BR102014023229A2 - método para autenticação de transação de vários fatores utilizando dispositivos vestíveis - Google Patents

método para autenticação de transação de vários fatores utilizando dispositivos vestíveis Download PDF

Info

Publication number
BR102014023229A2
BR102014023229A2 BR102014023229A BR102014023229A BR102014023229A2 BR 102014023229 A2 BR102014023229 A2 BR 102014023229A2 BR 102014023229 A BR102014023229 A BR 102014023229A BR 102014023229 A BR102014023229 A BR 102014023229A BR 102014023229 A2 BR102014023229 A2 BR 102014023229A2
Authority
BR
Brazil
Prior art keywords
transaction
user
service provider
data
transaction data
Prior art date
Application number
BR102014023229A
Other languages
English (en)
Other versions
BR102014023229B1 (pt
Inventor
Breno Silva Pinto
Brunno Frigo Da Purificação
Felipe Caye Batalha Boeira
Isac Sacchi E Souza
Miguel Lizarraga
Paulo Cesar Pires
Pedro Henrique Minatel
Original Assignee
Samsung Eletrônica Da Amazônia Ltda
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Eletrônica Da Amazônia Ltda filed Critical Samsung Eletrônica Da Amazônia Ltda
Priority to BR102014023229-0A priority Critical patent/BR102014023229B1/pt
Priority to US14/532,554 priority patent/US20160086176A1/en
Publication of BR102014023229A2 publication Critical patent/BR102014023229A2/pt
Publication of BR102014023229B1 publication Critical patent/BR102014023229B1/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/16Constructional details or arrangements
    • G06F1/1613Constructional details or arrangements for portable computers
    • G06F1/163Wearable computers, e.g. on a belt
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/321Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wearable devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/33Security of mobile devices; Security of mobile applications using wearable devices, e.g. using a smartwatch or smart-glasses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Human Computer Interaction (AREA)
  • Software Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

método para autenticação de transação de varíos fatores utilizando dispositivos vestiveís. a presente invenção se refere a um método (100) para autenticação de varíos fatores, que usa dispositivos vestiveís como um dispositivo secundário (204) em conjunto com um dispositivo primário/principal (200) ( por exemplo, o smartphone do usuário que conduz a transação eletrônica) para permitir que o usuário verifique a integridade dos dados da transação eletrônica antes de autoriza-la ( fora do possível dispositivo comprometido, por exemplo o smartphone)

