Seguridad en bancos (era Re: HA)

Aldrin Martoq amartoq en dcc.uchile.cl
Mie Sep 2 13:15:18 CLT 2009


2009/9/2 Alvaro Herrera <alvherre en alvh.no-ip.org>:
> Victor Hugo dos Santos escribió:
>> entonces, en el banco me explicaron que el dispositivo funcionaba de
>> manera independiente.. o sea, el propio dispositivo generaba sus
>> códigos y en el banco ya sabían con antelación que códigos serian
>> generados en cada momento.
>>>> o sea.. son códigos preconfigurados, cuando "yo" acredito que deberían
>> de ser "pseudos-aleatorios"..
> El banco y el aparato están sincronizados con la semilla de generación
> de números aleatorios y con el reloj.  El aparato genera un número
> distinto dependiendo de esos dos factores.  Un atacante puede obtener la
> hora exacta (puesto que es un dato público), pero no tiene cómo obtener
> la semilla a menos que se la robe al banco o la obtenga de tu aparatito.

Como confirmación, entiendo que si no usas el sistema durante un
tiempo, el reloj del aparatito se atrasa o adelanta y puedes tener
problemas de descoordinación.

A mi la duda que tengo cada vez que uso el aparato es que si alguien
tiene mi clave "de memoria" y tiene la posibilidad de mirar la llave
generada por el aparatito, puede generar transacciones durante el
intervalo que es válida la llave También me late que dado que la
coordinación de los relojes no es exacta, se validan al menos dos o
tres llaves o sea la duración de una clave del aparato es el doble o
el triple...

-- 
Aldrin Martoq
http://aldrin.martoq.cl/



Más información sobre la lista de distribución Linux