Bezpieczeństwo kont internetowych
zwolekW...@interia.pl
Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:
1. Hasła jednorazowe (jak w mbank, czy PKO BP),
2. Hasło maskowane (jak w ING - nie wiem obecnie nie mają czegoś nowszego...),
3. Token (jak w Lukas),
4. Podpis elektroniczny (jak w Fortis),
5. Inne...
Nie chodzi mi o to, które operacje powinny być zabezpieczone a które nie (np.
edycja kontrahenta), tylko w którym przypadku istnieje największe
prawdopodobieństwo utraty pieniędzy.
Pozdrawiam
--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
Tequilla
> Który ze sposobów zabezpieczenia dostępu do kont/operacji przez internet jest
> Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:
>
> 1. Hasła jednorazowe (jak w mbank, czy PKO BP),
> 2. Hasło maskowane (jak w ING - nie wiem obecnie nie mają czegoś nowszego...),
> 3. Token (jak w Lukas),
> 4. Podpis elektroniczny (jak w Fortis),
> 5. Inne...
hmm,
nie wiem czy na takie pytanie jest jedyna dobra odpowiedź.
Wg mnie wszystko zależy od tego jak bank dba o swoje sposoby
zapezpieczeń, weryfukuje ich działanie, zabezpiecza własne systemy, jak
pracowitych ma specjlalistów it.
tak mi się wydaje
ale z innej strony to zabezpieczenie w postaci tokena (sprzętowe)i
podpis elektroniczny, najlepiej kwalifikowany to chyba te nejlepsze.
pozdr
tequilla
nodde
IMO: Nie ma najbezpieczniejszego zabezpieczenia :) Chodzi o to by
zabezpiecznia były wielopoziomowe i łaczyły rózne... hm.. technologie,
np. hasło maskowalne + kody sms + podpis i wtedy możemy mówić o jakiś
zabezpieczeniach.
Należy pamiętać że całość jest tak bezpieczna jak najsłabsze ogniwo,
a przy dzisiejszych zabezpieczeniach (jakie by nie były) jakie stosują
banki najsłabszym ogniwem jest komputer użytkownika który korzysta z
bankowości elektronicznej.
PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
chroni przed atakiem typu man-in-the-middle.
pozdrawiam
nodde
Stefan
> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
> zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
> chroni przed atakiem typu man-in-the-middle.
>
> pozdrawiam
> nodde
AFAIK nie da się podmienić certyfikatu banku przy ataku man in the middle w
niezauważalny dla użytkownika sposób.
.neter
internetowych? Ja myślę że około zera.
Bardziej obawiał bym się prostszych metod - niezabezpieczony komputer
użytkownika banku, zapamiętywanie haseł przez przeglądarkę, zapisywanie
hasła do serwisu bankowego na liście haseł jednorazowych i noszenie tej
listy w portfelu, 'podszywanie' się podejrzanych serwisów internetowych
pod bank.
nodde
>> middle w
>> niezauważalny dla użytkownika sposób.
Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm ??
myslę że wystarczająca ilość :(
> Ciekawe ile ataków 'man in the middle' było w polskich bankach
> internetowych? Ja myślę że około zera.
Myślę że nie ma prowadzonych takich statystyk, to chyba że ten man in
the middle by je prowadził ;)
pozdrawiam
nodde
XXX XXX
Użytkownik <zwolekW...@interia.pl> napisał w wiadomości
news:4294.000000...@newsgate.onet.pl...
Panie misiu jasiu w BSK Online tez jest podpis cyfrowy. Hasło maskowane jest
o autentykacji a przelewy sa podpisywane.
Stefan
>>> AFAIK nie da się podmienić certyfikatu banku przy ataku man in the
>>> middle w
>>> niezauważalny dla użytkownika sposób.
>
> Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm ??
> myslę że wystarczająca ilość :(
Nie wiem jaka ilość, nie znam statystyk, ale ja i osoby jakie znam, przy
bankowości internetowej są podwójnie wyczuleni na jakiekolwiek
nieprawidłowości.
Marcin Gabryszewski
> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
> zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
> chroni przed atakiem typu man-in-the-middle.
>
??
Mógłbyś wytłumaczyć??
Bo jak dla mnie każdy normalny bank jest odporny na mitm(bo samo
zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
atak nie przejdzie ).
Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.
--
Marcin Gabryszewski
G DATA Software
www.gdata.pl
address:<FirstName><dot><Surname><at><gdata><dot><pl>
robbi
>> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem
>> średnie zabezpiecznie, dające poczucie złudnego bezpieczeństwa
>> ponieważ np. nie chroni przed atakiem typu man-in-the-middle.
>>
> ??
> Mógłbyś wytłumaczyć??
>
> Bo jak dla mnie każdy normalny bank jest odporny na mitm(bo samo
> zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
> atak nie przejdzie ).
>
> Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
> karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.
>
Nawet najlepsze zabezpieczenai padna jesli uzytkownik z nich
korzystający nie bedzie dbal o elementarne zasady bezpieczenstwa - lamie
sie ludzi, nie kody.
Co do polskich systemow to uwazam ze sa na bardzo wysokim poziomie -
miedzy innymi dlatego ze bankowosc w naszym kraju zaczela sie rozwijac w
latach 90 i na dzien dobry brala w maire najnowsze rozwiazania - w
przeciwienstwie do wielu zachodnich bankow ktore czasami wciaz ciagna
stare systemy ktore napisane w ginacych juz jezykach maja powazne
problemy przy dawaniu do nich dostepu do netu.
Tak wiec czy to token, karta z chipem i certyfiaktem, hasla jednorazowe
- wszystko gwarantuje bezpieczenstwo tak dlugo jak dlugo uzytkujaca to
osoba dba o to aby nie dac sie okrasc.
pzdr
robbi
nodde
> zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
> atak nie przejdzie ).
> Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
> karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.
Jeśli dobrze zrozumiałem to chodzi o zaufaną trzecia stronę czyli, jesli
dalej dobrze rozumiem, o wystawce certyfikatu, tak ?
Większosc ataków nie jest kierowana przeciwko bankowi, a przeciwko
użytkownikowi, w tym przypadku całość opiera sie na braku
wiedzy/lenistwie/braku czujności użytkownika, który zaakceptuje bez
sprawdzenia podstawiony certyfikat.
A wtedy czy to będzie token czy nie - nie ma już większego znaczenia.
Oczywiście trzeba uszczegółowić do czego jakie zabezpiczenie jest
używane - w tym przypadku token - czy do logowania do banku czy do
wykonywania dyspozycji.
Dlatego dopiero zastosowanie róznego typu zabezpieczeń daje mniejszy lub
większy poziom bezpieczeństwa.
pozdrawiam
nodde
Noeee
Najbezpieczniejszy obecnie jest token ... - nawet jeśli ktoś podsłucha
transmisję ... i odczyta klucz ... to i tak zmienia się on co 1 min ...
więc na nic mu się on nada ....
Co do innych zabezpieczeń:
1) Lista haseł jest ok do mom. kiedy ktoś jej ;) (ci nie np. skseruje
lub zdobędzie w inny sposób) .... Tokena nawet może sobie pooglądać itp.
a i tak nic mu to nie da ...
Co do podpisu elektronicznego .... w Fortisie i innych bankach ....
Tam większość opiera na certyfikatach instalowanych w przeglądarkach i
kluczu prywatnym i pinie .....
Też dość bezpiecznie ... do mom . np. jak dostaniesz w emailu jakiegoś
super nowego trojana/keyloggera i zassa on z twojego kompa
certyfikat/klucz/i pin .... i po tobie ;.
Dla mnie najlepszy jest tylko TOKEN ale ... ma jedną wadę (jest
nieporęczny) hehehe.
Co do innych zabezpieczeń typu kombinacja PESEL, jakieś daty urodzenia
itp ... to są jakieś nieporozumienia i ... na prawdę podziwiam
informatyków z tych banków - którzy mają odwagę z takimi systemami
pracować ;).
Co do transmisji SSL i TSL też są ok. i mogą utrudnić włam ... ale jak
ktoś chce mieć 100% pewności to tylko token.
Nawet hasła jednorazowe nie są bezpieczne ...
np.
W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można bez
znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;) - też
dla mnie poważne niedociągnięcie !
Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na robienie
tego jest b. wiele ... a nie każda sieć ma switch'e z
autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie ... tajwany
- gdzie nawet nie trzeba przepełniać bufora ... aby słuchać wszystkiego
;). Strzeżcie się kafejek internetowych - albo sieci Wi-Fi.
Najlepiej przelewy robić z Domu i pewnego komputera.
pozdr.
Norbert
Janek Pradera
> Nawet najlepsze zabezpieczenai padna jesli uzytkownik z nich
> korzystający nie bedzie dbal o elementarne zasady bezpieczenstwa - lamie
> sie ludzi, nie kody.
>
> Co do polskich systemow to uwazam ze sa na bardzo wysokim poziomie -
> miedzy innymi dlatego ze bankowosc w naszym kraju zaczela sie rozwijac w
> latach 90 i na dzien dobry brala w maire najnowsze rozwiazania - w
> przeciwienstwie do wielu zachodnich bankow ktore czasami wciaz ciagna
> stare systemy ktore napisane w ginacych juz jezykach maja powazne
> problemy przy dawaniu do nich dostepu do netu.
>
> Tak wiec czy to token, karta z chipem i certyfiaktem, hasla jednorazowe
> - wszystko gwarantuje bezpieczenstwo tak dlugo jak dlugo uzytkujaca to
> osoba dba o to aby nie dac sie okrasc.
Amen.
Pytanie: ilu użytkowników sprawdza w swoich przeglądarkach, czy
"kłódeczka" dla bezpiecznego połączenia (https) jest "zamknięta" ?
-Janek-
robbi
> Pytanie: ilu użytkowników sprawdza w swoich przeglądarkach, czy
> "kłódeczka" dla bezpiecznego połączenia (https) jest "zamknięta" ?
To podchwytliwe pytanie ?? ;>
pzdr
robbi
Marcin
Użytkownik "Noeee" <no...@poczta.onet.pl> napisał w wiadomości
news:e5min1$f4l$1...@news.dialog.net.pl...
> ;). Strzeżcie się kafejek internetowych - albo sieci Wi-Fi.
Co do kafejek to zgoda ale jak podsluchasz transmisje po https w sieci WiFi?
Znaczy nie sama transmisje bo to jest proste, ale co tak naprawde jest w tej
transmisji.
> Najlepiej przelewy robić z Domu i pewnego komputera.
A czy przecietny uzytkownik nie powinien raczej robic operacji
bankowych na komputerze w pracy? Taki komputer jest duzo
lepiej zebezpieczony niz przecietny pecet w domu. Chocby
sprzetowe firewalle, instalcja krytycznych latek itp. No i tam
sa ludzie, ktorzy dbaja o bezpieczenstwo (przynajmniej
w wiekszych firmach) a w domu zwykle
szczyt zabezpieczen to antywirus. W pracy tez zwykle nie masz
poinstalowanych tych wszystkich p2p i innych programow
niewiadomoego pochodzenia bo nie mozna ich instalowac.
Chociaz w domu mozna miec plytke z linuxem live i uruchamiac
do operacji bankowych, tylko jaki procent uzytkownikow tak robi?;)
Pozdrawiam
Marcin
Stefan
> Co do transmisji SSL i TSL też są ok. i mogą utrudnić włam ... ale jak
> ktoś chce mieć 100% pewności to tylko token.
Transmisja jest OK jeśli nie jest prowadzona po SSL 2, a taką niestety
jeszcze niektóre banki udostępniają; SSL2 miał taką wadę że mozna było
wymusić degradację szyfrowania do niższego które było bardzo łatwe do
złamania i podsłuchania transmisji. Tylko że kiedy się ma token to nawet
podsłuchiwanie transmisji niewiele da, bo chyba niewiele włamywaczy potrafi
co minutę wygenerować poprawny 6 cyfrowy klucz :)
Tymek
>
> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na robienie
> tego jest b. wiele ... a nie każda sieć ma switch'e z
> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie ... tajwany
> - gdzie nawet nie trzeba przepełniać bufora ... aby słuchać wszystkiego
Taaakkk na pewno tylko podsluchujac https jestes w stanie
zrozumiec/zdekodowac przesylana informacje:)
nodde
> podsłuchiwanie transmisji niewiele da, bo chyba niewiele włamywaczy potrafi
> co minutę wygenerować poprawny 6 cyfrowy klucz :)
i właśnie to nazywam złudnym poczuciem bezpieczeństwa.
Nie trzeba generować nowego klucza, wystarczy że przejmie się ten jeden
w mitm, i za jego pomocą zaloguje sie do banku. I nie trzeba
genrować/wymyślać nowego klucza z tokena.
Inne pytanie, czy jakies banki (w rozumieniu portale bankowości
elektronicznej) dają możliwość sprawdzenia z jakich adresów ip zostało
nawiązane połącznie ?? Wie ktoś ?
pozdrawiam
nodde
Noeee
traci ważność ... i tak naprawdę musisz poczekać do następnej minuty ..
(w praktyce nawet tego nie zauważysz bo zwykle po zalogowaniu - zanim
zrobisz przelew już mija 1 min).
Noeee
> Taaakkk na pewno tylko podsluchujac https jestes w stanie
> zrozumiec/zdekodowac przesylana informacje:)
Oj zdziwił byś się ;)
Nawet do tego wiele nie trzeba ....
Nie ta grupa na takie dywagacje .....
Z SSL1 to nawet nie trzeba dużo wiedzy - zrobisz to w 5,10 minut ;)-
od SS2 podobno jest bezpiecznie ..... - tylko czy ja wiem ... jak przy
pierwszym wejściu pobierasz i akceptujesz klucz z serwera ....
Tak naprawdę 100% bezpiecznie było by gdybyś sam sobie do przeglądarki
zainstalował certyfikat przyniesiony na dyskietce z banku.
Z drugiej strony ssl2/tsl są w miarę bezpieczne .... bo naprawdę trzeba
by wiele zachodu by to zdekodować ... a nikt nie będzie tego robił dla
"paru" złotych z konta kowalskiego.
NB
Krzysztof Halasa
> Który ze sposobów zabezpieczenia dostępu do kont/operacji przez internet jest
> Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:
>
> 1. Hasła jednorazowe (jak w mbank, czy PKO BP),
Tu niebezpieczenstwo dotyczy np. poczty i przechowywania listy. Dosc
skuteczne.
> 2. Hasło maskowane (jak w ING
Nie wiem jak to dziala.
> 3. Token (jak w Lukas),
Tokeny w porownaniu do OTP sa latwiejsze w uzyciu (a wiec jest wieksza
szansa, ze ktos bedzie z nich prawidlowo korzystal - tu moze bez
znaczenia), oraz sa potencjalnie mniej bezpieczne (w sensie algorytmu).
Ale w praktyce zarowno OTP jak i (sensowne) tokeny sa w takich
zastosowaniach dosc rownowazne.
> 4. Podpis elektroniczny (jak w Fortis),
Jesli zrobiony dobrze, to ma (w porownaniu do OTP oraz czesciowo do
tokenow) potencjalna slabosc algorytmu (ale to tutaj malo istotne
w praktyce), natomiast ma duza zalete - informacje posiadane przez
bank nie sa wystarczajace do podpisania zlecenia. Ale nie wiem jak
jest w Fortisie, implementacje bywaja wadliwe.
> Nie chodzi mi o to, które operacje powinny być zabezpieczone a które nie (np.
> edycja kontrahenta), tylko w którym przypadku istnieje największe
> prawdopodobieństwo utraty pieniędzy.
Tak jak ktos napisal, poszukalbym slabszych ogniw, takich jak insider
w banku (nie liczac sensownie zrobionego podpisu) oraz przede
wszystkim klient i jego komputer.
--
Krzysztof Halasa
Krzysztof Halasa
> Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm
> ?? myslę że wystarczająca ilość :(
To zalezy od tego co rozumiesz pod pojeciem "sprawdzenie certyfikatu".
Certyfikaty dla serwerow WWW wydawane sa dla konkretnych nazw (domen)
serwera. Jesli ktos jest w stanie uzyskac podpisany przez odpowiednie
CA certyfikat dla np. www.mbank.pl, to jestem przekonany, ze uzyskanie
tam nazwy banku itd. nie bedzie juz zasadniczym dodatkowym problemem.
No chyba ze przegladarka akceptuje certyfikat dla "www.xxx.pl" jesli
strona znajduje sie na serwerze "www.mbank.pl" - ale wtedy pretensje
nalezy raczej miec do producenta przegladarki.
BTW: byly publicznie znane przypadki wyludzenia certyfikatow, mimo
ze CA takich informacji same nie publikuja (co kaze domniemywac, ze
"zatuszowanych" przypadkow bylo/jest duuzo wiecej). Jesli kogos to
interesuje to sugeruje obejrzec liste "zaufanych" root CA we wlasnej
przegladarce, a jak ktos wciaz ma watpliwosci to moze zapoznac sie
z deklarowanymi procedurami stosowanymi przez te firmy.
--
Krzysztof Halasa
Krzysztof Halasa
> Pytanie: ilu użytkowników sprawdza w swoich przeglądarkach, czy
> "kłódeczka" dla bezpiecznego połączenia (https) jest "zamknięta" ?
A jaka przegladarka wyswietli strone z otwarta "klodeczka" przy https?
Nie wiem, pytam.
--
Krzysztof Halasa
Krzysztof Halasa
> Co do transmisji SSL i TSL też są ok. i mogą utrudnić włam ... ale jak
> ktoś chce mieć 100% pewności to tylko token.
Nonsens. BTW: tokeny powstaly po to, by zredukowac uciazliwosci
zwiazane z obsluga hasel jednorazowych.
> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można
> bez znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;)
> - też dla mnie poważne niedociągnięcie !
Wystarczy ich nie definiowac. Zlodziej moze miec problem w wyciagnieciu
pieniedzy od np. gazowni.
> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na
> robienie tego jest b. wiele ... a nie każda sieć ma switch'e z
> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie
> ... tajwany - gdzie nawet nie trzeba przepełniać bufora ... aby
> słuchać wszystkiego ;).
Nonsensy. Zalozenie jest takie, ze karta transmisja w sieci jest
potencjalnie podsluchiwana. I mimo to SSL/TLS/itp. zapewnia poufnosc,
pod warunkiem zastosowania sie do kilku prostych zasad.
Nie zeby przecietny klient sie do nich stosowal.
> Strzeżcie się kafejek internetowych - albo
> sieci Wi-Fi.
> Najlepiej przelewy robić z Domu i pewnego komputera.
To oczywiscie prawda, z tym ze sieci WiFi maja sie do tego nijak, gdyz
nie sa czescia samego komputera jak bezpiecznego urzadzenia (szyfrowanie
nie odbywa sie "w sieci").
BTW: na kafejki lub robaka w systemie zaden token nie pomoze.
--
Krzysztof Halasa
Krzysztof Halasa
> A czy przecietny uzytkownik nie powinien raczej robic operacji
> bankowych na komputerze w pracy?
Jesli ufa np. swojemu adminowi oraz temu, ze w nocy nikt tam nic nie
zainstaluje (ani kolega z pracy) to czemu nie?
--
Krzysztof Halasa
Krzysztof Halasa
> Co do tokena ... to raz użyty klucz ... w ciągu jednej minuty ... już
> traci ważność
Nie traci jesli bank go nie zobaczy :-)
--
Krzysztof Halasa
Jacek Pełka
>
> Nawet hasła jednorazowe nie są bezpieczne ...
> np.
> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można bez
> znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;) - też
> dla mnie poważne niedociągnięcie !
>
potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
no i proszę - minęły głupie 2 lata i zrobili :)
pzdr
Jacek
--
"Są na świecie rzeczy, o których się fizjologom nie śniło"
- F. Kiepski
Sławomir Szyszło
wklepał(-a):
>W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
>potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
>na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
>no i proszę - minęły głupie 2 lata i zrobili :)
Co jeszcze napisałeś wtedy? :)
--
Sławomir Szyszło mailto:slas...@poczta.onet.pl
FAQ pl.comp.bazy-danych http://www.dbf.pl/faq/
FAQ pl.comp.www.nowe-strony http://www.faq-nowe-strony.prv.pl/
robbi
> W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
> potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
> na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
> no i proszę - minęły głupie 2 lata i zrobili :)
Tylko nie mow ze pisales tez ze za niskie oplaty maja ;D
pzdr
robbi
Akkon
> W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
> potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
> na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
> no i proszę - minęły głupie 2 lata i zrobili :)
To może i mBank się zdecyduje...
jureq
>> Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm
>> ?? myslę że wystarczająca ilość :(
>
> To zalezy od tego co rozumiesz pod pojeciem "sprawdzenie certyfikatu".
Tak nawiasem mówiąc: Czy jestem naprawdę jedynym klientem, któremu
przeszkadza, że certyfikat jakim jest podpisany applet w systemie ING
jets od dawna przeterminowany?
Noeee
> zwiazane z obsluga hasel jednorazowych.
Wiesz co tokeny powstały na długo-długo wcześniej zanim ktoś wymyślił
hasła jednorazowe ... i były używane do zupełnie innych celów nie
związanych często z bankami ...
http://www.rsasecurity.com/node.asp?id=1156
A co do haseł jednorazowych vs token .... to hasła jednorazowe są po
prostu tańsze dla banku !!! i dlatego są tak popularne.
Dla banku obsługa serwera RSA/SecureID dla np. 10 tys userów z tokenami
to dość poważny wydatek - i jeszcze licencja za używanie !
A takie hasełka są tanie i w miarę bezpieczne ....
Ostatnio modne są hasła przez SMS ... - wydaje mi się, że
bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
nie leżą gdzieś i nikt ich nie podejrzy).
>> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można
>> bez znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;)
>> - też dla mnie poważne niedociągnięcie !
>
> Wystarczy ich nie definiowac. Zlodziej moze miec problem w wyciagnieciu
> pieniedzy od np. gazowni.
Tylko po to jednak są te przelewy zdefiniowane aby umilić i przyśpieszyć
pracę ... a nie utrudnić życie !
Bank powinien tak zaprojektować system aby był bezpieczny i funkcjonalny
! dlatego każda operacja z MOIMI pieniędzmi powinna być zatwierdzana
jakimś kluczem (czy to będzie token czy lista haseł)
>
>> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
>> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na
>> robienie tego jest b. wiele ... a nie każda sieć ma switch'e z
>> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie
>> ... tajwany - gdzie nawet nie trzeba przepełniać bufora ... aby
>> słuchać wszystkiego ;).
>
> Nonsensy. Zalozenie jest takie, ze karta transmisja w sieci jest
> potencjalnie podsluchiwana. I mimo to SSL/TLS/itp. zapewnia poufnosc,
> pod warunkiem zastosowania sie do kilku prostych zasad.
> Nie zeby przecietny klient sie do nich stosowal.
Ty mówisz o idealnym świecie a życie życiem ;)
Kto ze zwykłych userów stosuje się chociażby do elementarnych zasad ....
Wystarczy, że pojawi się jakiś nieznane okienko i kliknij OK lub Anuluj
i już przeciętny user ma dylemat ....
Co do podsłuchów w LAN to temat rzeka !
Bardzo dużo ludzi ma internet w sieciach osiedlowych ;) - tamto dopiero
można słuchać ....
Jeśliby infrastruktura LAN/WAN była idealna to tak ... ale jak jest w
rzeczywistości ;) - jak się robi sieci po kosztach - to nikt nie dba o
bezpieczeństwo.
> To oczywiscie prawda, z tym ze sieci WiFi maja sie do tego nijak, gdyz
> nie sa czescia samego komputera jak bezpiecznego urzadzenia (szyfrowanie
> nie odbywa sie "w sieci").
Ale są po drodze transmisji pakietów !
i jeśli są (o zgroza beż żadnego kodowania - ogólnodostępne) to
powodzenia w pracy w takiej sieci ... - one się nadają co najwyżej do
przeglądania stron WWW.
pozdr.
NB
Noeee
>> traci ważność
>
> Nie traci jesli bank go nie zobaczy :-)
Coś w tym jest ;) ale ma bardzo mało czasu na ....
