l'illustre [EMAIL PROTECTED] a dit un jour, > Daniel Cordey wrote: >> [...] >> >> Oui, dans le vas de l'UBS, je dois me balader avec cette "calculatrice"; ce >> qui n'est pas pratique et represente donc un danger de perte ou de vol ! A >> contrario, les cartes matrices des BCs se glissent facilement dans un >> porte-monnaie, mais le domaine "aleatoire" est sans doute moins grand. > > Juste pour ma curiosité personnelle, comment fonctionne le système de > l'UBS ? J'ai vu que le crédit suisse propose soit des listes à biffer, > soit un petit "porte-clé" SecureID (qui semble être un produit de RSA). > Ce petit appareil génère un nombre aléatoire sur 6 chiffres toute les > minutes environ (un million de possibilité c'est pas énorme, > heureusement que le compte se bloque après 3 ou 4 introduction erronées).
on a donc 4 essais pour trouver un code parmi un million. Le tout en partant du principe qu'on a les "connaissances" de l'utilisateur à disposition. D'ailleurs, le nombre généré n'est pas du tout aléatoire. Il doit correspondre à celui que génère la boite installée (ACE Server(tm)(r)(c), il me semble) chez CS. > Pour la poste il semble que ce soit différent. Ils remplacent la liste > de numéro à biffer par une calculatrice dans laquelle il faut introduire > sa carte à puce. Ensuite, le site propose un challenge (? calculer une > puissance modulo p, p étant dépendant d'un code de la carte à puce ?) > que la calculette doit résoudre. Les nombres utilisés sont sur 8 > chiffres ce qui un petit peu mieux que les 6 chiffres du Crédit Suisse. J'ai vu jusqu'à neuf chiffres à la poste. Finalement, qu'ajoute d'augmenter le nombre de chiffres à partir du moment ou on dépasse le nombre acceptable (et quel est-il) et que d'autres mesures sont en place pour diminuer le risque (blocage de compte par exemple)? Selon moi, le lecteur de carte n'est pas une calculatrice. pour les cartes à puce, le principe est généralement un calcul avec une valeur secrète qui est "protégée" par une "barrière physique" et un code PIN. Le calcul a lieu dans la puce, sinon cela expose la clé secrète à l'extérieur de la puce. Le GSM fonctionne sur ce principe. Dans le cas de la poste, on a peut-être un nombre aléatoire: le challenge. > Et pour l'UBS ? est-ce une des méthodes décrites ci-dessus ? ou encore > différente ? _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
