[EdgeAligned 86]

Вы всё еще обсуждаете сферических коней? Блин, за неделю от начала темы уже можно было опробовать несколько вариантов на практике.

3 часа назад, sasamy сказал:

в случае обнаружения хоть одного случая взлома все девайсы окирпичиваются по щелчку

Даже те, которые в пользовании честными людьми, заплатившими честно аренду? Мда, бизьнесьмэн из вас так себе 🙂 Вы даже не представляете потока рекламаций и размеры неустоек от всех пользователей с окирпиченными приборами 🙂 Потеря репутации равносильна потере жизни для мелкого предпринимателя.

Хотя само по себе обнаружение вскрытия корпуса закладывается в самом девайсе. МК типа STM32 имеет даже такую ногу - Tamper Pin, контакт обнаружения вмешательства. По срабатыванию сигнала Tamper выполняются действия по блокировке дальнейшей работы или же стирание всей прошивки. И всё! Все остальные честные пользователи девайсов остаются незатронутыми. 

[sasamy 0]

On 6/14/2024 at 2:11 PM, EdgeAligned said:

Вы даже не представляете потока рекламаций и размеры неустоек от всех пользователей с окирпиченными приборами

да вы я вижу менеджер от бога - массовое воровство со счетов клиентов по вашему лучше чем временная блокировка счёта ?

On 6/14/2024 at 2:11 PM, EdgeAligned said:

По срабатыванию сигнала Tamper выполняются действия по блокировке дальнейшей работы или же стирание всей прошивки.

и как ваши тампоны помогут если алгоритм генерации паролей раскрыт или устройство просто другой человек использует ?

[EdgeAligned 86]

"Офисному планктону" этого не понять 🙂 Вы же тут на последней странице обсуждали считывание флеши, так? Ну а как считать флеш с ПП, не разбирая прибор? Так вот и работает tamper pin.

Во-вторых, как говорил топикстартер, в его приборе ЧМИ сделан с не самым быстрым способом ввода, что затрудняет ручной подбор комбинаций. Даже если их будет 1000 штук, это уже будет напряжно.

По этому, вам, гражданин sasami, нужно упражняться не в словоспории, а в практическом опыте, в расширении своего офисного узкозора 🙂 А то этими вашими тампонами так и будете утираться :))) 

Изменено 14 июня пользователем EdgeAligned

[girts 9]

2 hours ago, sasamy said:

если алгоритм генерации паролей раскрыт или устройство просто другой человек использует ?

Алгоритм - не секрет. В отличии от ключей шифрования.
А это две разные вещи. 

Quote

Но почему тогда не происходит массового взлома счетов???

по вышеупомянутой причине. Знание алгоритма не решает задачу.
А ключ шифрования - да проще стащить работающий калькулятор, чо парится то?
Да и один только калькулятор проблему не решает. Есть и второй фактор авторизации в том же сведбанке.

Quote

даже не можете понять что смартфон счас у всех есть, а это уг разве что глубоким пенсионерам нужно

Разве что как запаска.
Телефоны, бывает, пропиваются, тонут или просто дохнут.
Обидно, когда вся жизнь сразу фтопку.
А так хоть можно оплатить покупку нового телефона и симкарты.

2 hours ago, sasamy said:

да вы я вижу менеджер от бога - массовое воровство со счетов клиентов по вашему лучше чем временная блокировка счёта ?

Если банк не работает чаще чем работает, то фтопку такой банк. Их много, чапаем рядом.
Да и в данном случае аналогия неуместна, ибо при шаринге инстркументария скорее речь не о потере денег, а просто о неполученной прибыли. Клиент не должен страдать. А если пострадает, и предел терпения лопнет, это уже не ваш клиент.

ЗЫ: а за каждого клиента надо боротся. Они приходят по одному, а уходят пачками. 
 

[sasamy 0]

On 6/14/2024 at 6:04 PM, girts said:

Да и один только калькулятор проблему не решает. Есть и второй фактор авторизации в том же сведбанке.

интересно какой если у них там написано для кого это

Quote

Калькулятор кодов – это электронное устройство, которое генерирует применяемые один раз и выбранные по случайному принципу коды. Калькулятор кодов подходит именно вам, если вы не являетесь резидентом Латвии или не пользуетесь смарт-устройством.

 

[girts 9]

35 minutes ago, sasamy said:

интересно какой если у них там написано для кого это

Телефон.
Если там типа "Для не резидентов" - тут всё просто, резиденты всё делают по smart-id. Который НЕ резидентам просто не особо доступен кажись.

Quote

электронное устройство, которое генерирует применяемые один раз и выбранные по случайному принципу коды

Звучит очень даже умно! Для пользователя, которому тонкости шифрования ни к чему.
Раньше, когда были просто кодовые карты - "введите код номер 16" - и смотришь по списку. По сути и это можно назвать также..
 

[sasamy 0]

On 6/14/2024 at 7:23 PM, girts said:

Телефон.
Если там типа "Для не резидентов"

я понял так что у нерезидентов как раз нет местной симки

On 6/14/2024 at 7:23 PM, girts said:

Для пользователя, которому тонкости шифрования ни к чему.

сейчас повсеместно https ипользуется - интересно занет ли хоть одна домохозяйка о тонкостях шифрования

[Quasar 20]

В 10.06.2024 в 10:23, TOG сказал:

Я собственно хотел узнать на чем будет легче мне это сделать: под web, под android, или телеграмм-бот и т.д.

Телеграм бот делается просто и быстро. Можно на Java, можно на каком-нибудь Python'е, я бы делал с помощью бота. Если с Web никогда дело не имели, потратите в разы больше времени, чем на бота.

[girts 9]

8 minutes ago, sasamy said:

я понял так что у нерезидентов как раз нет местной симки

СМС приходит на любой номер, хоть Пакистанский.
Также, как и Российские сервисы высылают коды авторизации на любой.

 

[jcxz 245]

55 минут назад, girts сказал:

Раньше, когда были просто кодовые карты - "введите код номер 16" - и смотришь по списку. По сути и это можно назвать также..

Нельзя. Кроме простых кодов для входа в инет-банк (которые да - подобны старой кодовой карте), он генерит и ещё коды типа2. Я выше писал об этом (только почему-то никто из отвечающих не читает - о чём идёт разговор):

11 часов назад, jcxz сказал:

PS: Кстати - этот кодовый калькулятор работает примерно так же (такой же порядок действий с ним), как хочет чтоб работал генератор кодов аренды ТС. Например для выполнения какой-то расходной операции по счёту: страничка инет-банка генерит код; этот код вводится юзером в калькулятор; калькулятор в ответ генерит код-ответ; который затем вводится на инет-странице для подтверждения операции. Примерно то же самое хочет ТС, только инет-страничку и девайс поменять местами.

Для кодов типа2 аргументом является код, выданный на странице инет-банка. Все расходные операции подтверждаются именно так. И тут последовательность похожа на то, что хочет ТС.

[sasamy 0]

On 6/14/2024 at 7:43 PM, girts said:

Также, как и Российские сервисы высылают коды авторизации на любой.

вот насчёт этого не уверен

https://www.banki.ru/dialog/articles/331/?ysclid=lxez37sf2q613541051

[girts 9]

1 hour ago, sasamy said:

вот насчёт этого не уверен

https://www.banki.ru/dialog/articles/331/?ysclid=lxez37sf2q613541051

А то чуть другая песня.
Кинуть деньги на номер телефона, перевести с карты на карту - это не столько про авторизацию, как про саму систему переводов.
Это всё исключительно внутрироссийское.
Тут никто таких страшных слов и не знает.
За то знают, что для того чтобы перевести деньги, нужен номер счёта по IBAN.

2 hours ago, jcxz said:

Нельзя. Кроме простых кодов для входа в инет-банк (которые да - подобны старой кодовой карте), он генерит и ещё коды типа2. Я выше писал об этом (только почему-то никто из отвечающих не читает - о чём идёт разговор):

Для кодов типа2 аргументом является код, выданный на странице инет-банка. Все расходные операции подтверждаются именно так. И тут последовательность похожа на то, что хочет ТС.

Ну а чтож тут непонятного? Например....

RSA. Public key, private key. 
Да и подписывай ими что угодно, хоть все труды Ильича. В данном случае - подписывается запрос...

На стороне пользователя проверить публичным просто, сгенерить при отсутствии приватного невозможно. 
Если кто то заполучит приватный, вся система падает.

Можно проще - одной кнопой. Когда каждый следующий принятый код при помощи какого нибудь засолёного MD5 должен совпадать с предыдущим кодом. Тогда хоть на бумажке - сгенерили 5 кодов на 5 часов работы, и по бумажке каждый час вбивай и продливай по надобности. Правда, придётся где то хранить какую то начальную хэш и пойнтер на актуальную. У каждого инструмента индивидуальную.

В данном случае не совсем понятно, какую проблему топикстартер собирается решать. От того и зависят применяемые методы.
Ему время наработки инструмента важно или чтоб возвращали вовремя... 

Аналогия с каршерингом тоже не совсем уместна. Скутер можно просто бросить на улице. А где то на стройке брошенная кувалда с истёкшим временем аренды бессмысленна.


 

 

[TOG 0]

10 hours ago, Quasar said:

Телеграм бот делается просто и быстро.

Есть там готовые крипто-библиотеки  ?

На JavaScript вроде нашёл как встроенный AES использовать. 

[sasamy 0]

On 6/14/2024 at 10:11 PM, girts said:

В данном случае не совсем понятно, какую проблему топикстартер собирается решать. От того и зависят применяемые методы.

да никакую, метод рассматривается один - примотать на изоленту моточасы, а варианты только какого цвета изолента

[Plain 228]

23 часа назад, TOG сказал:

Мне кажется секретность алгоритма не является залогом успеха.

Тогда что здесь "успех"?