ну так все-таки написано,что украсть телефон сложнее. Именно украсть,а не получить данные. Так что такое..
Флешку можно повесить на цепочке на шею, а с современным телефоном это проблематично.
Более того - флешка валяется где-нибудь дома большую часть времени, а телефон таскается везде с собой и, соответственно, может быть забыт\проёбан или спизжен.
ну в сейфе это крайности, у меня в рабочий комп воткнуты все ЭЦП
но когда я их везу домой иногда, трясусь как курица над яйцом))
Ну, я человек простой - я про сейфы уже и забыл как-то)
Настолько простой, что даже вирусов на компе не ловил лет 5 ._.
Удаленная блокировка смартфонов возможна и в ведроидах и в яблоках. Можно даже вайпнуть телефон мало ли что.
Но есть ли идеальный токен, для которого есть строго математическое доказательство того что из него невозможно извлечь ключи?
Естественно, это невозможно доказать в принципе: реальная система это не код на Хаскелле, она только и состоит, что из побочных эффектов.
Вот что касается большинства типовых используемых токенов и "неизвлекаемости" ключей из онных: https://habrahabr.ru/post/306034/
Пост не об извлечении ключа, а о том, что токен с возможностью шифрования с использованием неизвлекаемого ключа можно использовать и по-другому, если этот способ не поддерживается софтом. Если использовать его как положено, ничего, конечно, не извлекается.
Но опять же не взламываемых систем не существует и не может существовать в принципе.
Софистика. Невзламываемых систем нет, вопрос в трудоемкости взлома. Сделать токен с ключом, неизвлекаемым на практике (за десять лет и $100000) -- задача уровня дипломной работы профильного студента. Необходимое оборудование -- платка микроконтроллера за 3-5 $.
это заявление слишком категорично, есть какие-то доказательства в пользу этого?
Какие могут быть доказательства в пользу совершенно рядовой вот уже десятки лет фичи? Откройте даташит к любому популярному микроконтроллеру и убедитесь в том, что такая возможность присутствует.
Если достать несколько экземпляров хорошо защищенных токенов - можно провести reverse engineering и разобрать принципиальную схему электронных компонентов.
И как знание принципиальной схемы поможет вам извлечь ключ из микросхемы (куска кремния)?
Как ты думаешь, сложно ли после такого снять дамп с токена или использовать метод дифф-анализа для получения ключа прямо с токена во время подписи? ИМХО, проблема не сильно сложнее.
Не просто "сложно" -- снять дамп памяти по прежнему невозможно, можно лишь сделать определенный вывод о производимых чипом вычислениях (что иногда позволяет выудить ключ, как в той статье). Атаки по побочным каналам вроде той, что описывается -- экзотика и срабатывают нечасто, чрезвычайно много тонкостей.
Проблема взлома систем защиты по второстепенным каналам фундаментальна, и вряд ли ее когда-нибудь можно будет полностью решить. ...
Опять софистика. Устройство может излучать что угодно, вопрос лишь в том, насколько легко установить корреляцию между характером излучения и ключом. Сделать это нерешаемой на практике задачей на текущем уровне развития техники нетрудно.
И это не считая возможности компрометации middleware которое работает между пользователем и токеном.
В том и прелесть асимметричной криптографии, что даже скомпрометированный софт никак не позволит украсть ключ, только подписать что-то здесь и сейчас.
Про телефон я имел ввиду что на него приходят смски с одноразовыми кодами(речь же шла о двухэтапной аутентификации). Вот симку и можно заблокировать без особых проблем.
Во-первых, в телефоне два верифицирующих фактора (если поддерживается банком): номер по SIM и IMEI материнки телефона (и оба должны совпадать!). Во-вторых, он крупнее. В-третьих, владелец всегда держит его при себе. В-четвертых, по умолчанию, телефон находится в состоянии блокировки, т. е. непригоден для авторизации. И таки да, большинство смартфонов поддерживают трекинг и удаленную блокировку.
Подключен сберонлайн, переходил из МегаФона на теле2 и обратно. Банк как присылал смс, так и продолжил присылать. Как я переводил бабло, так и переводу. В банке пофио какая у меня симка.
Альфабанку не пофиг, при смене симки перестают отправлять уведомления, пока с ними не свяжешься.
А то, что ваш банк не заботится о вашей безопасности, не означает, что не существует тех банков, которые заботятся.
Человек правильно сказал, а вы его высмеяли и минуса поставили.
Многоуважемый викинг, вы допустили грубейшую ошибку смешав понятия "материнки" и радиомодуля. Имей храниться в кач-ве цифровой информации в последнем, а значит в определенных случаях его так же можно изменить на желаемый. В некоторых из этих случаев даже не требуют специализированного оборудования процессоры на платформе Mediatek (MTK) яркий тому пример. Иные случаи требуют минимальных затрат на общедоступное оборудование.
В банке сбрасывают информацию о твоих предыдущих сессиях (или заводят новый эккаунт, если ранее ты этой услугой не пользовался). Затем, когда ты первый раз запускаешь мобильный банк, приложение отправляет IMEI на сервер банка. В дальнейшем, если ты переставишь симку в другой смарт, мобильный банк не будет работать, пока снова с паспортом не сбросишь его в отделении банка.
Так я и спрашиваю, как он может поддерживать аутентификацию по IMEI? Как банк узнает IMEI телефона?
на новых андроидах от именитых производителей вроде давно нельзя просто так это файл удалить, а только через дыры конкретной модели телефона, что за 15мин не сделать.
Я пользуюсь и тем, и другим. Верификация по смартфону объективно надежнее. К слову, смартфон поддерживает разные типы верификации, не только через SMS.