Bank saya baru-baru ini dirubah website-nya, dan berubah menjadi lebih baik sejauh yang saya khawatir. Terutama, keamanan tampaknya telah secara dramatis ditingkatkan.
Yang paling penting, mereka memperkenalkan agak tidak biasa (saya belum pernah melihat hal ini sebelumnya) metode identifikasi, yang mereka sebut 'sertifikat elektronik'. Pada dasarnya, anda harus pergi ke bank pada seseorang dan orang itu memberi anda kecil, murah USB flashdisk dengan kapasitas yang sangat rendah. Dari titik ini, anda akan diminta untuk pasang stick ke komputer anda setiap kali anda ingin log in. Tongkat saja tidak cukup, anda juga harus mengetikkan kata sandi — pada dasarnya, 2-faktor otentikasi dengan perangkat USB menjadi faktor kedua.
Bagaimana ini bisa bekerja? Tentu saja, saya percaya USB stick untuk mengandung sertifikat/kunci enkripsi dari beberapa jenis, yang digunakan dalam proses login, tapi mereka tidak memerlukan pengguna untuk menginstal perangkat lunak apapun pada mesin. Saya menemukan itu agak menyeramkan bahwa sebuah situs web diakses dari sebuah sandbox web browser anda, dengan tidak ada plug-in/modul/aplikasi/toolbar diinstal apapun, dapat melihat USB stick anda hanya terpasang di. Dan tidak hanya melihat ** tongkat ini, tapi baca ini dan menggunakan konten yang sangat cukup untuk log anda untuk yang paling sensitif tingkat anda online banking app.
Saya bukan penggemar besar dari mencolokkan perangkat ke komputer saya untuk memulai dengan, dan lampu peringatan menyala ketika hal ini dijelaskan kepada saya, jadi saya pergi untuk yang lain metode identifikasi (anda dapat memilih). Aku hanya penasaran.
PS: mengukur jelas tidak berlaku untuk aplikasi mobile mereka, karena smartphone tidak memiliki port USB, tapi itu bukan masalah besar karena anda tidak bisa berbuat banyak dengan aplikasi telepon (it's terutama aplikasi konsultasi, bukan sesuatu yang anda benar-benar dapat membuat besar pembayaran/transfer dengan).
Edit: ada open file dialog yang digunakan, yang akan membuat penjelasan yang cukup jelas.
Apa yang bank anda memberi anda sebuah USB security token dengan sertifikat digital (seperti ini). Ini adalah standar perangkat keras yang hampir setiap sistem operasi yang mendukung plug&bermain out of the box. Mereka sangat umum untuk menerapkan multi-faktor otentikasi untuk tinggi-sistem keamanan di perusahaan ITU.
Browser web akan menggunakan HTTPS dengan klien berbasis sertifikat untuk mengakses bank anda's web. Menggunakan sistem operasi sertifikat store untuk menemukan aplikasi yang diinstal sertifikat yang sesuai dengan identitas webserver permintaan. Bila anda memiliki USB standar token keamanan diinstal, sistem operasi juga akan terlihat untuk setiap sertifikat pada token.
Sistem operasi tidak dapat melakukan proses verifikasi dengan webserver dengan sendirinya, karena token doesn't memungkinkan untuk membaca kunci privat dari sertifikat yang tersimpan di dalamnya secara langsung. Token mencakup perangkat keras untuk melakukan verifikasi. Sehingga kunci privat tidak pernah meninggalkan USB stick. Itu berarti bahkan jika PC anda terinfeksi oleh malware, kunci pribadi sertifikat isn't dalam bahaya yang dicuri (tapi perlu diingat bahwa metode ini doesn't memberikan perlindungan setelah otentikasi berhasil. Malware masih dapat sekrup dengan browser web anda).
By the way: bank Mana itu? Jika bank saya juga akan mendukung metode otentikasi ini, aku mungkin bahkan mulai melakukan online banking.
Salah satu cara itu bisa bekerja adalah bahwa Chrome mendukung FIDO U2F tanpa plugin. Mengingat bahwa sekarang Chrome sekarang adalah browser yang paling populer dan bahwa Chrome berjalan pada Windows, Mac, dan Linux, it's tidak benar-benar salah untuk mengklaim bahwa "ini bekerja pada perangkat apapun yang memiliki port USB, Windows, Mac, Linux, dan banyak lagi, dan bekerja out of the box".
Apakah mereka yang mengklaim bahwa ia bekerja di setiap browser atau OS?
....mereka tidak memerlukan pengguna untuk menginstal perangkat lunak apapun pada mesin.... saya pikir bahwa kemampuan untuk halaman web untuk menelusuri sistem file secara bebas tanpa tindakan pengguna yang terlalu sering dibatasi oleh default
Ya, yang pasti tidak akan mungkin tanpa smartcard driver. Ini adalah fundamental mekanisme keamanan dari browser apapun. Apa yang memberi clou bahwa sertifikat adalah membaca tanpa mengklik "buka file" dialog, Jawa dialog atau pra-instalasi driver? Anda mengatakan anda pilih verifikasi lain pilihan.
Ini terdengar seperti USB key yang digunakan, misalnya, oleh Bank Of China. Teknologi seperti dijelaskan di sini.
dikatakan kompatibel dengan "perangkat apapun yang memiliki port USB"
Memiliki PKCS#11 cert, atau #12 untuk menggabungkan dengan frasa sandi akan bekerja pada semua OSses. Ini adalah cara yang sama password manager seperti keepass bekerja, menggabungkan sesuatu yang anda tahu dengan sesuatu yang anda harus mendapatkan 2 faktor otentikasi.
It's mungkin hanya USB smartcard reader, dengan dimasukkan SIM berukuran smartcard.
Manual instalasi driver tidak diperlukan setidaknya sejak generic driver untuk pembaca kartu yang sudah dipasang di paling modern OSs.
Lihat gambar di bawah ini sebagai contoh dari perangkat tersebut:
Ada sertifikat dengan kunci pribadi disimpan pada SIM smartcard dalam pembaca. Ketika anda pasang di komputer, sertifikat dari smartcard akan dimuat ke OS sertifikat store. Dari sana ia pada dasarnya berperilaku seperti sertifikat lainnya yang disimpan pada komputer dan dapat digunakan untuk mengakses diamankan sumber daya, penandatanganan dokumen-dokumen/surat, enkripsi barang, dll.
Khusus yang satu ini adalah yang dikeluarkan oleh Cert Authority yang dipercaya oleh bank saya (web banking) dan Negara (sebagian besar digunakan oleh saya untuk IRS hal-hal terkait dan meminta dokumen-dokumen nyata).
It's kemungkinan besar perangkat yang berpura-pura menjadi keyboard dan dengan demikian diakui oleh OS tanpa memerlukan driver khusus. Secara internal, itu mungkin akan menggunakan HOTP (atau TOTP, jika itu sebuah RTC chip dan baterai) dan hanya "type" OTP setiap kali tombol ditekan, seperti Yubikey atau serupa U2F perangkat.
Browser doesn't berbicara atau mengetahui USB ada, itu hanya menginstruksikan pengguna untuk menekan tombol fisik pada perangkat (untuk memberitahu perangkat untuk "type" kode, seperti browser itu sendiri dapat't bicara itu) dan kemudian menafsirkan dengan penekanan tombol (sampai panjang kode) yang diterima berasal dari perangkat.
Kedengarannya seperti teoritis ide saya memiliki sekitar satu dekade yang lalu.
Cukup banyak setiap OS yang mendukung USB perangkat jaringan. USB flashdisk anda dapat berpura-pura menjadi sebuah kartu jaringan, terhubung ke jaringan lokal, dengan webserver pada jaringan itu juga. Bahwa webserver dapat memiliki sertifikat HTTPS juga.
Browser web anda dapat membuat permintaan HTTPS ke server web, dan menemukan bahwa USB stick dan website bank kepercayaan satu sama lain. Ini isn't dianggap sandbox melarikan diri, karena baik browser maupun OS yang tahu bahwa webserver sebenarnya pada USB stick.
IP peringatan: untuk yang terbaik dari pengetahuan saya, mantan majikan saya memegang paten pada ide ini di kebanyakan yurisdiksi. Hubungi pengacara hak paten sebelum menyalin ide ini.
Seperti beberapa jawaban yang lain disebutkan, kemungkinan ini adalah sebuah USB token keamanan. Anggap saja sebagai sebuah smart card reader + tertanam kartu pintar (dan kadang-kadang mereka benar-benar diterapkan dengan cara ini). Berpikir CAC kartu yang digunakan oleh organisasi pertahanan AS. Berpikir PGP kartu. Beberapa Yubikey model juga mendukung bertindak sebagai smart card.
Jenis perangkat ini banyak digunakan oleh bank-bank di China untuk melindungi hak-online banking / klien desktop software, dan jawaban saya adalah sebagian besar didasarkan pada pengalaman pribadi saya menggunakan token ini di Cina.
Ketika anda mendaftar untuk online banking dan memilih untuk USB token, bank memberikan token, menciptakan pasangan kunci publik/pribadi dan sertifikat pribadi anda, dan beban mereka ke dalam token. Anda mengatur password pada token, yang terpisah dari anda online banking login password.
Anda menginstal driver yang disediakan oleh bank pada komputer pribadi anda, pasang token, dan menavigasi ke bank's web. Setiap kali anda log in atau melakukan operasi sensitif (mentransfer dana, mengubah informasi kontak, otorisasi pembelian online, dll.), browser / operasi sistem meminta password token anda, lampu pada token berkedip untuk beberapa detik, dan transaksi berjalan melalui.
Ya. Sistem operasi Windows memiliki standar kartu pintar antarmuka, tetapi masing-masing model dari USB token masih memerlukan driver. Sangat jarang, Windows Update akan menginstal driver yang benar untuk anda, tetapi dalam kebanyakan kasus, anda akan memiliki untuk men-download paket dari bank's web.
Seringkali satu-satunya sistem operasi yang didukung adalah Windows, dan hanya didukung di browser IE. (Mereka seperti mereka beberapa ActiveX.) Hal ini tentu saja mungkin pada umumnya untuk smart card / USB token untuk mendukung OS lain / browser, lihat CAC kartu di atas; anda harus memeriksa kompatibilitas dengan bank anda sendiri.
Browser meminta OS untuk meminta token untuk menandatangani bagian kecil dari data yang (mungkin anda rincian transaksi). Tanda-tanda itu, menggunakan kunci privat dan sertifikat. Browser akan mengirimkan tanda tangan ke bank. Bank memverifikasi tanda tangan, dan merasa puas bahwa hanya token mereka memberi anda memiliki kunci pribadi untuk menghasilkan tanda tangan ini.
Kunci privat tidak pernah meninggalkan tanda. Jika dirancang dengan benar, token tidak boleh membocorkan kunci pribadi.
Pertama-tama, izinkan saya menyatakan bahwa saya cukup skeptis terhadap klaim oleh non-teknis karyawan yang bekerja pada "perangkat apapun yang memiliki port USB", terlepas dari browser atau OS. Saya tidak't heran jika didukung OS ternyata hanya beberapa versi Windows (dan, mungkin, MacOS). Namun, hal ini menarik untuk berpikir bagaimana alat tersebut bisa bekerja.
Kebanyakan solusi yang tidak memerlukan driver, seperti André Borie proposal keyboard usb, akan membutuhkan namun beberapa tambahan antarmuka (seperti tombol hardware).
Namun, jabatan user2720406 memberi saya ide untuk sebuah perangkat yang memang akan bekerja [di tempat-tempat tertentu] untuk [diaktifkan] perangkat yang memiliki port USB:
Perangkat usb akan hanya berisi SIM, yang menggunakan untuk mengakses internet sendiri melalui GPRS/3G. Kemudian perangkat hanya akan mengirim pesan yang ditandatangani secara digital dari «Pelanggan dengan token 12312121 menggunakan online banking». Online sesi ini tidak diperbolehkan kecuali satu diterima di 5 menit terakhir (plus mungkin faktor-faktor lain, seperti IP dari pelanggan yang memiliki kesamaan geolocation ke IP perangkat). Dengan demikian, port usb hanya akan digunakan untuk daya, dan perangkat akan benar-benar independen pada apa yang diinstal pada komputer.
Ini kedengarannya seperti sebuah Yubikey. Mereka're terkenal dan kerja besar. https://www.yubico.com/products/yubikey-hardware/yubikey4/
Mengenai tidak membutuhkan driver: Yubikey mengidentifikasi dirinya sebagai keyboard sehingga setiap mesin dengan sebuah keyboard driver dapat membaca teks output dari itu.
Cara kerjanya: Anda menekan tombol dan Yubikey isu-isu kunci publik (dari pribadi yang aman kunci tertanam di perangkat). Bank kemudian dapat mengotentikasi anda dan pastikan bahwa anda memiliki hal yang anda tahu (anda sandi) dan sesuatu yang anda miliki (anda aman secara fisik pribadi key).
Mengapa's aman: It's tidak mungkin untuk perangkat lunak anda komputer untuk mendapatkan akses ke kunci pribadi anda agar malware tidak dapat menyalin kunci dan berpura-pura menjadi anda. Itu akan harus memiliki fisik yang dicuri dari anda. (yang mungkin, tapi itu's mengapa pasangan anda dengan sesuatu yang anda tahu)
Yang menggunakan mereka dan mengapa: Google membantu desain yubikey sehingga mereka bisa memecahkan masalah malware pada komputer meraih lokal kredensial sementara pengguna tidak hadir. Setiap insinyur Google memiliki satu. I've digunakan mereka selama bertahun-tahun dan disebarkan berbagai 2fa solusi di sekitar mereka.