Что внутри у ридера для двухфакторной авторизации?

в 15:29, , рубрики: token, гик-порно, двухфакторная аутентификация, Железо, электронные карты

Что внутри у ридера для двухфакторной авторизации?

В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.
Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.
Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.
Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.
Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.
А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.
Увы, откровений не будет.

(Аккуратно, траффик!)

Здесь и далее по клике на картинку можно открыть полноразмерную фотографию, так что аккуратнее с траффиком!

Когда я первый раз пришел за токеном, мне вручили вот такой калькулятор:

Что внутри у ридера для двухфакторной авторизации?

Карта вставляется сверху. После вставки карты необходимо выбрать режим работы (А или Б — отличаются лимитами по операциям), далее ввести свой пин, после чего ввести ключ, который отправляется интернет-банком. После ввода ключа устройство выдаст ответный ключ. Вот и весь алгоритм работы.

С обратной стороны генератор выглядит вот так:

Что внутри у ридера для двухфакторной авторизации?

Открыть, не повредив корпус устройства, не удалось, весь периметр проклеен:

Что внутри у ридера для двухфакторной авторизации?

Откручиваем винты и смотрим на обычную клавиатуру:

Что внутри у ридера для двухфакторной авторизации?

Вот, собственно, и все кишочки. Под компаунд, закрывающий микросхему, лезть без специальных средств бесполезно, поэтому остается только догадываться о том, какой же контроллер стоит на борту.

Небольшое лирическое отступление.

Уже не актуальная история про выдачу токенаридера

Прежде, чем вскрывать этот токен, я озаботился получением второго. И вот тут есть интересные подробности.
При получении первого токена я сообщил сотруднику банка, что мне не нужна смс-авторизация. На что мне ответили «угу», и смс-ка о том, что такой тип авторизации включен, всё же пришла. Придя домой, я убедился, что и токен, и смс-ки работают. Это меня, безусловно, не устраивало, поэтому идти в банк еще раз всё равно пришлось бы.
В мой второй приход в банк я опять сказал, что мне нужен токен (старый безвозвратно уничтожен) и что нужно отключить смс-авторизацию. С отключением смс-ок проблем не было. Пара кликов в программе, и мне пришло смс о том, что смс отключены.
С подключением нового токена возникли вопросы. Видимо, систему в банке запустили совсем недавно, и не все сотрудники в курсе, что и как у них там работает.
Логика какая должна быть? Приходит клиент, просит завести ему новый генератор. Что нужно сделать? Наверное, отвязать старый и уже после этого привязать новый. Но, судя по тому, что мне говорил сотрудник, привязывается не токен, а карта (да, забыл упомянуть, карта должна быть чипованная, с не чипованными картами их токены не работают). По некоторому размышлению, сотрудник решил просто привязать новый токен, решив, что старый отвяжется. Токен привязался, что я и проверил на месте через мобильный интернет.
А дальше… А дальше я пришел домой и, разумеется, первым же делом решил воспользоваться старым токеном. И что бы вы думали? Разумеется, ключ от него спокойно заработал. Таким образом, у меня теперь два токена. Поэтому, после регистрации токена в системе в случае его неработоспособности не выкидывайте токен! Его можно постараться оживить, и тогда плакали ваши денежки! Полагаю, поможет только экстерминатус физическое уничтожение устройства. Судя по всему, система либо не умеет отвязывать токены, либо это нужно ну уж очень хитро делать. Уважаемые представители банка, наверняка вы читаете эту статью и узнали свои устройства! Пожалуйста, сделайте выводы!

Да, теперь, собственно, о втором токене, который в заглавной фотографии.
Он другой фирмы. Сотрудники банка сообщили мне, что вроде он работает надежнее белого, по которому много брака. Он компактнее, и у него есть пищалка, которая срабатывает при нажатии кнопок.

Первый токен не разборный, и поэтому батарейки в нем не предполагается менять.
Вот второй с видом спереди и сзади:

Что внутри у ридера для двухфакторной авторизации?

Что внутри у ридера для двухфакторной авторизации?

Разумеется, раз у меня теперь два токена, то в одном можно передернуть батарейки и посмотреть, будет ли он после этого адекватно работать. Так вот, оба токена без проблем снова работают и после смены батареек.

Черный токен разбирается немного хитрее белого. Необходимо снять лицевую наклейку-клавиатуру, под которой обнаружатся винты, которыми лицевая панель-печатная плата прикручена к корпусу:

Что внутри у ридера для двухфакторной авторизации?

Откручиваем их и получаем две половинки устройства:

Что внутри у ридера для двухфакторной авторизации?

Основная плата крупнее:

Что внутри у ридера для двухфакторной авторизации?

А теперь немного личных рассуждений.
Белый калькулятор выглядит довольно топорно. Плохо, что конструкция не разборная и нельзя поменять батарейки. Не отмытый флюс на плате — тоже не очень хорошо. Зачем нужен часовой кварц, если ключ, по всей видимости, хранится в прошивке контроллера, не понятно.
Сайт производителя не блещет объемом информации. Закупочных цен на такие токены я не нашел.

Черный экземпляр является разработкой другой компании. Плата выглядит лучше, да и в целом устройство оставляет больше положительных впечатлений. Цен также не нашел.

Я не специалист по безопасности, но из статей в википедии получается, что раз батарейки не влияют на работу устройства, а в одном из токенов нет часового кварца, то используется авторизация типа OATH.

UPD.: Посыпаю голову пеплом. Как правильно замечают Cobolorum и farcaller это не токен, а всего лишь ридер и генерация ключа осуществляется в самой карте, а не в ридере. Так что не стоит паниковать, если теряете такой ридер. Главное — не терять карту.

Буду рад любым комментариям и дополнениям!
Обо всех замеченных ошибках прошу сообщать в личку.

Автор: Karlson_rwa

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js