov ? (strani: 1 2 3 4 … 11 12 13 14 )Oddelek: Loža | 136152 (43161) | WizzardOfOZ |
| » | Digitalno bančništvo (strani: 1 2 )Oddelek: Loža | 12025 (9246) | SVGA |
| » | Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanOddelek: Novice / Zasebnost | 9446 (7913) | SeMiNeSanja |
| » | Vdor v Binance hekerje obogatil za 7000 bitcoinovOddelek: Novice / Kriptovalute | 10957 (8416) | Machete |
| » | Placevanje poloznic (strani: 1 2 )Oddelek: Loža | 22970 (18559) | drekodovce |