Krzysztof Halasa
> Wiesz co tokeny powstały na długo-długo wcześniej zanim ktoś wymyślił
> hasła jednorazowe ...
Guzik prawda. Hasla jednorazowe byly uzywane duzo wczesniej. I takze
nie do zadnych celow bankowych. Bo i jakich? Banki nie byly dostepne
z sieci.
> A co do haseł jednorazowych vs token .... to hasła jednorazowe są po
> prostu tańsze dla banku !!! i dlatego są tak popularne.
Cena nie ma tu zwiazku z bezpieczenstwem.
> Dla banku obsługa serwera RSA/SecureID dla np. 10 tys userów z
> tokenami to dość poważny wydatek - i jeszcze licencja za używanie !
Owszem, tak kiedys bylo :-)
Teraz jest wiecej opcji, i wszystko jest tansze.
Ale oczywiscie listy OTP sa zapewne jeszcze sporo tansze.
> Ostatnio modne są hasła przez SMS ... - wydaje mi się, że
> bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
> nie leżą gdzieś i nikt ich nie podejrzy).
M.in. operator GSM moze podejrzec. Nie widze tu zadnej zalety
w bezpieczenstwie, wady - choc inne - sa porownywalne.
> dlatego każda operacja z MOIMI pieniędzmi powinna być
> zatwierdzana jakimś kluczem (czy to będzie token czy lista haseł)
Tak czy owak mozna to niebezpieczenstwo wyeliminowac. Bardzo czesto
jest tak ze wiaze sie to z utrudnieniem zycia, ale to juz sprawa
drugorzedna i decyzja nalezy do Ciebie. Mozesz takze pomeczyc bank,
mozna zrobia taka opcje?
> Kto ze zwykłych userów stosuje się chociażby do elementarnych zasad ....
> Wystarczy, że pojawi się jakiś nieznane okienko i kliknij OK lub
> Anuluj i już przeciętny user ma dylemat ....
Coz z tego? Przecietny klient ma 500 zl na koncie i wiecej nie straci.
Ryzyko akceptowalne, biorac pod uwage prawdopodobienstwo.
Masz wiecej, czytasz komunikaty. To jest prosta zaleznosc.
> Co do podsłuchów w LAN to temat rzeka !
> Bardzo dużo ludzi ma internet w sieciach osiedlowych ;) - tamto
> dopiero można słuchać ....
> Jeśliby infrastruktura LAN/WAN była idealna to tak ... ale jak jest w
> rzeczywistości ;) - jak się robi sieci po kosztach - to nikt nie dba o
> bezpieczeństwo.
Coz z tego? SSL zapewnia (moze zapewnic) bezpieczenstwo.
> Ale są po drodze transmisji pakietów !
> i jeśli są (o zgroza beż żadnego kodowania - ogólnodostępne) to
> powodzenia w pracy w takiej sieci ... - one się nadają co najwyżej do
> przeglądania stron WWW.
To niewykluczone, jednakze wciaz nie wplywa to ujemnie na samo
bezpieczenstwo, a tylko na np. szybkosc, dostepnosc itp.
--
Krzysztof Halasa
Krzysztof Halasa
Dla nawet wolnego komputera to prawie wiecznosc.
--
Krzysztof Halasa
nodde
>>bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
>>nie leżą gdzieś i nikt ich nie podejrzy).
> M.in. operator GSM moze podejrzec. Nie widze tu zadnej zalety
> w bezpieczenstwie, wady - choc inne - sa porownywalne.
Eee tam, ostanio zostałem zaspamowany SMSammi z kodami dostępu z BZWBK24
Tylko że ja tam nie ma i nie miałem nigdy żadnego konta... Jeżeli,
nazwijmy to - sieć operatora - nie potrafi rozróżnić numerów tel no to
sorry :) Problem był w jednej cyfrze numeru telefonu (w prefixie), z
czego jak się zadwoniło z innego apartu na ten numer to dzwoniło u mnie
:) Jak na mój numer to też dzwoniło u mnie. miodzio. :) no ale to juz OT ;)
Dla dociekliwych: Plus GSM
pozdrawiam
nodde