En el Reino Unido es común usar una tarjeta inteligente y un lector para iniciar sesión en la banca en línea. Usted inserta la tarjeta, ingresa el PIN y recupera un código de 8 dígitos del lector para ingresar al sitio web del banco en línea. Tenga en cuenta que no se incluye de ninguna manera en el banco, todo lo que necesita es la tarjeta y el PIN.
Siempre pensé que el código de 8 dígitos devuelto no era muy aleatorio (en particular, los primeros dos dígitos eran los mismos), así que empecé a seguir la pista. Básicamente, el código de 8 dígitos aumenta monótonamente en alrededor de 60,000 a 90,000 cada vez.
Esto no parece correcto basado en cómo entendí que esto funciona. Obviamente, hay una entropía muy baja en la inicialización del algoritmo de identificación (solo usa un contador interno en la tarjeta si entiendo bien las cosas) pero pensé que el 3DES en la tarjeta daría como resultado una secuencia similar a ruido de códigos de 8 dígitos.
¿Es realmente así como se supone que funciona el sistema?