Description

Relatório Descritivo da Patente de Invenção para: "MÉTODO PARA AUTENTICAÇÃO DE TRANSAÇÃO DE VÁRIOS FATORES UTILIZANDO DISPOSITIVOS VESTIVEIS".
Campo da Invenção [0001] O método proposto é aplicado para autenticação e autorização de transações, usando dispositivos vestiveis em conjunto com um dispositivo principal/primárxo (por exemplo, smartphone) para realizar transações online seguras ao usar um dispositivo secundário (por exemplo, dispositivos vestiveis), sendo mais resistente a ataques comuns (tais como ataques Man-in-The-Middle).
Antecedentes da Invenção [0002] No estado da técnica são encontradas diversas soluções e tecnologias que utilizam dispositivos vestiveis com o intuito de autenticar e autorizar transações. Entretanto, as soluções existentes que integram uma autenticação de vários fatores usando dispositivos vestiveis usualmente os utilizam somente como um token. Com isso, o usuário não é capaz de verificar a integridade dos dados da transação.
[0003] Adicionalmente, as tecnologias e soluções existentes falham em aperfeiçoar a segurança contra ataques comuns (tais como ataques Man-in-The-Middle) , uma vez que o dispositivo vestivel é usado para gerar códigos e chaves a serem inseridos no dispositivo móvel ou computador com a segurança já comprometida.
[0004] Um ataque Man-in-The-Middle ocorre quando um sistema de computador de terceiros se interpõe entre um sistema de computador do usuário (usado para conduzir uma transação eletrônica) e um sistema de computador do provedor de serviço (que fornece o serviço envolvido na transação eletrônica). Enquanto interposto entre os sistemas de computador do usuário e o provedor de serviços, o sistema de computador de terceiros intercepta uma informação confidencial de usuário e a informação de transação eletrônica do sistema de computador do usuário, obtém acesso ao sistema de computador de provedor de serviços usando a informação confidencial de usuário, e conduz uma transação eletrônica distinta para beneficiar terceiros (não o usuário original) . Para evitar que o usuário perceba que a transação do usuário foi interrompida e modificada por um ataque Man-in-The-Middle, o sistema de terceiros envia para o sistema de usuário uma mensagem fraudulenta (ou uma página web) confirmando a transação eletrônica original do usuário, quando, de fato, uma transação eletrônica distinta/fraudulenta foi realizada. Assim, quando um ataque Man-in-The-Middle ocorre, o usuário prejudicado não tem como saber o que está ocorrendo até que a transação eletrônica fraudulenta tenha sido concluída - e a transação eletrônica original do usuário tenha sido descartada - pelo sistema de terceiros.
[0005] O documento de patente US 8,371,501 Bl, intitulado "Systems and Methods for a Wearable User Authentication Factor", publicado em 12 de fevereiro de 2013, descreve um método para autenticação de vários fatores com um fator de autenticação de usuário de dispositivo vestivel. Um módulo de autenticação de vários fatores é implementado para usar uma pluralidade de fatores de autenticação, incluindo um identificador de etiqueta único associado com uma etiqueta eletrônica embutida em um artigo vestivel, tal como um anel ou relógio, para a autenticação de um usuário. Um usuário de um fator de autenticação de usuário de dispositivo vestivel se aproxima de um terminal de vários fatores, que detecta a etiqueta eletrônica e lê seu identificador único. O usuário é, então, solicitado a fornecer uma determinada característica biométrica, tal como uma impressão digital, a um leitor biométrico. A característica biométrica é processada para gerar um identificador biométrico único. O identificador biométrico único da etiqueta eletrônica é, então, submetido a um módulo de autenticação de vários fatores, que o compara a uma informação de autenticação associada com o usuário. Se os identificadores únicos submetidos coincidirem com a informação de autenticação do usuário, então, o usuário é autenticado. Na solução proposta no documento US 8,371,501 Bl, o dispositivo vestivel é usado para armazenar um hardware que contém uma identificação única com o intuito de permitir que o usuário se autentique. No método proposto da presente invenção, o dispositivo vestivel é usado para verificar a integridade de uma transação online segura submetida por um dispositivo externo tal como um telefone móvel.
[0006] O documento de patente US 2012/221475, intitulado "Mobile Transaction Device Security System", publicado em 30 de agosto de 2012, define aparelhos, métodos e produtos de programa de computador que proporcionam um único sistema de segurança de transação financeira. Em uma concretização, o sistema de segurança de transação financeira recebe um protocolo de segurança de um usuário. O protocolo de segurança inclui instruções para permitir transações sem autenticação e características de segurança para o usuário se a autenticação for necessária. O sistema então determina se o usuário está conduzindo uma transação, avalia as instruções e determina se a transação pode ocorrer sem autenticação. Se o usuário precisar autenticar sua identidade, o sistema solicita uma entrada do usuário, compara a entrada com a característica de segurança e determina se o usuário está autenticado. O usuário é capaz de personalizar ambas as instruções e as características de segurança para proporcionar melhor controle sobre a segurança da transação financeira. A solução do documento US 2012/221475 não resolve os comuns ataques Man-in-The-Middle, se o dispositivo de usuário já estiver comprometido por um intruso que submeta uma transação que se adeque às restrições (por exemplo, a quantidade de dólar é permitida por restrições da conta do usuário). Na presente invenção, mesmo se o dispositivo móvel do usuário estiver comprometido, a transação permanece segura, uma vez que o dispositivo móvel tem a capacidade de mostrar ao usuário se a transação está comprometida por um intruso ou não. Para atacar o lado do cliente, o intruso deve comprometer o dispositivo móvel e o dispositivo vestível em conjunto.
[0007] O documento de patente WO 2009/045798 Al, intitulado "Method and System for Providing Extended Authenticatíon'', publicado em 09 de abril de 2009, apresenta um método e sistema para estender uma autenticação de um dispositivo sem fio. Por exemplo, o método inclui acesso autenticado para o dispositivo sem fio através de uma primeira autenticação. O método detecta um dispositivo de autenticação limitado como uma segunda autenticação. O método permite acesso ao dispositivo sem fio quando o dispositivo de autenticação limitado é detectado. Portanto, a solução proposta do documento WO 2009/045798 Al não resolve os comuns ataques Man-ln-The-Middle se o dispositivo de usuário já estiver comprometido por um intruso, uma vez que o dispositivo vestivel é somente usado para autenticar a conexão do usuário e não fornece qualquer característica para verificar a integridade da transação fora do dispositivo comprometido. A presente invenção assume que mesmo que o dispositivo móvel de usuário esteja comprometido, a transação permanece segura, uma vez que o dispositivo vestivel tem a capacidade de mostrar ao usuário se a transação foi comprometida por um intruso ou não. Assim, para atacar o lado do cliente, o intruso deve comprometer o dispositivo móvel e o dispositivo vestivel em conjunto.
