银行的电子动态口令到底是什么原理？

2015-07-31 09:27

叫我红领巾2015-07-31 09:27
几位数字不停更换，也没有连接互联网。银行网站还能验证。。。。觉得挺奇怪的。
鹅娃2015-07-31 09:34
我干财务的不懂高科技，但曾经拿着花旗的密码钥匙琢磨了一下，估计是每个客户都享有自己的一个号码段组合群或者排列这些数字的唯一方法，只要是这个符合码组合或者排列都可以验证通过，不知道对不对。。。
人间大炮2015-07-31 09:35
银行端和你的令牌上根据时间和算法同时给出一致的密码，相同时就认证通过喽。
幻飞一线天2015-07-31 09:36
都是数据库内的东西。
nikito2015-07-31 09:36
我以前以为那个里面有个sim卡……
kid_xp2015-07-31 09:37
电子表原理差不多，每过一分钟根据自己的算法显示出一串数字。
pentiumvii2015-07-31 09:40
应该是类似于伪随机数的算法, 当你给定一个种子(初始值), 通过该算法算出来的随机数是一定的
这种动态的密码相当于银行给你在系统的密码和你的key一个相同的种子, 然后通过一样的算法或者同样算法的相同参数大家一起运算, 那么两者必然是一样的
然后加上时间, 两边一起每隔30秒或者1分钟变动一下, 保证同步
灌水马甲2015-07-31 09:45
反正我是觉得这玩意没Ｕ盾安全
大少王2015-07-31 09:46
嘿嘿，楼上各位讲的对的

我讲讲我碰到的，
公司买了个口令认证。妈蛋。
才1年多，就发现和系统那边的口令不同步了。
口令器上的数字更新慢了时间过了一半，还有一半时间要更新，登录就显示错误。必须要口令卡刚更新，才能匹配登录上去。
还有同事更惨，已经无论如何不匹配了。。。。

银行的口令卡，好像还没有出现问题，看来这玩意也有精度一说，也有便宜烂货。。。
kara2015-07-31 09:51
貌似支付宝的宝令必须要同步互联网时间，那么就不会出现这种相互同步出错的问题吧
liuxuu2015-07-31 09:53
原理超级简单，就是一个储存器里面有上万的数字序列，每隔一段时间显示一个。
luestone2015-07-31 10:03
如果是那种要求两边密码一致都是每分钟换一次的口令器。
你手里那个玩意虽然不会联网但把自己的时间编到那串数里。每次在网站上输入网站服务器里都会校准下密码器时间。

所以长时间不用需要登陆下网站校准下时间。
sambfish2015-07-31 10:07
不光银行...我打魔兽世界，安全令也是这样的...不过现在安全令都选择装手机上了，要用了打开手机看一下。
Flatfish2015-07-31 10:19
这么胡说八道真的好么？搜索下又不是难事。
金正日2015-07-31 10:27
我之前盛大密宝出过问题，给出的密码一直提示错误，我就去打电话给客服校对，客服说，你先告诉我目前的密码，然后帮我校对好了，所以我觉得应该是每个用户内置一个很大的密码库，不停换。。。
zhangyijieqiu32015-07-31 10:31
哦难怪这家伙电量这么足原来跟电子表一个原理
eva3d2015-07-31 10:46
就跟google两步验证器和暴雪验证器一个意思
TG药丸2015-07-31 10:52
银行系统里你的账户下的口令计算方式和时间和给你手上的动态口令生成器是一致的。永远都会保持同步。
比如我们两个约定好。一块从今天12点开始分别做一道数学题，以1为基数，每一个小时+1，那不管到什么时候，我们彼此间有没有联系，任何时候得出的答案双方都是一致的。
TG药丸2015-07-31 10:56
这个原理的话，银行分分钟被黑客黑出翔。
cloudinsky2015-07-31 10:59
根据时间的算法.
宝令存公钥,服务器存私钥

公钥+时间偏移+约定其他数据算出6位key

服务器拿着同样的时间偏移+约定数据,根据私钥算出key比对...
phoenix92015-07-31 11:06
关键点在于这种东西能不能用全靠里面用的晶振好不好，精度够不够高。当然现在一堆手机上宝令原理是一样的，手机时间基本默认运营商网络同步，精度都是足够高的。
ppst2015-07-31 11:09
谷歌验证器，暴雪验证器的纸上版本。。。
squallssck2015-07-31 11:12
简单的实现，有一个private key，最简单的加密时间，只要时间正确，两边密文一致。
关于校准，输入盾上的密文到网上，服务器用密匙解密，得到盾上的时间，如果差距过大，服务器上对此盾的时间加上一个offset就行了。
米豆儿2015-07-31 11:22
我中国银行的出过问题，怎么都登陆不上去，换了一个好了
immkII2015-07-31 11:24
因为序列是和时间有关, 所以服务器端只要保持前后两三条信息, 只要你手上的不超过这个范围, 服务器就可以调整你的偏移值..

例如更换周期是10s, 服务器当前是0s偏移, 但会保存 -10, -20, 10, 20 的码值, 你给了个-10的码值, 那服务器就会把你这账户的偏移值调为-10, 这样下次再用时间就对上了

而且晶振的偏移基本是固定的, 如果想, 通过多次的同步, 推算出你客户端的偏移值自动校准都可以, 就看又没有花这心思了
koholint2015-07-31 12:01
补充一下，应该是伪随机数序列是一定的
qiuzhiying22002015-07-31 12:06
Totp。time based one time password
备常炭2015-07-31 12:07
无知者无畏啊
双面胶2015-07-31 12:32
一般2边的时钟会有误差，所以有时是当前时间的前后3个都可以认为是OK的，除非时钟偏差的特别大。
双面胶2015-07-31 12:33
晶振的精度不是问题，温漂才是，不同温度频率不同
ｊｉａ2015-07-31 12:48
校准在服务器端，当令牌端和服务器端不同步的时候，服务器会算出令牌大概在哪个时间位置，然后服务器端进行校准。基本上输入一次就相当一次校准了。
令牌里面晶振是重要，但不是起决定性作用。
solomon2015-07-31 12:51
我开始也以为是大家说的同算法方式，可是老婆说了，偏远山区和国外用不了。。。于是sim卡的可能性up，等业内。。。
合作伙伴2015-07-31 02:24
你拆一个不就知道了
authos2015-07-31 02:32
哪儿那么复杂就是利用哈希算法的一致性，如果时钟不准了也不能用
桐岛完奈2015-07-31 02:39
应该是按时间，比如每一分钟，显示特定的密码字符，我们跟供应商订货的时候，有个U盾，然后下订单时按一下，U盾上会显示一个四位数字密码，然后根据这个输入，才能成功下订单，如果一分钟内没输密码，就要重新按一下
加州IT男2015-07-31 03:13
你老婆用的啥，和这贴里别人说的东西不一样吧
我的腾讯密宝从国内带到美国也一样用啊