eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiOgraniczyć phising... › Re: Ograniczyć phising...
« poprzedni post
następny post »
  • Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!not-for-mail
    From: Rafal Franczak <franek@usun_to.kolorowe.krakow.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Ograniczyć phising...
    Date: Tue, 18 Dec 2007 09:56:19 +0100
    Organization: AGH
    Lines: 48
    Message-ID: <fk81sg$a80$1@news.agh.edu.pl>
    References: <j...@4...net>
    NNTP-Posting-Host: franek.kolorowe.krakow.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=ISO-8859-2; format=flowed
    Content-Transfer-Encoding: 8bit
    X-Trace: news.agh.edu.pl 1197968080 10496 87.239.57.82 (18 Dec 2007 08:54:40 GMT)
    X-Complaints-To: a...@a...edu.pl
    NNTP-Posting-Date: Tue, 18 Dec 2007 08:54:40 +0000 (UTC)
    User-Agent: Thunderbird 1.5 (Windows/20051201)
    In-Reply-To: <j...@4...net>
    X-Forwarded: by - (DeleGate/9.4.0)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:432799
    [ ukryj nagłówki ]

    scream napisał(a):
    > Cześć,
    >
    > Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
    > Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
    > jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
    > nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
    > - genialne w swej prostocie.
    >
    > Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
    > jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
    > swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
    > musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
    > obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
    > fajnego kociaka i podpisujemy je "mruczuś".
    >
    > Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
    > loginu oraz hasła. Teraz jest inaczej. Jak odbywa się logowanie?
    >
    > - użytkownik wpisuje login
    > - system prosi użytkownika o udzielenie odpowiedzi na jedno z trzech pytań
    > - strona z pytaniami jest opatrzona wybranym i podpisanym przez użytkownika
    > avatarem
    > - po podaniu prawidłowej odpowiedzi, użytkownik jest proszony o hasło
    > - po podaniu prawidłowego hasła użytkownik uzyskuje dostęp do konta.
    >
    > Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
    > phising. Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
    > nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
    > długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
    > razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
    > płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
    > kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.
    >
    > Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
    > myślicie?
    >

    Dlaczego keylogger musiałby "długo zbierać dane i wyławiać odpowiedzi na
    pytania (za każdym razem system losuje inne)"
    jeżeli napisałeś, że "Użytkownik musi wybrać i podać odpowiedź na 2 pytania"

    Po kilku logowaniach keylogger ma komplet danych.

    Wygląda mi to na jeszcze jeden przykład w stylu "dodamy fafnastą prośbę
    o potwierdzenie czy na pewno chce usunąć ten plik"

    Rafał

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy