Użytkownik PshemeK napisał:

>> Jestes zupelnie niepotrzebnie napastliwy. Sa rozwiazania, ktore sa dla
>> mnie wygodniejsze i do tego duzo bezpieczniejsze. BePeHahaha mnie
>> irytuje, ale kazdy bank ma cos nie tak.
>
> Tak, pisałeś. Tokeny albo hasła jednorazowe.
>
> A co jeśli zgubisz zdrapkę? Korzystasz z banków, które mają takie
> zabezpieczenia. Jak długo trwa wydanie nowego?

Nie mam pojecia. Zdrapke nosze w portfelu razem z kartami. Jak strace to
wszystko na raz. ;-)

>>> A poza tym podałbyś CAŁE hasło przez telefon, jakby ktoś poprosił?
>>
>> Jasne. W Inteligo podaje.
>
> Ale to jest hasło jednorazowe, tak? I wszędzie musisz nosić zdrapkę?

Logowania rowniez. A zdrapka j.w.

> No dobra, może przesadziłem. Chciałem być tylko cyniczny.
> Generalnie chodziło mi o to, że zabezpieczenia proste dla klientów są
> rónież proste dla złodziei. Im łatwiej klientowi dostać się do swoich
> środków, tym łatwiej złodziejowi je ukraść.

Wcale nie bylbym tego taki pewien. Jak mi swisnie zdrapke, to i tak jej
nie wykorzysta nie majac mojego nr klienta i hasla logowania. Majac nr i
haslo, a nie majac zdrapki tez mi nic nie zrobi (albo niewiele, zrobi mi
nadplate w opa komorkowego, albo przeleje kase komus z rodziny lub inne
moja konta). Wejscie w posiadanie jednego i drugiego wymaga wiekszych
nakladow, wiec lepiej wlamac sie do BePeHahahaha, bo szybko i latwo.

Bartol

do góry

Bartol Partol napisał(a):
> Użytkownik PshemeK napisał:
>
>>> Jestes zupelnie niepotrzebnie napastliwy. Sa rozwiazania, ktore sa
>>> dla mnie wygodniejsze i do tego duzo bezpieczniejsze. BePeHahaha mnie
>>> irytuje, ale kazdy bank ma cos nie tak.
>>
>>
>> Tak, pisałeś. Tokeny albo hasła jednorazowe.
>>
>> A co jeśli zgubisz zdrapkę? Korzystasz z banków, które mają takie
>> zabezpieczenia. Jak długo trwa wydanie nowego?
>
>
> Nie mam pojecia. Zdrapke nosze w portfelu razem z kartami. Jak strace to
> wszystko na raz. ;-)
>

A jeśli stracisz/zgubisz/ktoś Ci ukradnie, a będziesz musiał wykonać
pilnie przelew?
A jeśli robisz sporo przelewów dziennie?

Jak posiejesz zdrapkę to lipa.

A hasło maskowane, nawet jeśli nie lubisz podawać na wyrywki, to zawsze
możesz sobie na chwilę zapisać policzyć literki i zniszczyć.

Pozdrawiam

PshemeK

do góry

W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):

>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.
>
> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.

Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
siebie.


Ale ty nie lubisz BPH i jeśłi fakty przeczą teori - tym gorzej dla faktów.

do góry

Dnia Thu, 09 Jun 2005 00:55:40 +0200,
osoba podpisana: PshemeK <p...@o...pl>
napisała:
> Bartol Partol napisał(a):
[...]
> A jeśli stracisz/zgubisz/ktoś Ci ukradnie, a będziesz musiał wykonać
> pilnie przelew?
Jak zgubi/straci wszystko naraz to raczej będzie miał inny problem.:-)

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/aster.xhtml#f4y
Zanim wlaczysz komputer, zastanow sie: Czy jestes absolutnie pewien(na), ze nie
jest podlaczany do wyrzutni rakiet?

do góry

Dnia Wed, 8 Jun 2005 09:44:50 +0000 (UTC),
osoba podpisana: Jacek Osiecki <j...@c...pl>
napisała:
[...]
> Przed keyloggerem karta kryptograficzna nie zabezpieczy. Dlatego najlepsze
> właśnie jest urządzenie całkowicie od komputera niezależne - token.

Dlaczego ?
KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/aster.xhtml#f4y
A fanatic is a person who can't change his mind and won't change the subject.
- Winston Churchill

do góry

Dnia Wed, 8 Jun 2005 07:55:16 +0000 (UTC),
osoba podpisana: Jurek Zielinski <c...@t...debica.pl>
napisała:
> W artykule <s...@k...kjonca.bogus> Kamil Jonca napisal(a):
>
>> Dnia Tue, 7 Jun 2005 14:32:39 +0000 (UTC),
>> osoba podpisana: Jacek Osiecki <j...@c...pl>
>> E tam. Ja wolałbym taką kartę kryptoraficzną. Co prawda trzeba by
>> ainwestować w czytnik ....
>
> A skąd wiesz co karta podpisuje?
> Snifer zczytuje pin do karty kryptograficznej i kawałęk programu podpisuje
> sobie twoją kartą co chce. Albo kawałek programu który podmieni transakcję
> pomiędzy twoją akceptacją a podpisaniem przez kartę i po wszystkim.
Przypuszczam że "równie trudno" jest napisac "kawałek" programu który
zamieni to co "podisuje token" (Dla tych co nie mieli tokena w BZWBK:
gdy robiłem przelew to aplikacja abankowa wyświetlała mi liczbę
("pytanie") . Ową liczbę należało wklepać do tokena, a token podawał
odpowiedź, którą z kolei należało wpisać do przeglądarki.
I o ile nic się nie zmieniło to "pytanie" zależało tylko od danych
przelewu, a nie od np czasu.)