Sumário da Invenção [0008] A presente invenção se refere a um método para autenticação de vários fatores, que usa dispositivos vestíveis como um dispositivo secundário em conjunto com um dispositivo primário/principal (por exemplo, o smartphone do usuário que conduz a transação eletrônica) para permitir que o usuário verifique a integridade dos dados da transação eletrônica antes de autorizá-la (fora do possivel dispositivo comprometido, por exemplo, o smartphone) .
[0009] Através de um dispositivo eletrônico principal/primário (por exemplo, um smartphone) conectado à Internet, o usuário acessa um sistema de provedor de serviço com o intuito de conduzir uma transação eletrônica. Uma vez que os dados da transação eletrônica tenham sido submetidos a partir do dispositivo de usuário para o sistema provedor de serviços via Internet, o sistema provedor de serviço recupera uma senha de uso único (One-Time Password - OIP) de um sistema OTP conectado ou embutido no sistema provedor de serviços, a fim de proteger/criptografar os dados da transação. 0 dispositivo de usuário envia a senha OTP para um dispositivo vestivel usando um método off-line para transferência de dados, preferencialmente usando tecnologia Bluetooth, mas não sendo limitada a esta, podendo ser a leitura de um QRCode (Quick Response Code) por uma câmera. O método off—line é importante para reduzir o risco de o dispositivo vestivel ser comprometido e controlado através da Internet por um intruso. O dito dispositivo vestivel é pré—configurado com a mesma seed de OTP do sistema OTP. Uma vez que o dispositivo vestivel tenha a mesma OTP do sistema OTP, este pode descriptografar/desproteger os dados da transação e mostrá-los ao usuário na tela de exibição do dispositivo vestivel, permitindo ao usuário ler os dados da transação, verificar se não foram modificados, e então, confirmar/autorizar a transação.
[0010] O método da presente invenção se sobrepõe às soluções existentes, em que os dispositivos vestiveis são usados somente como tokens, e o usuário não é capaz de verificar a integridade dos dados da transação eletrônica. Adicionalmente, as tecnologias e soluções existentes falham em aperfeiçoar a segurança contra ataques comuns (tais como Man-ín-The-Míddle) , uma vez que o dispositivo vestivel é usado (como um token) para gerar códigos e chaves a serem inseridos em dispositivos já comprometidos (ou seja, os códigos/chaves gerados pelo dispositivo vestivel - token -também poderíam ser interceptados por um terceiro).
[0011] Um sistema/dispositivo que implementa o método da presente invenção fornecerá uma forma mais segura de conduzir transações eletrônicas, sendo mais resistente a ataques comuns (tais como ataques Man-in-The-Middle). Além disso, fornece uma nova funcionalidade para dispositivos vestiveis, a capacidade de verificar a integridade da transação e então autorizá-la ou não. O escopo do uso/aplicação do método proposto é amplo, uma vez que é possível aplicá-lo em vários tipos de dispositivos vestíveis com tela de exibição (por exemplo, relógios inteligentes, óculos inteligentes, etc.), como um dispositivo secundário a ser usado em conjunto com um dispositivo principal (por exemplo, smartphone, notebook, etc.).
Breve Descrição das Figuras [0012] Os objetivos e vantagens da presente invenção se tornarão mais claros através da descrição detalhada a seguir de uma concretização preferida, mas não limitativa da invenção, tendo em vista as figuras anexas, em que: [0013] A figura 1 é um fluxograma detalhado representando cada etapa do método proposto na presente invenção.
[0014] A figura 2 é uma visão geral do contexto do uso/aplicação do método para autenticar uma transação da presente invenção.
[0015] A figura 3 mostra um exemplo do método proposto na presente invenção, onde não existe um ataque Man-in-The-Míddle.
[0016] A figura 4 mostra um exemplo do método proposto na presente invenção, onde existe um ataque Martin- The-Middle.
[0017] A figura 5 mostra uma variação do método proposto onde a transmissão dos dados entre o dispositivo principal e o dispositivo vestivel ocorre através de QRcode.
Descrição Detalhada da Invenção [0018] Atualmente, dispositivos móveis {por exemplo, smartphones, tablets, notebooks) tem sido cada vez mais utilizados para realizar transações financeiras eletrônicas via Internet. Tais transações financeiras eletrônicas incluem, por exemplo, a compra de produtos e serviços, realização de pagamentos, transferência de fundos entre contas de banco, etc.
[0019] Enquanto os sistemas de transações (financeiras) e serviços oferecidos através de dispositivos móveis se tornam cada vez mais valiosos, sofisticados e de uso difundido, a incidência de transações fraudulentas também tem aumentado. Os dispositivos móveis têm sido violados com sucesso, de modo que o acesso à websites "supostamente seguros" (tais como sites de bancos e compras) tem se tornado problemático, uma vez que a senha e/ou qualquer outra informação confidencial (por exemplo, números de cartão de crédito, informações de contas de banco, etc.) podem ser obtidas de forma fraudulenta por terceiros (também conhecidos como ataques Man-in-The- Middle). Em posse dessa informação confidencial, terceiros são capazes de realizar transações que tipicamente deveríam ser restritas.
[0020] A figura 1 é um fluxograma detalhado representando cada etapa do método 100 proposto na presente invenção. Antes da operação/uso do método proposto 100, o usuário precisa configurar 90 a seed de OTP em seu dispositivo vestivel com a mesma seed de OTP obtida do sistema OTP atribuído ao sistema provedor de serviço.
[0021] Após pré-configurar 90 o dispositivo vestivel com a seed de OTP, o usuário pode submeter uma transação para o sistema de provedor de serviço SP via Internet usando seu dispositivo primário, por exemplo, um smartphone 105. O sistema de provedor de serviço SP recebe os dados de transação do smartphone 110 e então recupera 115 a senha OTP de usuário do sistema OTP respectivo/atribuído. O sistema de provedor de serviço SP realiza a criptografia dos dados 120, por exemplo, através do algoritmo de criptografia AES-CBC {Advanced Encrypt íon Standard in Cypher Block Chaining) e do código de autenticação de mensagem baseado em hash (Hash-based Message Authentication Code - HMAC) usando a senha OTP recuperada. Então, o sistema de provedor de serviço SP cria um novo pacote de dados contendo os dados de transação criptografados e seus HMACs, e os envia para o smartphone do usuário 125 . O smartphone recebe os dados de transação criptografados e os redireciona para o dispositivo vestivel 130, de preferência usando tecnologia Bluetooth (mas não limitado a esta, podendo ser outra tecnologia de transferência de dados viável). Uma vez que o dispositivo vestivel armazena a mesma seed de OTP do sistema OTP, ele pode descriptografar os dados de transação e então verificar a integridade dos dados com o hash HMAC dos dados da transação 135, de modo que o usuário pode ler a mensagem descriptografada e verificar se os dados de transação estão corretos ou foram modificados por terceiros 140. (0022] Se o dado foi modificado, o usuário pode cancelar a transação e a mensagem de cancelamento é enviada para o smartphone 150, que redireciona 155 a mensagem de cancelamento para o sistema de provedor de serviço SP, e, então, o sistema de provedor de serviço SP aborta a transação 160.
[0023] Por outro lado, se o dado da transação representar a transação original, o usuário aceita a transação e o dispositivo vestivel mostra o código de uso único também submetido pelo SP nos dados de transação criptografados 170, de modo que o usuário pode inserir 175 o código fornecido pelo dispositivo vestivel para confirmar a transação com o smartphone. Deste modo, o sistema de provedor de serviço SP é permitido prosseguir com a transação 180.
Visão Geral de Contexto de Uso/Aplicação do Método Proposto para Autenticar e Autorizar uma Transação [0024] De acordo com a figura 2, através de um dispositivo eletrônico principal/primário 200 conectado à Internet, o usuário acessa um sistema de provedor de serviço 201 com o intuito de conduzir uma transação eletrônica 105. Uma vez que os dados da transação eletrônica 1 são submetidos, a partir do dispositivo de usuário 200, para o sistema de provedor de serviço 201 via Internet 110, o sistema de provedor de serviços 201 recupera 115 uma senha de uso único OTP 2 de um sistema OTP 202 conectado ou embutido ao sistema de provedor de serviço 201, com o intuito de criptografar 120 os dados de transação 3 e então enviá-los 125 de volta ao dispositivo de usuário 200 via Internet. Após receber os dados de transação 3 criptografados, o dispositivo de usuário 200 os envia diretamente 130 para um dispositivo vestivel 204, usando tecnologia Bluetooth 203. O dito dispositivo vestivel 204 foi pré-configurado com a mesma seed de OTP do sistema OTP 202, usada para criptografar os dados de transação 3. Uma vez que o dispositivo vestivel 204 tenha a mesma senha OTP 2 do sistema OTP 202, ele pode descriptografar os dados de transação criptografados 3, verificar sua integridade comparando o hash HMAC e o mostrando 135 ao usuário na tela de exibição do dispositivo vestivel 204. O usuário é, então, capaz de ler os dados de transação criptografados, verificar se eles foram ou não modificados 140 e então confirmar/autorizar a transação. Com a autorização de usuário 4, o dispositivo vestivel 204 mostra 170 ao usuário um código de uso único enviado pelo sistema de provedor de serviço nos dados de transação criptografados para confirmar a autorização. O usuário insere 175 o código fornecido pelo dispositivo vestivel no dispositivo de usuário 200, e então, ele é retransmitido para o sistema de provedor de serviços 201, que então prossegue com a transação 180.
Exemplos da operação do método proposto em dois casos: sem ataque e com ataque [0025] A figura 3 apresenta uma concretização de exemplo da operação do método proposto em um caso onde não ocorre ataque Man-in-The-Middle. Supõe-se que o usuário queira transferir $100 dólares de sua conta de banco para uma conta de banco XYZ, e ele irá realizar esta transação através de um banco móvel com um telefone móvel 200, usando um relógio inteligente 204 como dispositivo secundário para verificação de integridade da transação. Neste caso, o telefone móvel 200 não está comprometido/violado por terceiros. Os dados de transação m = "transferir $100 para XYZ" 1 são submetidos do dispositivo de usuário 200 para o sistema provedor de serviço 201 via Internet de forma segura. O sistema de provedor de serviço 201 recupera uma senha de uso único OTP 2 de um sistema OTP 202, e o sistema de provedor de serviço 201 criptografa os dados de transação 3, usando a função Encrypt() e produzindo uma mensagem ilegível e incompreensível, por exemplo: HMAC(m) = 45ble579c4714d78d791bl31ad30dee237c74c0d Encrypted data = Encrypt(m:HMAC(m))= 6f 95 4c 6c 2d f5 23 25 15 20 d8 58 25 Ca Of d9 01 6d 60 01 95 85 9b eb b6 d6 72 68 41 07 59 f8 e4 5f 9f 66 74 e7 ad 07 98 83 Dd Od fe Ff 70 94 ab 70 c4 2e b3 09 93 26 83 44 50 3a 33 e9 e3 a9 que é enviada para o smartphone de usuário 200 e redirecionada para o relógio inteligente 204 de usuário. Como o relógio inteligente 204 de usuário tem a mesma seed de OTP 2 usada para criptografar os dados de transação 3, ele corretamente verifica a integridade dos dados e descriptografa os dados de transação 3, resultando em uma mensagem legível e compreensível (neste caso: "transferir $100 para XYZ"), que corresponde à transação original enviada pelo usuário 300. Neste caso, o usuário confirma a transação, por exemplo, ao tocar a tela de exibição do relógio inteligente sobre a opção "Sim'''' 301. Com a autorização 4 de usuário, o relógio inteligente 204 mostra ao usuário o código de uso único para confirmar a autorização. O usuário insere o código (fornecido pelo relógio inteligente) no smartphone 200, e então, ele é retransmitido para o sistema de provedor de serviços 201, que, então, realiza a transação (ou seja, transferir $100 para a conta do banco XYZ).
[0026] A figura 4 é outra concretização de exemplo da operação do método proposto, mas neste caso existe um ataque Man-in-The-Middle. Supõe-se que o usuário queira realizar a mesma transação do exemplo descrito na Figura 3, ou seja, transferir $100 de sua conta de banco para uma conta XYZ. O usuário irá realizar esta transação pelo banco móvel com o telefone móvel 200, usando seu relógio inteligente 204 como dispositivo secundário para verificação de integridade da transação. Neste exemplo especifico, o smartphone 200 está comprometido/violado por um sistema de terceiros 400. Quando os dados de transação "transferir $100 para XYZ" 1 são submetidos a partir do dispositivo de usuário 200 para o sistema de provedor de serviços 201 via Internet, um sistema de terceiros 400 intercepta os dados de transação 1 e conduz uma transação eletrônica distinta. Por exemplo, a transação fraudulenta 1' podería ser m = "transferir $1000 para conta de banco ABC", que não é a transação original desejada pelo usuário. A transação fraudulenta 1' é, então, submetida a partir do sistema de terceiros 400 para o sistema de provedor de serviços 201. O sistema de provedor de serviços 201 recupera uma senha de uso único OIP 2 de um sistema OTP 202, e o sistema de provedor de serviços 201 criptografa os dados de transação fraudulenta 3, produzindo outra mensagem ilegível e incompreensível, por exemplo: HMAC(m) - C0fl857e292e6f8d9296fec4c4d8d81d5a530439 Encrypted data = Encrypt(m:HMAC(m))= af 64 73 90 32 cf a8 32 eb 76 4e bf 47 3f 26 ld Oe 6b d7 a5 Oc 7b 34 b3 33 62 71 68 e8 96 Oc Db 70 4e ea bc 84 94 b6 54 95 bb 85 5c 84 lf Ea fd 3e a3 34 19 bO 96 2f 12 13 76 ee df aa 74 97 cb 5d 98 57 05 ad 22 5e 4c de 78 f4 f5 83 la 2e 5c que é enviado via Internet para o smartphone 200 de usuário. Novamente, o sistema de terceiros 400 pode interceptar a mensagem, mas como esta foi criptografada 3, o sistema de terceiros 400 não pode ler e modificar os dados de transação criptografados 3 para enviar uma mensagem fraudulenta para o smartphone de usuário 200, com o intuito de erroneamente confirmar a transação eletrônica original do usuário.
