※ 引述《Hadrian (Let Right Be Done)》之銘言:
: 我用過新竹商銀的動態密碼產生器
: 以下為不負責任資訊,我忘了從那裡看來的
: 可能有錯誤
: 這種動態密碼,好像有算次數
: 例如,登入第幾次,就相對應第幾次按出的密碼
: 如果按的次數和輸入密碼的次數對不起來,那就沒有用
這其實只是個簡單的小技術而已
他那個產生器, 和網站伺服器共有上次交換成功的一組 password
和你的產生器編號
然後可以利用最後一次成功的 password 推算出下一組 password
Ex:
123456 ---------------> 0987654321 (取 654321)
(Last passwd) SN: 12345678 (New passwd)
如果你送過去的 password 和網站那裡算出來的不一樣
那就拿新的再算一次後再次比對, 最多往後算五十筆 password
(用來避免有人按了沒輸入)
這樣的好處是.... 安全
演算法本身可以不用公開
如果演算法本身被破解, 也需要別人手上那一個產生器的編號
而那一組編號是不會在網路上傳送 (就算你能破 SSL 也偷聽不到那組編號)
任何一組 password 只用一次
亂猜的話猜中機會萬分之五, 猜錯四次就鎖帳號...
如果有人偷了別人的產生器, 那也得知道另一組密碼和身份証字號
壞處是: 這小東西好像不能從 USB 充電...
搞丟了要花 NT350...
忘了帶出門就沒網銀了...
--
: 我用過新竹商銀的動態密碼產生器
: 以下為不負責任資訊,我忘了從那裡看來的
: 可能有錯誤
: 這種動態密碼,好像有算次數
: 例如,登入第幾次,就相對應第幾次按出的密碼
: 如果按的次數和輸入密碼的次數對不起來,那就沒有用
這其實只是個簡單的小技術而已
他那個產生器, 和網站伺服器共有上次交換成功的一組 password
和你的產生器編號
然後可以利用最後一次成功的 password 推算出下一組 password
Ex:
123456 ---------------> 0987654321 (取 654321)
(Last passwd) SN: 12345678 (New passwd)
如果你送過去的 password 和網站那裡算出來的不一樣
那就拿新的再算一次後再次比對, 最多往後算五十筆 password
(用來避免有人按了沒輸入)
這樣的好處是.... 安全
演算法本身可以不用公開
如果演算法本身被破解, 也需要別人手上那一個產生器的編號
而那一組編號是不會在網路上傳送 (就算你能破 SSL 也偷聽不到那組編號)
任何一組 password 只用一次
亂猜的話猜中機會萬分之五, 猜錯四次就鎖帳號...
如果有人偷了別人的產生器, 那也得知道另一組密碼和身份証字號
壞處是: 這小東西好像不能從 USB 充電...
搞丟了要花 NT350...
忘了帶出門就沒網銀了...
--
All Comments