Token-key (thiết bị bảo mật) của ngân hàng

Chào các bác, chả là gần đây em sử dụng thêm internet banking của HSBC và được nó cấp cho một cái thiết bị bảo mật. Thiết bị bảo mật điện tử này (Token) là một máy kỹ thuật số nhỏ, có hình dạng và kích thước như các móc gắn chìa khoá, được cấp cho khách hàng sử dụng ngân hàng trực tuyến. Nó tự tạo mã bảo mật cần thiết để truy cập vào ngân hàng trực tuyến khi được sử dụng cùng với tên đăng nhập và mật khẩu. Mỗi mã bảo mật do thiết bị Token tạo ra là các dãy mã số ngẫu nhiên, bị khống chế thời gian hiệu lực (cỡ 60 giây), nói chung các bác xài internet banking thì biết, đại loại là nó tạo OTP. NHƯNG MÀ EM THẮC MẮC LÀ KHÔNG BIẾT NÓ HOẠT ĐỘNG THẾ NÀO, VÌ KHÔNG THẤY NÓ KẾT NỐI GÌ VỚI MÁY TINH HAY INTERNET GÌ HẾT VÀ NÓ BÉ TÍ TẸO NỮA. BÁC NÀO RÀNH CÁI NÀY GIẢI THÍCH HỘ EM VỚI Ạ, CHỨ EM NGHĨ CÁI GÌ MÀ NGHĨ KHÔNG THÔNG ĐƯỢC LÀ EM KHỔ TÂM LẮM! :|

kdsvht2

ĐẠI BÀNG

8 năm

em nghĩ cái này bác đến ngân hàng hỏi họ thôi , chứ nếu biết được cơ chế hoạt động chắc phải mấy ổng hacker

ntdieu

GÀ

Có gì đâu, cái này được gán với tài khoản của bác. Nó dùng số tài khoản của bác và thời gian hiện tại để tính toán theo 1 thuật toán nào đó cho ra 6 chữ số. Cái này và server chạy theo cùng 1 thuật toán cho nên số của nó tạo ra sẽ khớp với số của server thôi mà

Silent Storm

@ntdieu dạ đúng rồi, em là em đang thắc mắc làm sao mà nó và server trả về cùng 1 dãy số trong khi chuyện nó kết nối vs server qua internet là chuyện không tưởng rồi, lý giải theo cách của bác cũng hợp lý, nhưng mà em nghĩ giá trị nó trả về là ngẫu nhiên, nếu không sync với server làm sao khớp được, kể cả là như bác nói dựa vào thời gian thì vẫn có yếu tố làm cho thời gian của nó và server lệch nhau

Thời gian của server sync theo giờ internet cho nên luôn chuẩn
Thời gian của cái token được sync theo giờ chuẩn vào lúc chế tạo. Thời hạn sử dụng của token khoảng 3-4 năm là hết pin, cho nên nếu sau 3-4 năm đó nó có lệch chuẩn thì cũng chừng vài chục giây là cùng. Cái thuật toán của server nó đã tính đến chuyện đó rồi, bằng cách chấp nhận số tạo ra của 60 giây trước, hoặc 60 giây sau chẳng hạn.

Tất cả những gì tôi nói ở chủ đề này chỉ là phỏng đoán thôi nhé, tôi không có mối liên hệ nào với HSBC cả. Cho nên nếu tôi nghĩ sai thì cũng ... bình thường

@ntdieu HAY! BIG LIKE CHO BÁC 😁

hellsing82

CAO CẤP

cũng chả có gì đặc biệt đâu cô chế thì như tên gọi của nó mã bảo vệ chạy theo cơ chế vòng lặp nhảy theo chu kỳ hệ thống mã này đồng bộ với server ngân hàng.Mã thiết bị sẽ gán vào tk của bạn nên chỉ thiết bị đó mới sài cho tk của bạn.đơn giản kiểu add mac phần cứng trong mang nội bộ cái này cũng hơi giống thế

@hellsing82 wow, mấy bác rành quá (y)

BobLove

cho hỏi mình có tốn tiền để mua nó ko nhỉ,e nghịch dại mà ko bik nó bắt mua ko

Nếu bạn mở tài khoản tại ngân hàng HSBC và đăng ký internet banking thì họ sẽ gửi cho bạn miễn phí. Nếu bạn nghịch làm hư hoặc làm mất thì phí cấp lại là 220K

mailhn

Mình cũng có cùng thắc mắc với chủ thớt, đọc qua giải thích của bác ntdieu thì thấy được rằng nếu hack được cái token đó và tìm ra nguyên lý hoạt động là có thể tạo ra dc thiết bị token để hack TK người dùng của HSBC nhỉ 😁

@mailhn token chỉ giống như 1 kiều bảo mật 2 lớp thôi à, hoặc giống như người ta gửi mã OTP cho bạn qua sms vậy á, nhưng token an toàn hơn, còn hack thì có passwor trước đã r tính :D

phongit858

7 năm

Đào mộ tí, e vừa nhận được thiết bị của HSBC, các bác cho e hỏi là máy này có chống nước không vậy, e định móc vào chìa khóa xe mà sợ mưa ướt lại tốn 2 lít xin cấp lại.
Mong các bác đã dùng qua cho e xin ý kiến.

Token của HSBC nói chung thì mưa chút chút chắc chịu được, nhưng mưa ướt kéo dài thì hên xui

Do not
Submerge your Security Device in water. The Security Device has been designed to be water-resistant, but not waterproof. Submerging your Security Device in water will cause it to malfunction.

http://www.hsbc.com.sg/1/2/personal/services/personal-internet-banking/internet-banking-security-device#