eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiOgraniczyć phising... › Re: Ograniczyć phising...
« poprzedni post
następny post »
  • Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!opal.futuro.pl!news.internetia.pl!ne
    wsfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not-for-mail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Ograniczyć phising...
    Date: Tue, 18 Dec 2007 19:27:00 +0100
    Organization: tp.internet - http://www.tpi.pl/
    Lines: 46
    Message-ID: <m...@m...localdomain>
    References: <j...@4...net>
    NNTP-Posting-Host: cpz230.neoplus.adsl.tpnet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8bit
    X-Trace: nemesis.news.tpi.pl 1198002776 597 83.31.231.230 (18 Dec 2007 18:32:56 GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Tue, 18 Dec 2007 18:32:56 +0000 (UTC)
    Cancel-Lock: sha1:GCskTVwr4Madh2sZA2c6Oz93If4=
    Xref: news-archive.icm.edu.pl pl.biznes.banki:432838
    [ ukryj nagłówki ]

    scream <n...@p...pl> writes:

    > Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
    > Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
    > jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
    > nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
    > - genialne w swej prostocie.
    >
    > Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
    > jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
    > swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
    > musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
    > obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
    > fajnego kociaka i podpisujemy je "mruczuś".

    Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
    ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
    czytniki linii papilarnych tego nie zmienia.

    To, ze akurat istniejacy system podatny jest takze na inne "ataki"
    (jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
    ale nie zmienia glownego problemu.

    > Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
    > loginu oraz hasła. Teraz jest inaczej.

    Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.

    > Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
    > phising.

    Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
    w ktorym problem sie znajduje.

    > Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
    > nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
    > długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
    > razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
    > płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
    > kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.

    To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
    o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
    elektrycznych urzadzen).
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy