Witam,

Prowadze rozmowy z jednym z bankow na temat mozliwosci wdrozenia
systemu autoryzacji za pomoca hasel jednorazowych w oparciu o token
zainstalowany w telefonie komorkowym klienta.

Uzytkownik aplikacje sciaga sobie osobiscie z sieci,
a w zabezpieczonej kopercie z banku otrzymuje:
- PIN (do zapamietania),
- unikalny ID tokenu (do inicjalizacji tokena),

Aby zalogowac sie do systemu bankowego, uzytkownik uruchamia
aplikacje w telefonie, wprowadza PIN, nastepnie telefon
wyswietla na ekraniku 8 znakowe haslo wazne jedna minute.

Jednorazowe haslo generowane jest na podstawie trzech czynnikow:
- PIN ktory uzytkownik ma "w glowie",
- ID tokena wprowadzonego jednorazowo podczas inicjalizacji,
- aktualnego czasu,

Jest to metoda generowanie hasla stosowana przez tokeny produktowane
przez RSA, przeznaczone dla sektora finansowego i rzadowego.

Moja aplikacja zbudowana jest w opariu o technologie Java 2 Micro
Edition (j2me).

Wiecej informacji na temat tego rozwiazania mozna znalezc na:
http://developers.of.pl/projects/celltoken/

Chcialbym poznac opinie uzytkownikow na temat zastosowania
w bankach takiego rozwiazania.

Z powazaniem,

Lukasz Luzar
TigerAudits.com

--
TigerAudits -> etyczny hacking . testy penetracyjne . analiza ryzyka