匯豐加密小精靈的原理? - 銀行

Dora avatar
By Dora
at 2014-07-15T16:14

Table of Contents

用了一次整合帳戶的加密小精靈覺得好神奇~

現在要登入匯豐網銀(手機和電腦版亦同),

打完帳號和密碼,接著會要求輸入認證碼,

於是拿加密小精靈打入另外一組自設密碼(打錯三次就會鎖住),


這個時候就會跑出一串數字,

再把這串數字打到匯豐網銀登入的認證碼,就可以成功登入了

我不能理解的地方在於加密小精靈沒有任何傳輸界面

(難道裡面有類似SIM卡概念的遠端介面?)

但是為什麼可以同時讓網銀知道手上這台沒啥質感的認證碼?

有版友知道原理嗎?

--
Tags: 銀行

All Comments

Joe avatar
By Joe
at 2014-07-20T12:42
時間
Linda avatar
By Linda
at 2014-07-22T15:39
想了解原理的可以看這個 wiki: http://goo.gl/q0Fvx9
Enid avatar
By Enid
at 2014-07-26T14:15
簡單說就是靠時間以及不讓人知道的演算法, 以及每個加密
精靈裡面唯一的一個內碼, 算出一個會隨時間一直變動的碼,
Poppy avatar
By Poppy
at 2014-07-30T10:37
server 有紀錄每個使用者加密精靈的內碼, 再用一樣的演算
Regina avatar
By Regina
at 2014-08-02T02:46
法以及時間值, 去檢查看你輸入的碼, 是不是符合該加密精
Irma avatar
By Irma
at 2014-08-04T01:54
靈產生出來的值, 確認你是不是真的持有該加密精靈
Queena avatar
By Queena
at 2014-08-07T01:27
這東西其實很多銀行都有採用, 我手上就有國泰世華, HSBC
Adv, Citibank SG 三個這類型 OTP, 長的都一模一樣, 只是
Puput avatar
By Puput
at 2014-08-10T20:48
顏色不一樣, 操作流程也有一點小差別, 但是背後原理都是
Margaret avatar
By Margaret
at 2014-08-13T17:43
一樣是採用時間當演算法的其中一個輸入.
Delia avatar
By Delia
at 2014-08-16T00:31
其實不一定要隨身帶這台呀 你可以先產生十組 抄下來
Ursula avatar
By Ursula
at 2014-08-19T01:16
若要用時 一組一組用掉就可以了 其實就是符合機碼的數字
沒什麼特別的原理 不然還真的隨時帶一台計算機 多麻煩呀
Jacky avatar
By Jacky
at 2014-08-23T09:24
就一次先產生幾組 抄在皮夾裡 有需要時拿來都可以用
以前的渣打也有個小黑碟 我也是一次抄個幾組 不隨身帶那台
Necoo avatar
By Necoo
at 2014-08-25T06:17
給樓上的: 用時間當輸入的機種你這方法行不通, 密碼是隨
時間變化的. 你親自用過就知道了.
Hardy avatar
By Hardy
at 2014-08-26T13:34
所以抄下來後 過好幾天都可以用 所以根一樓說的"時間"無關
是google那種驗證密碼app 才跟時間有關係
Lauren avatar
By Lauren
at 2014-08-29T00:38
請樓上自己試過就知道了 我渣打那時候就一次產生多組 可以
用好幾天了
Heather avatar
By Heather
at 2014-09-02T23:04
現在在說匯豐, 你在說以前的渣打 !?
Agatha avatar
By Agatha
at 2014-09-05T07:01
甚至用好幾個禮拜 所以跟 時間 一點關係也沒有 樓上可試試
匯豐我是還沒試 但原理應該是一樣的 不會扯上時間的
Dora avatar
By Dora
at 2014-09-06T19:56
因為我的三次按錯被鎖住了 要等重寄來 沒辦法試
Eden avatar
By Eden
at 2014-09-10T00:14
其實要驗證就先產生密碼 過一段時間 再用該密碼登入
Puput avatar
By Puput
at 2014-09-12T14:21
如果可以登入 就是跟時間一點關係也沒有
google的密碼驗證app 才是跟時間有關 每30秒都換一組密碼
Zenobia avatar
By Zenobia
at 2014-09-17T00:26
超過30秒該密碼就無用 要重新產生 那個才是跟 時間 有關
因為小精靈跟手機不同 電源一不足 時間就會走慢 就完全不準
Eden avatar
By Eden
at 2014-09-19T04:12
所以不可能用 跟任何 時間 有關的 當做原理的
Blanche avatar
By Blanche
at 2014-09-22T21:10
樓上biocim的原理被我推翻掉了...剛剛我產生五組認證碼
Liam avatar
By Liam
at 2014-09-24T14:27
網銀登入網頁開著 一直重複按加密小精靈 大約每隔20秒
就會產生一組新的認證碼 然後我開始逐一測試1~5組認證碼
Hamiltion avatar
By Hamiltion
at 2014-09-28T19:51
通通都登入失敗 接著再馬上用加密小精靈產生最新驗證碼
這下才可以成功登入進去 所以有可能新版的不適用這招
Genevieve avatar
By Genevieve
at 2014-09-30T05:30
二來也推翻掉alex1973大所說的時間驗證 ...
如果真的以時間驗證..不可能為了每個人一直在生成認證碼?
Vanessa avatar
By Vanessa
at 2014-10-01T01:25
事實上他就是用時間當驗證碼運算的其中一個輸入, 你做的
實驗不就已經驗證了, 你可以產生一組密碼, 試看看等多久
Emily avatar
By Emily
at 2014-10-05T02:03
以後去用就會失效, 一般是設定成一分鐘換一組, 但是為了
Steve avatar
By Steve
at 2014-10-09T04:25
怕 OTP device 跑久了時間跟 server 不同步, 這種演算法
Charlotte avatar
By Charlotte
at 2014-10-12T03:56
一般允許前後一組的密碼也會通過驗證.
Adele avatar
By Adele
at 2014-10-13T07:47
另外關於時間同步問題, 有些這類型的驗證機制還會在偵測
到 OTP device 時間跟 server 差太多以後, 會在網銀認證
Valerie avatar
By Valerie
at 2014-10-14T23:27
畫面跳出不同的視窗, 要求拿著 OTP device 連續輸入很多
George avatar
By George
at 2014-10-16T20:06
組密碼, 全都驗證過以後, server 就會認可這個 OTP 沒問
Edwina avatar
By Edwina
at 2014-10-20T02:23
題, 並記錄下新的時間誤差值, 以後就不會再要求校正時間
誤差.
Freda avatar
By Freda
at 2014-10-21T19:42
跟時間無關~我覺得兩位大大理論都是錯的~是密碼組合問題
Yuri avatar
By Yuri
at 2014-10-25T15:37
因為我把小精靈帶去美國~時間差了十二小時~一樣可登入呀!
Vanessa avatar
By Vanessa
at 2014-10-28T01:57
所以也推翻掉a大大所說的時間驗證
Audriana avatar
By Audriana
at 2014-10-28T03:27
Wispehly: 你這推論有問題吧, 在美國雖然跟台灣有時差,
Callum avatar
By Callum
at 2014-10-30T12:15
但是 server 跟 device 又沒有連線, OTP device 是照著內
Isla avatar
By Isla
at 2014-11-01T05:47
部 RTC 不斷的推進時間, 所以無論你去到哪裡時差多少, 時
間理論上都是大致上同步的.
Noah avatar
By Noah
at 2014-11-04T16:00
這台 vasco的
Mason avatar
By Mason
at 2014-11-09T11:35
我的回答到此為止, 不會再跟各位解釋. 不相信的人, 就盡
Candice avatar
By Candice
at 2014-11-11T20:30
量抄下一堆密碼, 然後看會發生甚麼事.
Charlie avatar
By Charlie
at 2014-11-16T17:21
樓上很專業
相信很懂 OTP
Jacob avatar
By Jacob
at 2014-11-18T00:48
原則上alex說得沒錯啊
Mia avatar
By Mia
at 2014-11-22T02:41
動態密碼 匯豐的是time based
Ivy avatar
By Ivy
at 2014-11-23T07:03
時間是以UTC為基準 所以沒有時差問題 系會自己修正時差
Robert avatar
By Robert
at 2014-11-25T17:49
想了解自己去找RFC文件看
Yuri avatar
By Yuri
at 2014-11-27T14:22
推alex大
Quanna avatar
By Quanna
at 2014-11-29T22:46
Alex是對的
Queena avatar
By Queena
at 2014-12-04T10:31
有兩種一種是時間的像匯豐..一種是裡面有密碼表,按下去照
Leila avatar
By Leila
at 2014-12-04T11:47
順序跑出來...像兆豐..這種就可以先記下來..但是通常銀行
會跟你講不要一直按..因為如果超過密碼表的範圍太多的話
Sierra Rose avatar
By Sierra Rose
at 2014-12-08T04:49
是會認證失敗的..這時就要跟銀行同步密碼表的順序..
Sierra Rose avatar
By Sierra Rose
at 2014-12-12T19:38
time based 和 event based
OATH HOTP TOTP OCRA
Lily avatar
By Lily
at 2014-12-14T12:48
alex 說的是對得,上面說推翻的太瞎了
根本不管你現在人在那邊,他對應的時間是 server
跟你卡片的時間
Rachel avatar
By Rachel
at 2014-12-16T22:59
兩邊透過同樣的時間透過演算法,正常來說兩邊要一樣
Noah avatar
By Noah
at 2014-12-19T20:19
所謂的時間是和1970/1/1基準時間算到目前的timestep
Christine avatar
By Christine
at 2014-12-22T08:19
所以時差問題不會存在 TOTP標準 RFC6238
Queena avatar
By Queena
at 2014-12-23T14:48
以前新竹企銀用的是event based的 這個OTP產生和時間無關
所以可以先產生記下 只要是還沒用過的都有效 當然產生太
多 還是會發生和server端不同步問題 server上設有寬容差
Genevieve avatar
By Genevieve
at 2014-12-28T03:33
time based則是太久不用 token上的時間可能和server端有
Damian avatar
By Damian
at 2014-12-31T09:56
差異而發生不同步 精密手錶一年都會差幾秒了 便宜的token
用的料沒那麼好 一年可能會差到好幾十分鐘
Regina avatar
By Regina
at 2015-01-02T15:29
大家手上的晶片金融卡也有OTP功能 只要搭配二代讀卡機
Bennie avatar
By Bennie
at 2015-01-06T03:43
也可以產生OTP 這是event based的
Daniel avatar
By Daniel
at 2015-01-09T08:39
看推文長知識 XDDD
Robert avatar
By Robert
at 2015-01-14T04:36
永豐的 Display Card 應該也是差不多算法吧
Carol avatar
By Carol
at 2015-01-16T02:50
永豐的 display card 是 event based (跟以前渣打的一樣)
Irma avatar
By Irma
at 2015-01-19T12:51
不是 time based. 所以 display card 也可以抄很多組下來
以後慢慢用.
Mia avatar
By Mia
at 2015-01-20T03:25
alex1973是正確的,我渣打,匯豐,永豐都用過,如alex所述 :)
Noah avatar
By Noah
at 2015-01-24T21:11
這篇釣出真多強者!! m起來~
Oscar avatar
By Oscar
at 2015-01-25T19:27
小弟才學疏淺m(_ _)m 大推alex1973的專業!長知識了!
Michael avatar
By Michael
at 2015-01-27T22:26
推推 這篇厲害!!!
Daph Bay avatar
By Daph Bay
at 2015-01-30T10:01
http://tinyurl.com/ocs598k 生產商都跟你講內建 RTC 了 ..
Tracy avatar
By Tracy
at 2015-02-03T05:00
emv cap 都是 event based 沒錯
Kumar avatar
By Kumar
at 2015-02-04T05:30
最近玩event based密碼心得 event based每產生一組密碼裡面有
Edith avatar
By Edith
at 2015-02-06T09:40
一個計數器會加1 網站是你輸入密碼 網站的計數器也會加1 產生
Franklin avatar
By Franklin
at 2015-02-07T00:21
密碼 輸入到網站 兩邊一起加1 兩邊同步 但是只要網站輸入錯誤
Brianna avatar
By Brianna
at 2015-02-11T13:20
密碼 網站會加1 但是小精靈不會加1 兩邊就會不同步 看系統設定
Elizabeth avatar
By Elizabeth
at 2015-02-14T11:36
兩邊計數器的值能差多少 比如說10 就代表你只能輸入10次錯誤密
Zenobia avatar
By Zenobia
at 2015-02-14T16:29
碼的機會 超過之後小精靈就不能用了
Faithe avatar
By Faithe
at 2015-02-15T08:50
魔獸世界也是用類似的東西才能登入
Eartha avatar
By Eartha
at 2015-02-16T03:49
有聽過 hash function 嗎?
David avatar
By David
at 2015-02-16T07:20
2017年Google到這篇文章 alex大大說的是正確的
Lucy avatar
By Lucy
at 2015-02-17T18:34
厲害,長知識了,謝謝alex大
Jack avatar
By Jack
at 2015-02-19T17:26
Alex是對的 反駁的人的邏輯很 "特別"

