-
Data: 2007-12-18 18:27:00
Temat: Re: Ograniczyć phising...
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]scream <n...@p...pl> writes:
> Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
> Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
> jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
> nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
> - genialne w swej prostocie.
>
> Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
> jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
> swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
> musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
> obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
> fajnego kociaka i podpisujemy je "mruczuś".
Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
czytniki linii papilarnych tego nie zmienia.
To, ze akurat istniejacy system podatny jest takze na inne "ataki"
(jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
ale nie zmienia glownego problemu.
> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
> loginu oraz hasła. Teraz jest inaczej.
Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.
> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
> phising.
Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
w ktorym problem sie znajduje.
> Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
> nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
> długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
> razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
> płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
> kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.
To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
elektrycznych urzadzen).
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 18.12.07 19:52 scream
- 18.12.07 21:11 mvoicem
- 18.12.07 21:16 mvoicem
- 18.12.07 22:12 scream
- 18.12.07 23:50 Robert Tomasik
- 19.12.07 00:10 mvoicem
- 19.12.07 00:34 Krzysztof Halasa
- 19.12.07 00:53 Krzysztof Halasa
- 19.12.07 09:54 blad
- 19.12.07 14:47 Robert Tomasik
- 19.12.07 14:59 Robert Tomasik
- 19.12.07 15:28 mvoicem
- 19.12.07 16:53 MarcinF
- 19.12.07 17:11 summ
- 19.12.07 17:31 summ
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem