→ alex1973:時間 07/15 16:18
→ alex1973:簡單說就是靠時間以及不讓人知道的演算法, 以及每個加密 07/15 16:27
→ alex1973:精靈裡面唯一的一個內碼, 算出一個會隨時間一直變動的碼, 07/15 16:27
→ alex1973:server 有紀錄每個使用者加密精靈的內碼, 再用一樣的演算 07/15 16:28
→ alex1973:法以及時間值, 去檢查看你輸入的碼, 是不是符合該加密精 07/15 16:29
→ alex1973:靈產生出來的值, 確認你是不是真的持有該加密精靈 07/15 16:30
→ alex1973:這東西其實很多銀行都有採用, 我手上就有國泰世華, HSBC 07/15 16:32
→ alex1973:Adv, Citibank SG 三個這類型 OTP, 長的都一模一樣, 只是 07/15 16:32
→ alex1973:顏色不一樣, 操作流程也有一點小差別, 但是背後原理都是 07/15 16:33
→ alex1973:一樣是採用時間當演算法的其中一個輸入. 07/15 16:34
推 biocim:其實不一定要隨身帶這台呀 你可以先產生十組 抄下來 07/15 17:52
→ biocim:若要用時 一組一組用掉就可以了 其實就是符合機碼的數字 07/15 17:53
→ biocim:沒什麼特別的原理 不然還真的隨時帶一台計算機 多麻煩呀 07/15 17:53
→ biocim:就一次先產生幾組 抄在皮夾裡 有需要時拿來都可以用 07/15 17:54
→ biocim:以前的渣打也有個小黑碟 我也是一次抄個幾組 不隨身帶那台 07/15 17:54
→ alex1973:給樓上的: 用時間當輸入的機種你這方法行不通, 密碼是隨 07/15 18:00
→ alex1973:時間變化的. 你親自用過就知道了. 07/15 18:00
推 biocim:所以抄下來後 過好幾天都可以用 所以根一樓說的"時間"無關 07/15 18:01
→ biocim:是google那種驗證密碼app 才跟時間有關係 07/15 18:01
→ biocim:請樓上自己試過就知道了 我渣打那時候就一次產生多組 可以 07/15 18:02
→ biocim:用好幾天了 07/15 18:02
→ alex1973:現在在說匯豐, 你在說以前的渣打 !? 07/15 18:03
→ biocim:甚至用好幾個禮拜 所以跟 時間 一點關係也沒有 樓上可試試 07/15 18:04
→ biocim:匯豐我是還沒試 但原理應該是一樣的 不會扯上時間的 07/15 18:04
→ biocim:因為我的三次按錯被鎖住了 要等重寄來 沒辦法試 07/15 18:05
推 biocim:其實要驗證就先產生密碼 過一段時間 再用該密碼登入 07/15 18:09
→ biocim:如果可以登入 就是跟時間一點關係也沒有 07/15 18:10
→ biocim:google的密碼驗證app 才是跟時間有關 每30秒都換一組密碼 07/15 18:10
→ biocim:超過30秒該密碼就無用 要重新產生 那個才是跟 時間 有關 07/15 18:11
→ biocim:因為小精靈跟手機不同 電源一不足 時間就會走慢 就完全不準 07/15 18:11
→ biocim:所以不可能用 跟任何 時間 有關的 當做原理的 07/15 18:12
→ tnchangc:樓上biocim的原理被我推翻掉了...剛剛我產生五組認證碼 07/15 19:32
→ tnchangc:網銀登入網頁開著 一直重複按加密小精靈 大約每隔20秒 07/15 19:33
→ tnchangc:就會產生一組新的認證碼 然後我開始逐一測試1~5組認證碼 07/15 19:33
→ tnchangc:通通都登入失敗 接著再馬上用加密小精靈產生最新驗證碼 07/15 19:34
→ tnchangc:這下才可以成功登入進去 所以有可能新版的不適用這招 07/15 19:34
→ tnchangc:二來也推翻掉alex1973大所說的時間驗證 ... 07/15 19:35
→ tnchangc:如果真的以時間驗證..不可能為了每個人一直在生成認證碼? 07/15 19:35
→ alex1973:事實上他就是用時間當驗證碼運算的其中一個輸入, 你做的 07/15 19:49
→ alex1973:實驗不就已經驗證了, 你可以產生一組密碼, 試看看等多久 07/15 19:49
→ alex1973:以後去用就會失效, 一般是設定成一分鐘換一組, 但是為了 07/15 19:50
→ alex1973:怕 OTP device 跑久了時間跟 server 不同步, 這種演算法 07/15 19:51
→ alex1973:一般允許前後一組的密碼也會通過驗證. 07/15 19:52
推 alex1973:另外關於時間同步問題, 有些這類型的驗證機制還會在偵測 07/15 19:54
→ alex1973:到 OTP device 時間跟 server 差太多以後, 會在網銀認證 07/15 19:54
→ alex1973:畫面跳出不同的視窗, 要求拿著 OTP device 連續輸入很多 07/15 19:55
→ alex1973:組密碼, 全都驗證過以後, server 就會認可這個 OTP 沒問 07/15 19:56
→ alex1973:題, 並記錄下新的時間誤差值, 以後就不會再要求校正時間 07/15 19:57
→ alex1973:誤差. 07/15 19:57
推 wispehly:跟時間無關~我覺得兩位大大理論都是錯的~是密碼組合問題 07/15 20:32
→ wispehly:因為我把小精靈帶去美國~時間差了十二小時~一樣可登入呀! 07/15 20:34
→ wispehly:所以也推翻掉a大大所說的時間驗證 07/15 20:35
推 alex1973:Wispehly: 你這推論有問題吧, 在美國雖然跟台灣有時差, 07/15 20:42
→ alex1973:但是 server 跟 device 又沒有連線, OTP device 是照著內 07/15 20:43
→ alex1973:部 RTC 不斷的推進時間, 所以無論你去到哪裡時差多少, 時 07/15 20:44
→ alex1973:間理論上都是大致上同步的. 07/15 20:44
推 now99:這台 vasco的 07/15 20:44
→ alex1973:我的回答到此為止, 不會再跟各位解釋. 不相信的人, 就盡 07/15 20:45
→ alex1973:量抄下一堆密碼, 然後看會發生甚麼事. 07/15 20:46
→ now99:樓上很專業 07/15 20:46
→ now99:相信很懂 OTP 07/15 20:46
推 pobynb:原則上alex說得沒錯啊 07/15 20:53
推 gottsuan:動態密碼 匯豐的是time based 07/15 22:03
→ gottsuan:時間是以UTC為基準 所以沒有時差問題 系會自己修正時差 07/15 22:04
→ gottsuan:想了解自己去找RFC文件看 07/15 22:05
推 krishuang:推alex大 07/15 22:27
推 louis561:Alex是對的 07/15 22:28
推 EthanBBS:有兩種一種是時間的像匯豐..一種是裡面有密碼表,按下去照 07/15 22:44
→ EthanBBS:順序跑出來...像兆豐..這種就可以先記下來..但是通常銀行 07/15 22:45
→ EthanBBS:會跟你講不要一直按..因為如果超過密碼表的範圍太多的話 07/15 22:45
→ EthanBBS:是會認證失敗的..這時就要跟銀行同步密碼表的順序.. 07/15 22:46
推 now99:time based 和 event based 07/15 22:48
→ now99:OATH HOTP TOTP OCRA 07/15 22:48
→ diabloevagto:alex 說的是對得,上面說推翻的太瞎了 07/15 23:21
→ diabloevagto:根本不管你現在人在那邊,他對應的時間是 server 07/15 23:21
→ diabloevagto:跟你卡片的時間 07/15 23:21
→ diabloevagto:兩邊透過同樣的時間透過演算法,正常來說兩邊要一樣 07/15 23:22
推 gottsuan:所謂的時間是和1970/1/1基準時間算到目前的timestep 07/15 23:45
→ gottsuan:所以時差問題不會存在 TOTP標準 RFC6238 07/15 23:46
→ gottsuan:以前新竹企銀用的是event based的 這個OTP產生和時間無關 07/15 23:47
→ gottsuan:所以可以先產生記下 只要是還沒用過的都有效 當然產生太 07/15 23:47
→ gottsuan:多 還是會發生和server端不同步問題 server上設有寬容差 07/15 23:47
→ gottsuan:time based則是太久不用 token上的時間可能和server端有 07/15 23:48
→ gottsuan:差異而發生不同步 精密手錶一年都會差幾秒了 便宜的token 07/15 23:49
→ gottsuan:用的料沒那麼好 一年可能會差到好幾十分鐘 07/15 23:49
→ gottsuan:大家手上的晶片金融卡也有OTP功能 只要搭配二代讀卡機 07/15 23:50
→ gottsuan:也可以產生OTP 這是event based的 07/15 23:51
→ royhsia:看推文長知識 XDDD 07/16 00:24
→ royhsia:永豐的 Display Card 應該也是差不多算法吧 07/16 00:25
推 alex1973:永豐的 display card 是 event based (跟以前渣打的一樣) 07/16 09:07
→ alex1973:不是 time based. 所以 display card 也可以抄很多組下來 07/16 09:08
→ alex1973:以後慢慢用. 07/16 09:08
推 kedy:alex1973是正確的,我渣打,匯豐,永豐都用過,如alex所述 :) 07/16 11:00
→ crazyghost:這篇釣出真多強者!! m起來~ 07/16 12:11
→ tnchangc:小弟才學疏淺m(_ _)m 大推alex1973的專業!長知識了! 07/16 13:52
推 Go2:推推 這篇厲害!!! 07/16 13:55
推 now99:emv cap 都是 event based 沒錯 07/16 20:53
→ wtl:最近玩event based密碼心得 event based每產生一組密碼裡面有 07/17 22:14
→ wtl:一個計數器會加1 網站是你輸入密碼 網站的計數器也會加1 產生 07/17 22:17
→ wtl:密碼 輸入到網站 兩邊一起加1 兩邊同步 但是只要網站輸入錯誤 07/17 22:18
→ wtl:密碼 網站會加1 但是小精靈不會加1 兩邊就會不同步 看系統設定 07/17 22:20
→ wtl:兩邊計數器的值能差多少 比如說10 就代表你只能輸入10次錯誤密 07/17 22:21
→ wtl:碼的機會 超過之後小精靈就不能用了 07/17 22:22
推 barbeilt:魔獸世界也是用類似的東西才能登入 07/20 02:02
推 readonly:有聽過 hash function 嗎? 07/21 23:16
推 lolikung: 2017年Google到這篇文章 alex大大說的是正確的 03/12 16:57
推 hsupochun: 厲害,長知識了,謝謝alex大 11/27 10:52
推 shawncarter: Alex是對的 反駁的人的邏輯很 "特別" 05/18 12:09