公股行庫市占 跌破50%

Mia avatar
By Mia
at 2014-07-14T12:51
【新聞】公股行庫市占 跌破50% http://udn.com/NEWS/FINANCE/FIN4/8802304.shtml#104 來源:【經濟日報╱記者邱金蘭/台北報導】 民營銀行快速「攻城略地」,搶食市場大餅,導致八大公股行庫資產規模市占率下滑至 49%,首度跌破50%,更創有史以來最低水位,公 ...

公公併銀行 擬雙品牌營運

Jacky avatar
By Jacky
at 2014-07-14T09:48
【新聞】公公併銀行 擬雙品牌營運 http://udn.com/NEWS/FINANCE/FIN4/8799166.shtml 來源:【經濟日報╱記者夏淑賢、郭幸宜/台北報導】 據悉,財政部可能下周指定公公併的配對名單,兆豐金、第一金各自併購哪家公股金融機 構,即將明朗化。據了解,兆豐金、第一金如開始進 ...

VISA金融卡國外提款哪家較優惠

Dinah avatar
By Dinah
at 2014-07-14T09:30
※ 引述《watercolor60 (藝術家)》之銘言: : ※ [本文轉錄自 creditcard 看板 #1Jkvzpbl ] : 作者: watercolor60 (藝術家) 看板: creditcard : 標題: [問題] VISA金融卡國外提款哪家較優惠 : 時間: Tue Jul 8 15:3 ...

零存整付不吃香 多家銀行淘汰

Bethany avatar
By Bethany
at 2014-07-14T09:15
【新聞】零存整付不吃香 多家銀行淘汰 來源:【聯合報╱記者孫中英/台北報導】2014.07.14 愛存款的台灣人,卻不愛用「零存整付」存錢,多家銀行陸續淘汰此項業務。零存整付標 榜可讓小資族存到第一桶金,但許多銀行零存整付業務占整體儲蓄金額比率已低於千分之 一,愈來愈難競爭。 銀行業者指出,因為利率太低 ...

國泰世華拉拉熊i刷金融卡/存摺

Christine avatar
By Christine
at 2014-07-13T23:19
Ref. https://www.cathaybk.com.tw/cathaybk/card/event/2014/201407Rilakkuma/index.html 拉拉熊i刷金融卡/存摺:http://i.imgur.com/K8ZNqo0.png - 其實也沒什麼特別的,就只是換版面而已;不過我 ...