Użytkownik "scream" <n...@p...pl> napisał
> Piękno tego rozwiązania polega na tym, że użytkownik nie uploaduje
> swojego
> obrazka. Obrazki są zdefiniowane przez system płatności, w ich
> katalogu
> online, jest ich kilkaset w różnych kategoriach i w tymże katalogu
> wyświetlają się losowo. Nawet jeśli użytkownik wybierze pierwszy z
> brzegu,
> to nie będzie on "pierwszym z brzegu" tylko którymś z kolei :))

takie rozwiazanie z obrazkiem stosuje system pl@net FortisBanku
w ostatniej wersji
*** blad ***

do góry

scream napisał(a):
> Cześć,
>
> Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
> Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
> jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
> nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
> - genialne w swej prostocie.
>
> Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
> jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
> swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
> musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
> obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
> fajnego kociaka i podpisujemy je "mruczuś".
>
> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
> loginu oraz hasła. Teraz jest inaczej. Jak odbywa się logowanie?
>
> - użytkownik wpisuje login
> - system prosi użytkownika o udzielenie odpowiedzi na jedno z trzech pytań
> - strona z pytaniami jest opatrzona wybranym i podpisanym przez użytkownika
> avatarem
> - po podaniu prawidłowej odpowiedzi, użytkownik jest proszony o hasło
> - po podaniu prawidłowego hasła użytkownik uzyskuje dostęp do konta.
>
> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
> phising. Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
> nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
> długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
> razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
> płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
> kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.
>
> Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
> myślicie?
>

Dlaczego keylogger musiałby "długo zbierać dane i wyławiać odpowiedzi na
pytania (za każdym razem system losuje inne)"
jeżeli napisałeś, że "Użytkownik musi wybrać i podać odpowiedź na 2 pytania"

Po kilku logowaniach keylogger ma komplet danych.

Wygląda mi to na jeszcze jeden przykład w stylu "dodamy fafnastą prośbę
o potwierdzenie czy na pewno chce usunąć ten plik"

Rafał

do góry

krzysztofsf napisał(a):
> On 18 Gru, 00:24, mvoicem <m...@g...com> wrote:
>
>> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na nigeryjskie
>> historie, to bardzo ryzykownie jest zakładać żę "każdy głupi przy logowaniu
>> pokapuje się że....".
>>
>
> Dac plik dzwiekowy zamiast lub oprocz zdjecia.
> Moze pomoc spersonalizowac logowanie.

I analizator DNA - proszę splunąć na ekran :-)

Oczywiście wszyscy użytkownicy mają podłączone głośniki/słuchawki.
Nawet w jakimś "kiosku" z dostępem do internetu ...
A głuchy klient to nie klient. Nie jest podatny na szeptaną reklamę.

Jak to szło? Niemoralne jest pozostawianie pieniędzy frajerom.
Dlatego Smith&Wesson przebija karetę asów.

Rafał

do góry

Dnia Tue, 18 Dec 2007 09:56:19 +0100, Rafal Franczak napisał(a):

> Dlaczego keylogger musiałby "długo zbierać dane i wyławiać odpowiedzi na
> pytania (za każdym razem system losuje inne)"
> jeżeli napisałeś, że "Użytkownik musi wybrać i podać odpowiedź na 2 pytania"
>
> Po kilku logowaniach keylogger ma komplet danych.

Kilka kompletnych logowań to może być 5 minut albo i 5 dni czy 2 tygodnie.
Zainstaluj sobie zresztą kiedyś jakiegoś keyloggera i popatrz jak wygląda
zbieranina tego co wpisywałeś z klawiatury. Chyba, że te nowoczesne
keyloggery logują także połączenia sieciowe i wiadomo które wyrazy to hasła
do banku :)

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry

> Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
> Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne)
> od

Ano... epassporte poradzil sobie calkiem fajnie z tym problemem. Ale nie do
konca potrafie pojac jakim cudem przecietny amerykanin ma sobie z tym
poradzic ;) to wg mnie jest zbyt skomplikowane jak dla nich... Zreszta moge
sie zalozyc ze jak zamiast jakiegos obrazka z kotkiem wyskoczy im obrazek z
koloseum to tez zatwierdza bo nie beda o tym myslec... :)

pozdrawiam
R

do góry

Dnia Tue, 18 Dec 2007 12:01:03 +0100, Regand napisał(a):

> Ano... epassporte poradzil sobie calkiem fajnie z tym problemem. Ale nie do
> konca potrafie pojac jakim cudem przecietny amerykanin ma sobie z tym
> poradzic ;) to wg mnie jest zbyt skomplikowane jak dla nich... Zreszta moge
> sie zalozyc ze jak zamiast jakiegos obrazka z kotkiem wyskoczy im obrazek z
> koloseum to tez zatwierdza bo nie beda o tym myslec... :)

I pewnie tak właśnie będzie, więc Keyser będzie miał sporo roboty :)) Ale
może chociaż będzie można zostawić kilka groszy na koncie na jakiś czas, bo
póki co strach tam trzymać więcej niż 0,01$ :))

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry

LemonR wrote:

> W większości sprzedawanych obecnie laptopów można znaleźć czytnik lini
> papilarnych. O ile jest on zupełnie nieprzydatny w zwykłym użytkowaniu
> komputera, to może jest to jakiś krok w stronę zniany sposobu logowania do
> serwisów www.

przejechanie paluchem po laptopowym czytniku jest jedynie wygodniejsze
niz wklepytanie hasla, logowanie sie odciskiem palca ktory zostawia
sie wszedzie dookola w dodatku poprzez prosty i latwo oszukiwalny
czytnik nie jest zbyt bezpieczne

a tak poza tym to co ma czytnik do phishingu ?

do góry

blad wrote:

> takie rozwiazanie z obrazkiem stosuje system pl@net FortisBanku
> w ostatniej wersji

takie rozwiazania z obrazkami czy haslami sa stosowane od dawna,
kilku dostawcow systemow autentykacji oferuje takie rozwiazania,
zwykle okresla sie to terminem site-to-user authentication

do góry

scream <n...@p...pl> writes:

> Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
> Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
> jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
> nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
> - genialne w swej prostocie.
>
> Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
> jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
> swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
> musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
> obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
> fajnego kociaka i podpisujemy je "mruczuś".

Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
czytniki linii papilarnych tego nie zmienia.

To, ze akurat istniejacy system podatny jest takze na inne "ataki"
(jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
ale nie zmienia glownego problemu.

> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
> loginu oraz hasła. Teraz jest inaczej.

Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.

> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
> phising.

Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
w ktorym problem sie znajduje.

> Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
> nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
> długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
> razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
> płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
> kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.

To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
elektrycznych urzadzen).
--
Krzysztof Halasa

do góry

Dnia Tue, 18 Dec 2007 19:27:00 +0100, Krzysztof Halasa napisał(a):

> Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
> ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
> czytniki linii papilarnych tego nie zmienia.

Przeczytałeś w ogóle mój post? Jeśli nie ma obrazka, to wiadomo, że nie
łączysz się ze stroną banku tylko z jakąś podróbą.

Czytnik linii papilarnych łatwo oszukać domowymi sposobami, więc to akurat
nie jest najlepsze rozwiązanie.

> To, ze akurat istniejacy system podatny jest takze na inne "ataki"
> (jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
> ale nie zmienia glownego problemu.

Aczkolwiek bardzo mocno utrudnia podrobienie strony banku.

>> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
>> loginu oraz hasła. Teraz jest inaczej.
> Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.

Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
login/hasło. To nie jest bezpieczna forma logowania.

>> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
>> phising.
> Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
> w ktorym problem sie znajduje.

Wyjaśnij więc jak byś podrobił stronę banku w takim przypadku. Trzeba by
pobrać wszystkie dostępne obrazki logowania, następnie dowiedzieć się w
jakiś sposób który obrazek wybrał użytkownik (jak? rozpoznając po dokładnym
rozmiarze pliku?). Pozostaje nam jeszcze problem z podpisem obrazka. Aby go
poznać trzeba by użyć keyloggera ZANIM użytkownik ustanowi zabezpieczenie
dla konta, przechwytywać treść strony wysyłanej do użytkownika przez bank
zakodowanej w SSL, albo włamać się do bazy danych banku. Przy czym po
włamaniu do bazy banku sens traci pozyskiwanie danych konta pojedyńczego
użytkownika. Tak czy inaczej bez instalacji trojana na danym komputerze
raczej by się nie obeszło. No, ale to juz nie jest phishing.

> To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
> o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
> elektrycznych urzadzen).

MITM przy połączeniu kodowanym 128-bitowym SSLem? Jedynie jakiś bardzo
sprytny trojan na komputerze usera, ale to nie phishing.

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry