Как-то "флешку" в онлайн-идентификации возможно работать?
Мой банк недавно обновил свой веб-сайт, и это изменило к лучшему, насколько я могу судить. Особенно, безопасности, кажется, были резко увеличены.
Самое главное, что они вводят довольно необычно (я такого раньше не видел) способ идентификации, который они называют ‘электронный сертификат’. В основном, вам придется идти в банк лично и парень дает крошечный, дешевый USB-модем с очень низкой мощностью. С этой точки, вам будет необходимо вставить накопитель в ваш компьютер каждый раз, когда вы хотите войти. Палка сама по себе не достаточно, вы также должны ввести свой пароль — в основном, 2-фактор-аутентификации с помощью USB-устройства второй фактор.
Как это может работать? Конечно, я верю, USB-накопитель, чтобы содержать сертификаты ключей шифрования какой-то, которые используются в процессе входа в систему, но они не требуют от пользователя установки какого-либо программного обеспечения на компьютере. Я нахожу это довольно жутко, что сайт доступен из песочницы веб-браузере без плагина/модуля панели инструментов/приложение/установить вообще, можно увидеть USB-накопитель вы просто подключен к сети. И не только см эту палку, но читать его и использовать его глубоко достаточно, чтобы Содержание журнала Вам наиболее чувствительный уровень вашего онлайн-банкинга приложение.
Я не большой любитель затыкать неизвестных устройств в мой компьютер, чтобы начать с, и мое предупреждение свет вспыхнул, когда это было мне объяснил, я выбрал другой способ идентификации (вы можете выбрать). Мне просто любопытно.
ЗЫ: эта мера явно не относится к их мобильные приложения, с смартфона нет USB-порта, но это не важно, потому что вы не можете сделать много с телефона приложение (он'ы, в основном, консультации приложение, не то, что вы можете на самом деле заработать большие платежи/переводы с).
Редактировать: нет диалогового окна открытия файла используется, что бы принять объяснение вполне понятно.
Что ваш банк дал вам это USB безопасности маркер с помощью цифрового сертификата (как это). Это стандартизированы аппаратные устройства, которые практически каждая операционная система поддерживает Plug&играть из коробки. Они очень распространены для реализации многофакторной аутентификации для систем высокой надежности в предприятии.
Ваш веб-браузер использует протокол HTTPS с использованием клиентских сертификатов для доступа к вашим банком'сайт. Он использует свои операционные системы хранилища сертификатов найти сертификат, который соответствует идентификатору сервер запросы. Если у вас есть стандартный USB Security установлен маркер, операционная система также будет искать любые сертификаты на токене.
Операционная система не может сделать процесс проверка с сервера сам по себе, потому что знак не'т допустить, чтобы прочитать закрытый ключ сертификата, хранящейся на нем напрямую. Маркер включает в себя средства для проверки. Так что закрытый ключ никогда не покидает карту памяти USB. Это означает, что даже если ваш компьютер находится под угрозой вредоносных программ, закрытый ключ сертификата'т в опасности быть украденным (но имейте в виду, что этот метод не'т предоставить никакой защиты после успешной аутентификации. Вредоносные программы все равно можно закрутить с помощью веб-браузера).
Кстати: в каком банке это? Если мой банк также будет поддерживать этот метод проверки подлинности, я могу даже начать делать онлайн-банкинга.
Один из способов это может сработать, что Chrome поддерживает Фидо U2F без плагина. Учитывая, что сейчас Chrome-это сейчас самый популярный браузер и что Chrome работает на Windows, Mac и Linux, это's не совершенно неправильно утверждать, что "работает на любом устройстве, имеющим USB порт, Windows, Mac и Linux и многое другое, и работать из коробки и".
Они утверждают, что это работает во всех браузерах или просто любой ОС?
Да, это определенно не должны быть возможной без драйверов смарт-карт. Это фундаментальный механизм защиты любого браузера. Что дает Клу, что сертификат читать без щелчка "и открыть файл" диалоговое окно, диалоговое окно Java или предварительно установив драйверы? Вы сказали, что вы выбрали другой вариант проверки.
Это звучит как USB-ключ используется, например, в банке Китая. Такая технология описана здесь.
Имея формате PKCS#11 сертификата, или № 12 в сочетании с паролем будет работать на всех лошадей. Это точно так же менеджеры паролей, как KeePass отлично работает, сочетая то, что вы знаете с чем вы должны получить 2 фактора аутентификации.
Это's наверное только через USB-считыватель смарт-карт, с установленной SIM-размера смарт-карт.
Ручная установка драйверов не требуется начиная по крайней мере с универсальные драйверы для ридера и карты уже установлены в большинстве современных ОС.
Смотрите изображения ниже Для пример такого устройства:
Есть сертификат с закрытым ключом, хранящимся на SIM-карты смарт-карты внутри читателя. Когда вы подключите его в компьютер, что сертификат смарт-карты загружается в хранилище сертификатов операционной системы. Оттуда он в основном ведет себя так же, как и любой другой сертификат, который сохраняется на компьютере и может быть использовано для доступа к защищенным ресурсам, подписание документов/почта, шифрование и др..
Это, в частности, выданный органом сертификата, которые доверяют свой банк (интернет-банкинг) и государства (в основном используется мной для обзоры ИРС вещи и запросить реальные документы).
Это'ы, скорее всего, устройство, которое претендует на клавиатуре и, таким образом, распознается любой операционной системой без необходимости специальных драйверов. Внутренне она, вероятно, использовать HOTP (или аналогичного пароля, если это было ДТП чип и батарейку) и просто "и типа" в ОТП каждый раз, когда нажимается эта кнопка, как как Yubikey или аналогичных U2F устройства.
Браузер не'т поговорить, ни узнать по USB есть; он просто указывает, что пользователь должен будет нажать физическую кнопку на устройстве (рассказать устройство, чтобы "Тип" в код, а браузер сам может'т поговорить с ним), а затем интерпретирует все нажатия клавиш (вплоть до длины кода), которые он получает с устройства.
Звучит как теоретическое представление у меня было около десяти лет назад.
Практически любая ОС поддерживает сетевые устройства USB. Ваш USB-накопитель может прикинуться сетевой картой, подключенный к локальной сети с веб-сервером в этой сети тоже. Что веб-сервер может иметь сертификаты https, тоже.
Ваш веб-браузер может сделать HTTPS-запросы на этот сервер, и обнаружив, что USB-накопитель и веб-сайт Банк Траст друг друга. Это'т рассматриваться в песочнице бежать, потому что ни браузер, ни ОС знаю, что сервер на самом деле на флешку.
IP предупреждение: чтобы, насколько мне известно, мой бывший работодатель получил патент на эту идею в большинстве юрисдикций. Связаться с патентным поверенным, прежде чем копировать эту идею.
Как и некоторые другие ответы упомянули, это скорее всего маркер безопасности USB. Думайте о нем, как считыватель смарт-карт + встроенный смарт-карты (а иногда они на самом деле реализован этот способ). Думаю, что карта ЦАК используются оборонные организации нам. Думаю, что карта ПГП. Некоторые модели как Yubikey также поддержка выступает в качестве смарт-карты.
Этот вид устройства широко используется банками в Китае, чтобы защитить свои онлайн-банкинга сайт / настольное клиентское программное обеспечение, и мой ответ основывается на личном опыте использования этих лексем в Китае.
Как вы его используете?
Когда вы подписаться на онлайн-банкинга и выбрать USB-токен, банк дает вам знак, создает пару открытый/закрытый ключ и ваш личный сертификат, и загрузить их в маркер. Вы установили пароль на токен, который находится отдельно от онлайн-банкинга логин пароль.
Вы установите драйвер, предоставляемый банком на ваш персональный компьютер, подключите токен, и перейти к Банк'веб-сайт ов. Всякий раз, когда вы войти в систему или выполнить секретную операцию (Перевод денежных средств, изменение контактной информации, разрешающий онлайн покупки и т. п.), операционная система компьютера запросит ваш пароль, знак, свет на маркер мигает в течение нескольких секунд, и транзакция проходит.
Подожди, мне нужно установить драйверы?
Да. Операционная система Windows имеет стандартный интерфейс смарт-карт, но каждая модель USB-токен все равно требует драйвер. Очень редко, обновления Windows установит нужный драйвер для вас, но в большинстве случаев вам придется скачать пакет из банка'веб-сайт ов.
Часто поддерживается только операционная система Windows, и единственный поддерживаемый браузер IE. (Они, как их некоторые элементы ActiveX.) Можно конечно в общем для смарт-карт / USB-токенов для поддержки других ОС / браузерах, см. выше карты САС; вы должны проверить совместимость с вашим банком.
Так как это аутентификации?
Браузер запрашивает у ОС спросить маркер, чтобы подписать небольшой фрагмент данных (возможно, ваши детали сделки). Токен подписывает его, используя свой закрытый ключ и сертификат. Браузер отправляет на подпись в банке. Банк проверяет подпись и признает, что только знак они дали у вас есть закрытый ключ для получения этой подписи.
Закрытый ключ никогда не покидает токен. Если правильно спроектированы, маркер не должен разглашать секретный ключ.
Прежде всего, позвольте мне заявить, что я вполне скептик иска без технического работника, что он работает на "любое устройство, которое имеет USB порт" и, независимо от браузера или операционной системы. Я бы'т быть удивлены, если поддерживаемая ОС оказалась только пара версий Windows (и, возможно, в macOS). Однако это интересно думаю, как такое устройство могло работать.
Большинство решений не требуют драйверов, как с André предложение Бори USB-клавиатуры, однако потребует некоторых дополнительных интерфейса (как аппаратной кнопки).
Все-таки пост user2720406 дал мне идею для устройства, которое действительно будет работать [в некоторых местах] для любого [включено] устройство, которое имеет USB порт:
USB-устройство будет просто содержать SIM-карты, используя для доступа в интернет самостоятельно через GPRS/3G-сетях. После этого устройство будет просто отправлять сообщения с цифровой подписью от «клиент с токеном 12312121 использует онлайн-банкинга». Онлайн-сессии не допускается, если оно было получено в последние 5 минут (плюс, возможно, другие факторы, такие как IP-адрес клиента, имеющего аналогичную геолокации IP устройства). Таким образом, USB-порт будет использоваться только для питания, и устройство полностью независимо от установленного на компьютере.
Это звучит как Yubikey и укрепите дальше. Они'ре хорошо известны и прекрасно работают. https://www.yubico.com/products/yubikey-hardware/yubikey4/
Что касается не нуждающихся в драйверах: Yubikey для идентифицирует себя как клавиатуры, так что любая машина с драйвер клавиатуры можно прочитать текст выхода из него.
Как это работает: вы нажимаете кнопку, и как Yubikey вопросам открытого ключа (из безопасного закрытого ключа, встроенных в устройство). Банк затем может авторизоваться и подтвердить, что у вас есть вещь, которую вы знаете (ваш пароль) и что у вас есть (физически охраняемая частная ключ).
Почему он'безопасная: она's не возможный для программного обеспечения на вашем компьютер, чтобы получить доступ к вашим закрытым ключом, так что вредоносная программа не может скопировать ключ и притвориться, что вы. Он должен быть физически украли у вас. (это возможно, но это's, почему вы ее сопряжение с чем-то вы знаете)
Кто их использует и почему: Google помог спроектировать как Yubikey, чтобы они могли решить проблему вредоносного ПО на компьютере, захватывая местные полномочия пока пользователь не присутствовал. Каждый инженер Google имеет одну. Я'вэ использовали их в течение многих лет и развернуты многочисленные решения 2-факторную авторизацию вокруг них.