Więc tu jak gdyby poziom trudności w złamaniu jest podobny.
Tokeny takie jak w lukasie możemy pominąć, co było napisane w innej
gałęzi tego wątku :-)

KJ


--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/aster.xhtml#f4y
"In order to form an immaculate member of a flock
of sheep one must, above all, be a sheep"
- Albert Einstein

do góry

Dnia Wed, 8 Jun 2005 19:37:54 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <d87g2l$2fa$1@inews.gazeta.pl> Bartol Partol napisal(a):
>> Nieszczesciem jest to, ze bank nie potrafi sie zdecydowac na proste,
>> bezpieczne i _wygodne_ tokeny lub hasla jednorazowe.

> Że zacytuję
> "Marcin Nowakowski wrote:
>> Czytałeś jakąś książke "jak zostać hakerem"? Jak nie, poczytaj archiwum
>> grupy, było o hasłach jednorazowych."

> a dodam że o tokenach też było.

Jeszcze raz: obrobienie konta komuś kto używa tokena albo listy haseł
jednorazowych jest zdecydowanie trudniejsze - wymaga przygotowania parserów,
proxy, operowania na wszystkim w locie. Dużo prościej wybrać sobie za ofiarę
kogoś kto ma konto w banku bez takich zabezpieczeń.

> No i co to za wygoda ja muszę wlec ze sobą klamota wielkości kalkulatora
> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
> hasło jednorazowe nie chroni przez zmianą transakcji w locie.

Tylko że nikt nie będzie się bawił w podmianę transakcji w locie, jeśli może
sobie zarobić dużo łatwiej, szybciej i wygodniej :) Co do tokena:
jest to zdecydowanie lepsze rozwiązanie od listy haseł jednorazowych, bo
jest zabezpieczone przed nieautoryzowanym użyciem.

> Co do karty kryptograficznej to aby była bezpieczna
> - wyświetlaczyk na którym pokaże konto docelowe i kwotę
> - klawiaturę na sobie wstukanie pinu podpisaną tą jedną transakcję
> wtedy można powiedziec że to jest bezpieczne, a przynajmniej ja nie widzę
> możliwości tego oszukać

Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
nie zrobią czegoś tak banalnego... :(

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Wed, 08 Jun 2005 21:13:28 +0200, Bartol Partol napisał(a):
> Użytkownik PshemeK napisał:

>> Chodzi o to, że przy logowaniu system prosi nie o całe hasło, tylko o
>> wybrane z niego losowo znaki. Tak jest np. przy potwierdzaniu transakcji
>> w systemie bankowości telefonicznej BPH. I w ING też chyba tak jest.

> Dla mnie to kompletny bezsens. Pamietam swoje hasla jako pewne ciagi i
> podawanie ich na wyrywki mnie dobija. Szczegolnie przez telefon.

Bankowość na telefon to w ogóle bezsens i wielka dziurwa w bezpieczeństwie :)

A hasło maskowane zdecydowanie bezsensem nie jest! Jest świetnym
zabezpieczeniem przez keyloggerami. Jeśli masz problem z "wyrywkowym"
wypełnieniem hasła to chyba coś nie tak z pamięcią ;)

>> Natomiast zgadzam się z Jackiem. Rezygnacja z hasła maskowanego to nie
>> był najszczęśliwszy pomysł. Najlepiej, żeby hasło maskowane pojawiło się
>> również przy podpisywaniu dyspozycji kluczem.

> Nieszczesciem jest to, ze bank nie potrafi sie zdecydowac na proste,
> bezpieczne i _wygodne_ tokeny lub hasla jednorazowe.

Tokeny kosztują.
Hasła jednorazowe zdecydowanie wygodne NIE SĄ, w dodatku zabezpieczają dużo
słabiej niż tokeny.

Zaś zlikwidowanie hasła maskowanego było debilizmem, bo całkowicie świadomie
POGORSZYLI jakość zabezpieczeń.

>> Jak zostało zauważone, jest to proste a zarazem skuteczne.
> Wcale nie jest proste (dla uzytkownika).

Jest, tylko trzeba umieć literki składać :>

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

W artykule <s...@p...ani> Jacek Osiecki napisal(a):
>> Co do karty kryptograficznej to aby była bezpieczna
>> - wyświetlaczyk na którym pokaże konto docelowe i kwotę
>> - klawiaturę na sobie wstukanie pinu podpisaną tą jedną transakcję
>> wtedy można powiedziec że to jest bezpieczne, a przynajmniej ja nie widzę
>> możliwości tego oszukać
>
> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
> nie zrobią czegoś tak banalnego... :(

Słusznie - to mogło by zadziałać, a jest proste
z transakcji jest generowany skrót cyfrowy, wklepujesz w token,
odpowiedzią podpisujesz transakcję.
Bank wykonuje identyczną operację po swojej stronie. Jeśli zostanie
podmieniony jakikolwiek element transakcji - kod nie zostanie
potwierdzony.

do góry

Jacek Osiecki napisał(a):
> Jeszcze raz: obrobienie konta komuś kto używa tokena albo listy haseł
> jednorazowych jest zdecydowanie trudniejsze - wymaga przygotowania parserów,
> proxy, operowania na wszystkim w locie. Dużo prościej wybrać sobie za ofiarę
> kogoś kto ma konto w banku bez takich zabezpieczeń.

A przejęcie klucza przechowywanego na dysku usera to już problemem nie
jest? Chyba że nadal trzymasz się wersji "dwa hasła, brak innego
zabezpieczenia". Poza tym, dla kogoś, komu na tym zależy nie ma rzeczy
trudnych, są tylko takie, którym musi poświęcić kilka chwil dłużej :)

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry