В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.
Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.
Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.
Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.
Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.
А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.
Увы, откровений не будет.
(Аккуратно, траффик!)
Здесь и далее по клике на картинку можно открыть полноразмерную фотографию, так что аккуратнее с траффиком!
Когда я первый раз пришел за токеном, мне вручили вот такой калькулятор:
Карта вставляется сверху. После вставки карты необходимо выбрать режим работы (А или Б — отличаются лимитами по операциям), далее ввести свой пин, после чего ввести ключ, который отправляется интернет-банком. После ввода ключа устройство выдаст ответный ключ. Вот и весь алгоритм работы.
С обратной стороны генератор выглядит вот так:
Открыть, не повредив корпус устройства, не удалось, весь периметр проклеен:
Откручиваем винты и смотрим на обычную клавиатуру:
Вот, собственно, и все кишочки. Под компаунд, закрывающий микросхему, лезть без специальных средств бесполезно, поэтому остается только догадываться о том, какой же контроллер стоит на борту.
Небольшое лирическое отступление.
При получении первого токена я сообщил сотруднику банка, что мне не нужна смс-авторизация. На что мне ответили «угу», и смс-ка о том, что такой тип авторизации включен, всё же пришла. Придя домой, я убедился, что и токен, и смс-ки работают. Это меня, безусловно, не устраивало, поэтому идти в банк еще раз всё равно пришлось бы.
В мой второй приход в банк я опять сказал, что мне нужен токен (старый безвозвратно уничтожен) и что нужно отключить смс-авторизацию. С отключением смс-ок проблем не было. Пара кликов в программе, и мне пришло смс о том, что смс отключены.
С подключением нового токена возникли вопросы. Видимо, систему в банке запустили совсем недавно, и не все сотрудники в курсе, что и как у них там работает.
Логика какая должна быть? Приходит клиент, просит завести ему новый генератор. Что нужно сделать? Наверное, отвязать старый и уже после этого привязать новый. Но, судя по тому, что мне говорил сотрудник, привязывается не токен, а карта (да, забыл упомянуть, карта должна быть чипованная, с не чипованными картами их токены не работают). По некоторому размышлению, сотрудник решил просто привязать новый токен, решив, что старый отвяжется. Токен привязался, что я и проверил на месте через мобильный интернет.
А дальше… А дальше я пришел домой и, разумеется, первым же делом решил воспользоваться старым токеном. И что бы вы думали? Разумеется, ключ от него спокойно заработал. Таким образом, у меня теперь два токена.
Да, теперь, собственно, о втором токене, который в заглавной фотографии.
Он другой фирмы. Сотрудники банка сообщили мне, что вроде он работает надежнее белого, по которому много брака. Он компактнее, и у него есть пищалка, которая срабатывает при нажатии кнопок.
Первый токен не разборный, и поэтому батарейки в нем не предполагается менять.
Вот второй с видом спереди и сзади:
Разумеется, раз у меня теперь два токена, то в одном можно передернуть батарейки и посмотреть, будет ли он после этого адекватно работать. Так вот, оба токена без проблем снова работают и после смены батареек.
Черный токен разбирается немного хитрее белого. Необходимо снять лицевую наклейку-клавиатуру, под которой обнаружатся винты, которыми лицевая панель-печатная плата прикручена к корпусу:
Откручиваем их и получаем две половинки устройства:
Основная плата крупнее:
А теперь немного личных рассуждений.
Белый калькулятор выглядит довольно топорно. Плохо, что конструкция не разборная и нельзя поменять батарейки. Не отмытый флюс на плате — тоже не очень хорошо. Зачем нужен часовой кварц, если ключ, по всей видимости, хранится в прошивке контроллера, не понятно.
Сайт производителя не блещет объемом информации. Закупочных цен на такие токены я не нашел.
Черный экземпляр является разработкой другой компании. Плата выглядит лучше, да и в целом устройство оставляет больше положительных впечатлений. Цен также не нашел.
Я не специалист по безопасности, но из статей в википедии получается, что раз батарейки не влияют на работу устройства, а в одном из токенов нет часового кварца, то используется авторизация типа OATH.
UPD.: Посыпаю голову пеплом. Как правильно замечают Cobolorum и farcaller это не токен, а всего лишь ридер и генерация ключа осуществляется в самой карте, а не в ридере. Так что не стоит паниковать, если теряете такой ридер. Главное — не терять карту.
Буду рад любым комментариям и дополнениям!
Обо всех замеченных ошибках прошу сообщать в личку.
Автор: Karlson_rwa
