Что внутри у токена двухфакторной авторизации?
В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.Увы, откровений не будет.
(Аккуратно, траффик!)
Здесь и далее по клике на картинку можно открыть полноразмерную фотографию, так что аккуратнее с траффиком!
Когда я первый раз пришел за токеном, мне вручили вот такой калькулятор:
Карта вставляется сверху. После вставки карты необходимо выбрать режим работы (А или Б — отличаются лимитами по операциям), далее ввести свой пин, после чего ввести ключ, который отправляется интернет-банком. После ввода ключа устройство выдаст ответный ключ. Вот и весь алгоритм работы.
С обратной стороны генератор выглядит вот так:
Открыть, не повредив корпус устройства, не удалось, весь периметр проклеен:
Откручиваем винты и смотрим на обычную клавиатуру:
Вот, собственно, и все кишочки. Под компаунд, закрывающий микросхему, лезть без специальных средств бесполезно, поэтому остается только догадываться о том, какой же контроллер стоит на борту.
Небольшое лирическое отступление.
Прежде, чем вскрывать этот токен, я озаботился получением второго. И вот тут есть интересные подробности.При получении первого токена я сообщил сотруднику банка, что мне не нужна смс-авторизация. На что мне ответили «угу», и смс-ка о том, что такой тип авторизации включен, всё же пришла. Придя домой, я убедился, что и токен, и смс-ки работают. Это меня, безусловно, не устраивало, поэтому идти в банк еще раз всё равно пришлось бы.В мой второй приход в банк я опять сказал, что мне нужен токен (старый безвозвратно уничтожен) и что нужно отключить смс-авторизацию. С отключением смс-ок проблем не было. Пара кликов в программе, и мне пришло смс о том, что смс отключены.С подключением нового токена возникли вопросы. Видимо, систему в банке запустили совсем недавно, и не все сотрудники в курсе, что и как у них там работает.Логика какая должна быть? Приходит клиент, просит завести ему новый генератор. Что нужно сделать? Наверное, отвязать старый и уже после этого привязать новый. Но, судя по тому, что мне говорил сотрудник, привязывается не токен, а карта (да, забыл упомянуть, карта должна быть чипованная, с не чипованными картами их токены не работают). По некоторому размышлению, сотрудник решил просто привязать новый токен, решив, что старый отвяжется. Токен привязался, что я и проверил на месте через мобильный интернет.А дальше… А дальше я пришел домой и, разумеется, первым же делом решил воспользоваться старым токеном. И что бы вы думали? Разумеется, ключ от него спокойно заработал. Таким образом, у меня теперь два токена. Поэтому, после регистрации токена в системе в случае его неработоспособности не выкидывайте токен! Его можно постараться оживить, и тогда плакали ваши денежки! Полагаю, поможет только экстерминатус физическое уничтожение устройства. Судя по всему, система либо не умеет отвязывать токены, либо это нужно ну уж очень хитро делать. Уважаемые представители банка, наверняка вы читаете эту статью и узнали свои устройства! Пожалуйста, сделайте выводы!
Да, теперь, собственно, о втором токене, который в заглавной фотографии.Он другой фирмы. Сотрудники банка сообщили мне, что вроде он работает надежнее белого, по которому много брака. Он компактнее, и у него есть пищалка, которая срабатывает при нажатии кнопок.
Первый токен не разборный, и поэтому батарейки в нем не предполагается менять.Вот второй с видом спереди и сзади:
Разумеется, раз у меня теперь два токена, то в одном можно передернуть батарейки и посмотреть, будет ли он после этого адекватно работать. Так вот, оба токена без проблем снова работают и после смены батареек.
Черный токен разбирается немного хитрее белого. Необходимо снять лицевую наклейку-клавиатуру, под которой обнаружатся винты, которыми лицевая панель-печатная плата прикручена к корпусу:
Откручиваем их и получаем две половинки устройства:
Основная плата крупнее:
А теперь немного личных рассуждений.Белый калькулятор выглядит довольно топорно. Плохо, что конструкция не разборная и нельзя поменять батарейки. Не отмытый флюс на плате — тоже не очень хорошо. Зачем нужен часовой кварц, если ключ, по всей видимости, хранится в прошивке контроллера, не понятно.Сайт производителя не блещет объемом информации. Закупочных цен на такие токены я не нашел.
Черный экземпляр является разработкой другой компании. Плата выглядит лучше, да и в целом устройство оставляет больше положительных впечатлений. Цен также не нашел.
Я не специалист по безопасности, но из статей в википедии получается, что раз батарейки не влияют на работу устройства, а в одном из токенов нет часового кварца, то используется авторизация типа OATH.
Буду рад любым комментариям и дополнениям! Обо всех замеченных ошибках прошу сообщать в личку.