[0027] Se o sistema de terceiros 400 não modificar os dados de transação 3 criptografados, eles chegam no smartphone 200 do usuário conforme enviados pelo sistema de provedor de serviços 201. Os dados de transação 3 criptografados são redirecionados para o relógio inteligente 204. Como o relógio inteligente 204 de usuário tem a mesma seed de OTP 2 usada para criptografar os dados de transação 3, ele corretamente descriptografa os dados de transação 3, resultando em uma mensagem legível e compreensível 401 (neste caso: m = "transferir $1000 para ABC"), que não corresponde à transação original enviada pelo usuário. Adicionalmente, o hash HMAC dos dados de texto planos é verificado com os dados transmitidos com o intuito de garantir a integridade dos dados. Neste caso, o usuário rejeita a transação, por exemplo, ao tocar a tela de exibição do relógio inteligente sobre a opção "Não" 402, e, então, a resposta 4 de usuário é submetida, a partir do relógio inteligente 204 de usuário, ao smartphone 200 do usuário. Em seguida, a resposta 4 é retransmitida para o sistema de provedor de serviços 201, que então aborta/interrompe a transação fraudulenta (ou seja, não transfere $1000 para a conta de banco ABC).
[0028] Supondo-se que o sistema de terceiros 400 tente modificar os dados de transação 3 criptografados, considerando que ele não tem acesso à seed de OTP 2 (por exemplo, usando "algoritmos de força bruta"), ele levaria um longo tempo para descriptografar a mensagem, modificá-la (enviar uma mensagem fraudulenta para o usuário) e criptografá-la novamente antes de enviá-la ao smartphone 200 do usuário. Este longo procedimento (descriptografar/modificar/criptografar novamente) causaria uma exceção de tempo limite e abortaria/interromperia a transação fraudulenta (ou seja, não transferir $1000 para a conta de banco ABC).
[0029] A figura 5 apresenta uma concretização de exemplo da operação de uma variação do método proposto em um caso onde a transmissão dos dados da transação ocorre através da leitura de um QrCode, em vez da transmissão via Bluetooth como sugerido no método proposto. Supõe-se que o usuário queira transferir $100 dólares de sua conta de banco para uma conta de banco XYZ, e ele irá realizar esta transação através de um banco móvel com um telefone móvel 200, usando seu relógio inteligente 204 como dispositivo secundário para verificação de integridade da transação. Os dados de transação m = "transferir $100 para XYZ" 1 são submetidos do dispositivo de usuário 200 para o sistema provedor de serviço 201 via Internet de forma segura. O sistema de provedor de serviço 201 recupera uma senha de uso único OTP 2 de um sistema OTP 202, e o sistema de provedor de serviço 201 criptografa os dados de transação 3, usando a função Encrypt() e produzindo uma mensagem ilegível e incompreensível, por exemplo: HMAC(m) = 45ble579c4714d78d791bl31ad30dee237c74c0d Encrypted data = Encrypt(m:HMAC(m))= 6f 95 4c 6c 2d f5 23 25 15 20 d8 58 25 Ca Of d9 01 6d 60 01 95 85 9b eb b6 d6 72 68 41 07 59 f8 e4 5f 9f 66 74 e7 ad 07 98 83 dd Od fe Ff 70 94 ab 70 c4 2e b3 09 93 26 83 44 50 3a 33 e9 e3 a9 que é então apresentada na tela do dispositivo principal 200 em formato de QrCode. O usuário utiliza a câmera do relógio inteligente para ler os dados criptografados da transação 3 . Como o relógio inteligente 204 de usuário tem a mesma seed de OTP 2 usada para criptografar os dados de transação 3, ele corretamente verifica a integridade dos dados e descriptografa os dados de transação 3, resultando em uma mensagem legível e compreensível (neste caso: "transferir $100 para XYZ"), que corresponde à transação original enviada pelo usuário 300. Neste caso, o usuário confirma a transação, por exemplo, ao tocar a tela de exibição do relógio inteligente sobre a opção "Sim" 301. Com a autorização 4 de usuário, o relógio inteligente 204 mostra ao usuário o código de uso único para confirmar a autorização. O usuário insere o código (fornecido pelo relógio inteligente) no smartphone 200, e então, ele é retransmitido para o sistema de provedor de serviços 201, que, então, realiza a transação (ou seja, transferir $100 para a conta do banco XYZ).
[0030] A concretização exemplar ilustrada na Figura 5 corresponde ao passo 130 do método. Ao invés de o dispositivo principal/smartphone redirecionar os dados criptografados via Bluetooth para o dispositivo vestivel/secundário, o dispositivo principal/smartphone gera um QRcode na tela (contendo a informação criptografada), que é capturada pela câmera do dispositivo vestivel/secundário (e então o método/fluxo segue da mesma forma). Com isto, se elimina/reduz um outro vetor de ataque que seria a comunicação Bluetooth entre o smartphone e o dispositivo secundário/relógio inteligente (por outro lado, torna-se mandatório que o dispositivo secundário tenha uma câmera para captura do QRCode).
[0031] Apesar dos exemplos acima terem usado smartphone e relógio inteligente como dispositivos primário 200 e secundário 204, respectivamente, a presente invenção não está limitada a estes dispositivos específicos. Uma pessoa versada na técnica pode claramente perceber que a presente invenção podería utilizar-se de outros dispositivos primários (por exemplo, notebooks, tablets, PDAs, etc.) e outros dispositivos secundários (por exemplo, óculos inteligentes, ou qualquer outro dispositivo vestível com uma tela de exibição para apresentar informações ao usuário), sem se afastar do espírito e do escopo da presente invenção.
[0032] Embora a presente invenção tenha sido descrita em conexão com uma concretização preferencial, deve ser entendido que não se pretende limitar a invenção àquela concretização particular. Ao contrário, pretende—se cobrir todas as alternativas, modificações e equivalentes possíveis dentro do espírito e do escopo da invenção, conforme definido pelas reivindicações em anexo.

Claims (8)

1. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestíveis caracterizado por compreender as etapas de: configurar previamente (90) uma seed de OTP em um dispositivo secundário do usuário, em que a seed de OTP é a mesma obtida do sistema OTP atribuído ao sistema de provedor de serviço SP; submeter (105) uma transação a um provedor de serviço utilizando um dispositivo primário; enviar (110) os dados de transação do dispositivo primário do usuário para o sistema de provedor de serviços via Internet; recuperar (115) a senha OTP de usuário a partir do sistema OTP atribuído no sistema de provedor de serviços; criptografar os dados (120) no sistema de provedor de serviços; criar um novo pacote contendo os dados de transação criptografados e os enviar (125) para o dispositivo primário do usuário no sistema de provedor de serviços; receber os dados de transação criptografados no dispositivo primário do usuário e os redirecionar (130) para o dispositivo secundário do usuário; descriptografar e verificar (135) a integridade dos dados de transação no dispositivo secundário do usuário, uma vez que ele armazena a mesma seed de OTP que foi usada para criptografar os dados de transação; mostrar os dados de transação descriptografados no dispositivo secundário do usuário, de modo que o usuário possa verificar (140) se a transação está correta ou foi modificada por um terceiro; se os dados de transação foram modificados por um terceiro, cancelar a transação e enviar (150) a mensagem de cancelamento para o dispositivo primário, que redireciona (155) a mensagem de cancelamento para o sistema de provedor de serviços, e então o sistema de provedor de serviços aborta a transação (160); se os dados da transação estiverem corretos, aceitar a transação e mostrar (170) o código de uso único no dispositivo vestivel, de modo que o usuário pode inserir (175) o código fornecido pelo dispositivo vestivel para confirmar a transação no dispositivo primário, de modo que o sistema de provedor de serviços é permitido a prosseguir com a transação (180).
2. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestiveis, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de criptografar os dados (120) pelo sistema de provedor de serviços (SP) compreende a utilização do algoritmo de criptografia AES-CBC (Advanced Encryption Standard in Cypher Block Chaining) e do código de autenticação de mensagem baseado em hash (Hash-based Message Authentication Code - HMAC) usando a senha OTP recuperada como o código chave.
3. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestiveis, de acordo com a reivindicação 2, caracterizado pelo fato de que a etapa de criar o pacote de dados pelo sistema de provedor de serviços (SP) e enviá-lo para o dispositivo primário do usuário (125) compreende a inclusão dos dados de transação criptografados (3) e suas HMACs.
4. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestiveis, de acordo com a reivindicação 1, caracterizado pelo fato de que o redirecionamento (130) dos dados de transação criptografados a partir do dispositivo primário (200) do usuário para o dispositivo vestivel (204) do usuário compreende a utilização de tecnologia de transferência de dados, preferencialmente Bluetooth.
5. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestiveis, de acordo com a reinvindicação 1, caracterizado pelo fato de que a etapa de verificar os dados de transação (135) é feita com o hash HMAC dos dados de transação.
6. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestíveis, de acordo com a reinvindicação 1, caracterizado pelo fato de que os dispositivos vestiveis (204) de usuário compreendem relógios inteligentes, óculos inteligentes, entre outros dispositivos inteligentes .
7. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestiveis, de acordo com a reinvindicação 1, caracterizado pelo fato de que os dispositivos primários (200) compreendem smartphones, notebooks, PDAs, tablets, entre outros dispositivos com capacidade de processamento.
8. Método (100) para autenticar transação de vários fatores utilizando dispositivos vestiveis, de acordo com a reinvindicação 1, caracterizado pelo fato de que o redirecionamento na etapa de receber os dados de transação criptografados (3) no dispositivo primário do usuário e os redirecionar (130) para o dispositivo secundário do usuário compreende a leitura de um QRCode criptografado no dispositivo primário (200) por uma câmera do dispositivo secundário (204).
BR102014023229-0A 2014-09-18 2014-09-18 Método para autenticação de transação de vários fatores utilizando dispositivos vestíveis BR102014023229B1 (pt)

Priority Applications (2)

Application Number Priority Date Filing Date Title
BR102014023229-0A BR102014023229B1 (pt) 2014-09-18 2014-09-18 Método para autenticação de transação de vários fatores utilizando dispositivos vestíveis
US14/532,554 US20160086176A1 (en) 2014-09-18 2014-11-04 Method for multi-factor transaction authentication using wearable devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BR102014023229-0A BR102014023229B1 (pt) 2014-09-18 2014-09-18 Método para autenticação de transação de vários fatores utilizando dispositivos vestíveis

Publications (2)

Publication Number Publication Date
BR102014023229A2 true BR102014023229A2 (pt) 2016-05-10
BR102014023229B1 BR102014023229B1 (pt) 2020-02-27

Family

ID=55526109

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102014023229-0A BR102014023229B1 (pt) 2014-09-18 2014-09-18 Método para autenticação de transação de vários fatores utilizando dispositivos vestíveis

Country Status (2)

Country Link
US (1) US20160086176A1 (pt)
BR (1) BR102014023229B1 (pt)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411317A (zh) * 2016-05-11 2021-09-17 创新先进技术有限公司 一种验证身份的方法和***、智能穿戴设备

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9002322B2 (en) 2011-09-29 2015-04-07 Apple Inc. Authentication with secondary approver
US8769624B2 (en) 2011-09-29 2014-07-01 Apple Inc. Access control utilizing indirect authentication
WO2014143776A2 (en) 2013-03-15 2014-09-18 Bodhi Technology Ventures Llc Providing remote interactions with host device using a wireless device
US10043185B2 (en) 2014-05-29 2018-08-07 Apple Inc. User interface for payments
US9967401B2 (en) 2014-05-30 2018-05-08 Apple Inc. User interface for phone call routing among devices
EP3654163B1 (en) 2014-05-30 2023-12-13 Apple Inc. Transition from use of one device to another
KR102206533B1 (ko) 2014-08-05 2021-01-22 삼성전자주식회사 모바일 장치, 모바일 장치의 화면 표시 방법, 웨어러블 장치, 웨어러블 장치의 구동 방법 및 컴퓨터 판독가능 기록매체
US10339293B2 (en) 2014-08-15 2019-07-02 Apple Inc. Authenticated device used to unlock another device
US9648164B1 (en) * 2014-11-14 2017-05-09 United Services Automobile Association (“USAA”) System and method for processing high frequency callers
US10652739B1 (en) 2014-11-14 2020-05-12 United Services Automobile Association (Usaa) Methods and systems for transferring call context
CA2970310C (en) * 2014-12-15 2023-09-26 Good Technology Holdings Limited Secure storage
US20160283934A1 (en) * 2015-03-23 2016-09-29 Mass International Co., Ltd. Watch with near field communication chip and the method of transaction
US9660984B2 (en) * 2015-04-01 2017-05-23 Dell Products, L.P. Method of automatically unlocking an electronic device via a wearable device
CN104867004A (zh) * 2015-05-06 2015-08-26 惠州Tcl移动通信有限公司 移动支付***及其移动支付的方法
CN106296186B (zh) * 2015-05-25 2020-07-03 阿里巴巴集团控股有限公司 信息交互方法、装置及***
US9860243B2 (en) * 2015-07-29 2018-01-02 International Business Machines Corporation Authenticating applications using a temporary password
US9930034B2 (en) * 2015-07-29 2018-03-27 International Business Machines Corporation Authenticating applications using a temporary password
US10810296B2 (en) * 2015-08-25 2020-10-20 Sony Corporation Communication apparatus, communication method, and communication system
DK179186B1 (en) 2016-05-19 2018-01-15 Apple Inc REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION
US10332111B2 (en) * 2016-05-19 2019-06-25 Visa International Service Association Authentication with smartwatch
US10621581B2 (en) 2016-06-11 2020-04-14 Apple Inc. User interface for transactions
CN109313759B (zh) 2016-06-11 2022-04-26 苹果公司 用于交易的用户界面
DK201670622A1 (en) 2016-06-12 2018-02-12 Apple Inc User interfaces for transactions
US20180068313A1 (en) 2016-09-06 2018-03-08 Apple Inc. User interfaces for stored-value accounts
CN111340465B (zh) * 2016-09-20 2023-12-12 徐蔚 一种数字资产交易的方法、装置与移动终端
US11010763B1 (en) * 2016-09-27 2021-05-18 United Services Automobile Association (Usaa) Biometric authentication on push notification
US10496808B2 (en) 2016-10-25 2019-12-03 Apple Inc. User interface for managing access to credentials for use in an operation
US11210412B1 (en) * 2017-02-01 2021-12-28 Ionic Security Inc. Systems and methods for requiring cryptographic data protection as a precondition of system access
US11431836B2 (en) 2017-05-02 2022-08-30 Apple Inc. Methods and interfaces for initiating media playback
US10992795B2 (en) 2017-05-16 2021-04-27 Apple Inc. Methods and interfaces for home media control
US10645079B2 (en) * 2017-05-12 2020-05-05 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens and multi-device authentication prompts
US20220279063A1 (en) 2017-05-16 2022-09-01 Apple Inc. Methods and interfaces for home media control
CN111343060B (zh) 2017-05-16 2022-02-11 苹果公司 用于家庭媒体控制的方法和界面
KR102185854B1 (ko) 2017-09-09 2020-12-02 애플 인크. 생체측정 인증의 구현
EP4156129A1 (en) 2017-09-09 2023-03-29 Apple Inc. Implementation of biometric enrollment
US10833859B2 (en) 2017-12-07 2020-11-10 International Business Machines Corporation Automating verification using secure encrypted phone verification
EP3537361A1 (en) * 2018-03-07 2019-09-11 Capital One Services, LLC Secure payment using a network of wearable devices
CN110517046B (zh) * 2018-05-22 2024-08-09 万事达卡国际公司 用户认证***和方法
US11170085B2 (en) 2018-06-03 2021-11-09 Apple Inc. Implementation of biometric authentication
WO2019241788A1 (en) * 2018-06-15 2019-12-19 Vivokey Technologies Inc. Cryptobionic system and associated devices and methods
US11637825B2 (en) * 2019-01-11 2023-04-25 Visa International Service Association Authentication with offline device
CN117170620A (zh) 2019-05-31 2023-12-05 苹果公司 用于音频媒体控件的用户界面
US11010121B2 (en) 2019-05-31 2021-05-18 Apple Inc. User interfaces for audio media control
WO2021011934A1 (en) * 2019-07-18 2021-01-21 Visa International Service Association System and method utilizing chain of trust
US11860988B1 (en) * 2019-08-30 2024-01-02 United Services Automobile Association (Usaa) Smart ring for financial transactions
US11816194B2 (en) 2020-06-21 2023-11-14 Apple Inc. User interfaces for managing secure operations
US11595193B2 (en) * 2020-07-10 2023-02-28 Vmware, Inc. Secure data storage for anonymized contact tracing
US11392291B2 (en) 2020-09-25 2022-07-19 Apple Inc. Methods and interfaces for media control with dynamic feedback
US11768939B2 (en) 2021-03-25 2023-09-26 International Business Machines Corporation Authentication in an update mode of a mobile device
US11847378B2 (en) 2021-06-06 2023-12-19 Apple Inc. User interfaces for audio routing
US11741213B2 (en) 2021-06-24 2023-08-29 Bank Of America Corporation Systems for enhanced bilateral machine security
US11784956B2 (en) 2021-09-20 2023-10-10 Apple Inc. Requests to add assets to an asset account
US20230109544A1 (en) * 2021-10-05 2023-04-06 Capital One Services, Llc Systems and methods for conducting remote attestation
US11777922B2 (en) * 2021-10-12 2023-10-03 Dell Products L.P. Autonomous multi-factor authentication
EP4220450A1 (en) * 2022-02-01 2023-08-02 Charité - Universitätsmedizin Berlin Controlled provision of electronic data for machine-learning
CN114978541A (zh) * 2022-05-19 2022-08-30 中国银行股份有限公司 一种交易数据处理方法、装置、设备及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7516491B1 (en) * 2002-10-17 2009-04-07 Roger Schlafly License tracking system
SG147345A1 (en) * 2007-05-03 2008-11-28 Ezypay Pte Ltd System and method for secured data transfer over a network from a mobile device
US8302167B2 (en) * 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
US8260262B2 (en) * 2009-06-22 2012-09-04 Mourad Ben Ayed Systems for three factor authentication challenge
US8745699B2 (en) * 2010-05-14 2014-06-03 Authentify Inc. Flexible quasi out of band authentication architecture
US20110270751A1 (en) * 2009-12-14 2011-11-03 Andrew Csinger Electronic commerce system and system and method for establishing a trusted session
US9210150B2 (en) * 2011-10-25 2015-12-08 Salesforce.Com, Inc. Two-factor authentication systems and methods
US20140337957A1 (en) * 2013-05-07 2014-11-13 Dannie Gerrit Feekes Out-of-band authentication
US20150371221A1 (en) * 2014-06-20 2015-12-24 Ebay Inc. Two factor authentication for invoicing payments

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411317A (zh) * 2016-05-11 2021-09-17 创新先进技术有限公司 一种验证身份的方法和***、智能穿戴设备
CN113411317B (zh) * 2016-05-11 2023-05-26 创新先进技术有限公司 一种验证身份的方法和***、智能穿戴设备

Also Published As

Publication number Publication date
BR102014023229B1 (pt) 2020-02-27
US20160086176A1 (en) 2016-03-24

Similar Documents

Publication Publication Date Title
BR102014023229A2 (pt) método para autenticação de transação de vários fatores utilizando dispositivos vestíveis
US11258777B2 (en) Method for carrying out a two-factor authentication
US8112787B2 (en) System and method for securing a credential via user and server verification
US9749131B2 (en) System and method for implementing a one-time-password using asymmetric cryptography
EP2991267B1 (en) Apparatus for providing puf-based hardware otp and method for authenticating 2-factor using same
US7775427B2 (en) System and method for binding a smartcard and a smartcard reader
US20160323272A1 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
US20150348026A1 (en) Security for mobile applications
US8397281B2 (en) Service assisted secret provisioning
US11949785B1 (en) Biometric authenticated biometric enrollment
US10693645B2 (en) Security management system for performing a secure transmission of data from a token to a service provider server by means of an identity provider server
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
CA2779654A1 (en) Method for secure interaction with a security element
Borchert et al. Indirect NFC-Login on a Non-NFC Device using an NFC-Smartphone
KR20140029067A (ko) 전자신원확인 장치 및 방법
KR20150003124A (ko) PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법
KR101804845B1 (ko) 무선단말기에서의 otp인증방법
JP2012070197A (ja) 端末利用者認証システム

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B65X Notification of requirement for priority examination of patent application
B65Z Priority examination of the patent application refused (request does not comply with dec. 132/06 of 20061117)
B65X Notification of requirement for priority examination of patent application
B65Y Grant of priority examination of the patent application (request complies with dec. 132/06 of 20061117)
B06A Patent application procedure suspended [chapter 6.1 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 18/09/2014, OBSERVADAS AS CONDICOES LEGAIS.

B21F Lapse acc. art. 78, item iv - on non-payment of the annual fees in time

Free format text: REFERENTE A 8A ANUIDADE.

B24J Lapse because of non-payment of annual fees (definitively: art 78 iv lpi, resolution 113/2013 art. 12)

Free format text: EM VIRTUDE DA EXTINCAO PUBLICADA NA RPI 2688 DE 12-07-2022 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDA A EXTINCAO DA PATENTE E SEUS CERTIFICADOS, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.