-
Data: 2016-04-29 19:24:56
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: "J.F." <j...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
>> transakcji.
>Rozwiąże bardzo ładnie.
Smiem twierdzic, ze nie - o ile nie bedzie mial kanalu lacznosci z
banku.
>> Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli
>> SMS
>> "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".
>A po co kolejny telefon. Dostęp radiowy, niepotrzebny i
>niebezpieczny.
Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
podobne rozwiazania.
Niewrazliwe na oswietlenie, male ekrany itp.
>> lub przepisac do
>> tokena dlugi, zaszyfrowany, kod operacji.
>No nie, bez przesady. Jasne że skaner QR kodu.
>Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.
Na jedno wychodzi - podpis dlugi, a danych malo :-)
>Wynik może być kilkucyfrowym "PINem", nie trzeba tego wtykać do
>żadnego
>USB.
Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
USB.
>> No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth,
>> ...
>> ale prosciej chyba bedzie GSM ...
>Wszystkie powyższe są niebezpieczne, w sensie takim, że narażają
>"telefon" na ataki za pośrednictwem skomplikowanych, potencjalnie
>(i praktycznie) wadliwych bezprzewodowych metod dostępu.
Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
niebezpieczny.
Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
kodu :-)
>> Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
>> Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
>> dziury w bezpieczenstwie nie bylo.
>Nie można jednak nie zauważyć, że sposób dostępu do banku został
>ustalony przez bank. Bank jest "pro" i przecież przeprowadził analizę
>ryzyka.
kradziez tokena i podstawienie falszywego bank tez powinien
przewidziec czy wystarczy zapis, ze klient jest zobowiazany
przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
:-)
J.
Następne wpisy z tego wątku
- 29.04.16 19:40 J.F.
- 29.04.16 19:50 J.F.
- 29.04.16 20:12 Krzysztof Halasa
- 29.04.16 21:36 forestdumb
- 29.04.16 21:39 Imka
- 29.04.16 21:42 witek
- 29.04.16 21:45 MarcinF
- 29.04.16 21:44 witek
- 29.04.16 22:51 Waldek
- 30.04.16 00:15 J.F.
- 30.04.16 00:31 J.F.
- 30.04.16 09:16 Eneuel Leszek Ciszewski
- 30.04.16 09:38 Eneuel Leszek Ciszewski
- 30.04.16 09:40 Eneuel Leszek Ciszewski
- 30.04.16 09:53 Eneuel Leszek Ciszewski
Najnowsze wątki z tej grupy
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
- Re: VATafera
- Karta Revolut a Allegro
- VeloBank przejęty przez amerykanski fundusz
Najnowsze wątki
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem
- 2024-04-04 Re: VATafera
- 2024-04-04 Karta Revolut a Allegro
- 2024-03-29 VeloBank przejęty przez amerykanski fundusz