用网上银行的筒子多吗？

findcaiyzh

ingeer的方法真厉害！！

另外，动态密码到底是什么意思？

HSBC

原帖由 VIP 于 2007-9-10 12:07 发表


bankwest还有动态密码?

估计lls说的是security number吧

maribel

原帖由 袋鼠 于 2007-9-8 23:56 发表
给你一个tips，很有用的。

输入ID/password时，别用键盘，用on-screen keyboard.

我目前接触的只有ING DIRECT和CITIBANK登陆时候是ON-SCREEN KEYBOARDS啊．　

cattor

我的方法是，IE用来浏览一般东西，firefox用来上网上银行。不是因为觉得firefox更安全哈，只是想分开。如果你平常习惯用firefox，那么网上移行你就用IE。每次退出后，清空浏览器所有的本地缓存。

袋鼠

原帖由 maribel 于 2007-9-11 14:24 发表


我目前接触的只有ING DIRECT和CITIBANK登陆时候是ON-SCREEN KEYBOARDS啊．　

你的windows就有，in accessories -> accessibility

H

原帖由 ingeer 于 2007-9-10 09:09 发表
如果你的登陸名和口令含有數字的話,使用WINDOWS自帶的CALCULATOR按出數字後選COPY菜單(一定要用鼠標選,不要按CTRL-C) 然後用鼠標PASTE到輸入的地方就可以了, 這樣的話不太會中刀

樓上有位同學所說的ON-SCREEN- ...

这个方法早过时了，现在好多木马可以直接截取密码框里发出的内容，不管你是用什么方法输入的。感觉还是HSBC的动态密码实用，citibank的那个键盘还是有漏洞，因为木马可以抓取你的屏幕，同时记录鼠标点击的坐标。

不过大家也不要因噎废食了，毕竟如果要偷你的钱需要转到另一个帐号，也是有迹可循的。平时注意不在公共机器上用网银，不浏览乱七八糟的小网站，中招的可能性不大。

H

原帖由 袋鼠 于 2007-9-11 20:52 发表


你的windows就有，in accessories -> accessibility

两个概念。那个软键盘输入和”硬“键盘的效果是一样的。只有银行端提供的VIRTUAL KEYBOARD（最好是随机键盘）才有安全保障。

[ 本帖最后由 ft99810 于 2007-9-12 09:26 编辑 ]

wil

VIRTUAL KEYBOARD比普通静态密码要强一些，和hsbc的one time password还是不一个级别的。hacker可以截取所有浏览器发出的请求信息，即使密码是加密过的，加密后的字串也是固定的，最根本的就是这些都是静态密码，怎么排列组合，传出去的都是不变的。

袋鼠

原帖由 ft99810 于 2007-9-12 09:25 发表


两个概念。那个软键盘输入和”硬“键盘的效果是一样的。只有银行端提供的VIRTUAL KEYBOARD（最好是随机键盘）才有安全保障。

是吗，这个我到不知道，key stroke capture的程序可以记录键盘的输入，也可以记录这个on screen keyboard的输入？

袋鼠

我觉得最安全而且又方便的还是用secure token的。
公司的remote logon就是这种，有个secure token device, secure token每半分钟换一次，登陆要ID, paasword还有这个secure token很安全。

新加坡的银行1年前也用这种东西了，不像one time password要发到手机里麻烦一些。

VIP

这个才是正确答案.

flyspirit

一直用网上银行的，没有网银没法活啊

flyspirit

保持自己电脑无毒，是最重要的

bulaohu

目前银行的网上登录系统里我觉得OTP（like the HSBC token）最安全，但OTP本身也有漏洞，我见过< 1min crack OTP password的例子。

黑山老妖

原帖由 bulaohu 于 2007-9-12 12:21 发表
我见过< 1min crack OTP password的例子。

I think the randomization on the device must be really really bad...

VIP

I think the randomization is not on the device:)

黑山老妖

原帖由 VIP 于 2007-9-12 12:48 发表
I think the randomization is not on the device:)

So where is the randomization done? Cos the token gives a number every n seconds right? If someone can guess the next number the security system is effectively defeated.

H

原帖由 黑山老妖 于 2007-9-12 12:52 发表

So where is the randomization done? Cos the token gives a number every n seconds right? If someone can guess the next number the security system is effectively defeated.

我每次按之前都自己猜一下，最多对过2个数字，位置还不对

有人介绍一下那个1 min crack的案例吗？

VIP

我的理解是那玩意只是个接收器.如果动态密码由它产生,它还需要发射装置.

H

应该没那么复杂。我的理解是这个东西时间跟服务器同步，产生的随机码在登录时输入，传送到服务器后用特殊算法验算（跟你帐号关联，所以一个人的随机密码别人用不了）。随机码多长时间过期倒没研究过。

如果是接收器，电池电力应该不够，而且需要象GPS一样，全球都可以接收，这成本就太高了。

VIP

那个东西确实在无线通讯.上飞机时机场要求托运.

黑山老妖

原帖由 VIP 于 2007-9-12 14:06 发表
那个东西确实在无线通讯

我觉得不太可能。如果我在地下室那就没信号了。这东西就不工作了？

bulaohu

http://en.wikipedia.org/wiki/One-time_password

http://en.wikipedia.org/wiki/Man-in-the-middle_attack

daisydu

网上银行现在都有U盾啊，可以申请个U盾或口令卡比较安全。
尽量不要随便在其它人的电脑上登陆！！！

wil

原帖由 ft99810 于 2007-9-12 13:22 发表
应该没那么复杂。我的理解是这个东西时间跟服务器同步，产生的随机码在登录时输入，传送到服务器后用特殊算法验算（跟你帐号关联，所以一个人的随机密码别人用不了）。随机码多长时间过期倒没研究过。

如果是接 ...

是的，使用之前需要和服务器同步一下，在服务器数据库里每个客户都对应一个分配的自串，这个字串就是种子，随即算法硬件写入到token里面，每7秒钟演算一次，同样在服务器那边也是，所以两者能保持同步。

随机算法都是不可逆算法，几乎不可能根据密码推算出随机算法。破解方法，用户输入密码后，木马拦阻用户登陆，然后email这个密码到hacker手里，hacker就可以登陆了，但这一切需要在7秒内完成。

VIP

是我错了.因为以前有朋友上飞机时,被告知这是个通讯工具,必须托运.从此所以就有了这个错误认识.

ingeer

現在的木馬是越來越強了，象我這樣的IT專業的人都不太敢亂敲口令。。我自己的一些網上的帳戶口令都用自己寫的程序加密過集中放在yahoo的mail裏面，自己PC上也有COPY，以前是明文寫在TXT文件裏放在桌面上的，現在沒這個膽。。 呵呵

網絡銀行的安全在澳洲來講應該是HSBC的TOKEN最安全了，除非HSBC的Encrypt Algorism 被破解，要不然一般是不太會有問題的

上面很多同學討論了這種OTP的原理, 我的理解是這樣的:

1) HSBC的主機和Token內部都有一個Encryption Algorism, 至少應該包含2個函數 f(x) 和 g(x) , 也許為了加強保密和Reverse-Engineering, 可能使用更多層或更多元的函數
     f(x) 是主要的Encryption Step
     g(x) 是把 f(x) 產生的 seed 再次計算得出 6-digit-key
2) 第一次按下token產生6位數字的時候
     x2 = g(f(x1))  --  這裏 x1 = token serial number, 在token上面可以找到這個號碼
    以後每次按下token時
     x2 = g(f(x1))   x1 為上次計算的中間結果 f(x1) ..
    簡單來講 x1應該是存儲在token上的類似於NVRAM介質中(很有可能也是用另一個加密算法加密過再存儲), 第一次出廠時的VALUE即為serial number, 所以當你激活TOKEN時在HSBC的網頁上要求輸入seral number和按下產生的數字

    這種算法可以迭代計算N次, 這樣當使用者不小心按到TOKEN, 即SKIP了產生序列中的某幾個也不會有問題, 當然N一定是有次數限制的, 總不能讓你老是按TOKEN玩吧?

ingeer

是的，使用之前需要和服务器同步一下，在服务器数据库里每个客户都对应一个分配的自串，这个字串就是种子，随即算法硬件写入到token里面，每7秒钟演算一次，同样在服务器那边也是，所以两者能保持同步。

随机算法都是不可逆算法，几乎不可能根据密码推算出随机算法。破解方法，用户输入密码后，木马拦阻用户登陆，然后email这个密码到hacker手里，hacker就可以登陆了，但这一切需要在7秒内完成。

呵呵, 這種事情好象MISSIOM IMPOSSIBLE裏面場景差不多了.. 我想現在的HACKER不會這麼有空... 使用網上銀行的到底還是些小用戶... 真正的錢人都是打電話到銀行的VIP客服解決問題的...

VIP

哦,原来是根据按token的次数对照的.要是迭代的N小于100,token被按100次是不是就报废了?
那么如果我刚用网银输入了x10,现在按token10次,下次用网银时TOKEN就是x20了.如果服务器是迭代计算,是不是从x11到x20都算对?如果那样的话,岂不是连按10次记下来,以后10次可以不用token了?也许里面还有个时钟,时间也会参与加密吧.

ingeer

服務器只要在1-N次運算中碰到第一個MATCH的KEY就算你正確, 然後把MATCH的計算中間結果存下來, 保持和TOKEN同步

時鍾同步對TOKEN來說是不太可能的, 這麼小的設備要保持高精度時間不容易...

[ 本帖最后由 ingeer 于 2007-9-12 14:59 编辑 ]