@Rumpelstilzchen

Rumpelstilzchen

Румпельштильцхен
Rumpelstilzchen

Дата рождения: 21.01.1924

0 я читаю 32 меня читают
1211 постов
3030 комментариев
Rumpelstilzchen
15 May 2019

"СМП Банк внедрил инновационную технологию подтверждения платежей PayControl в мобильных приложениях...
Ключевое преимущество PayControl по сравнению с обычными способами подтверждения платежей, одноразовым паролем в SMS-сообщении или в Push-уведомлении, - код подтверждения операции формируется непосредственно на мобильном устройстве клиента."

Учитесь! Вот как инновации делаются - запиливаешь OTP генератор в приложение и херакс, ты инноватор.

16 May 2019

почему решил, что там OTP, а не тот же принцип, что в транспортных картах, вроде «тройка», «подорожник» и т.п.?

16 May 2019

Не, там все проще, ты делаешь в ИБ платежку, жмешь кнопку, тебе ИБ рисует QR код, ты наводишь на него камеру мобилки и она тебе выдает числовой код подтверждения. Кстати на сцайте разраба все написано - http://paycontrol.org/
В прицнипе ОК решение, да, лучше чем СМС, ток что в нем инновационного-то?

#miqxy/2 в ответ на /1
16 May 2019

ну почти наверняка оно берёт хеш-сумму после объединения нескольких вещей в одно целое:
• числа прочитанного в качестве QR-кода
• текущей даты + время
• идентификатор клиента банка
• секретный ключ для он-лайн сервиса

Вот последний должен храниться так, чтобы его не могли стырить всякие malware, которых довольно много не только на всяких андройдах-ведройдах.

Такой сервис безопасного хранения предоставляют SIM-карты операторов связи, уже больше 15 лет в них можно заливать свои java-applet'ы и пользоваться защищённым хранилищем. Тем самым операции с секретным ключом выполняются на ЦПУ и памяти самой этой SIM-карты, не покидая её, тем кодом что в java-applet.

Закинуть внутрь SIM'ки свои такие данные можно не только на заводе по их производству, но и через OTA — по воздуху пачкой специальных sms'ок. Или же это может сделать софтина-клиент, распространяемая через Play.Market, используемая пользователем для сканирования-показывания кода Two-way аутентификации, если она писана в сотрудничестве с операторами связи.

Был один такой старый проект, растущий из Yota, лет шесть назад. Вычислительных мощностей на SIM'ках очень немного и потому там сложно исполнять апплетами асимметричные алгоритмы цифровой подписи. Но можно в них брать хэш-сумму от комбинации из некоего значения и секретного ключа в защищённом хранилище.

Комментарий был отредактирован в 14:01:30 16.05.2019
#miqxy/3 в ответ на /2

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.