Re: mBank wycofuje listy haseł jednorazowych - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › mBank wycofuje listy haseł jednorazowych › Re: mBank wycofuje listy haseł jednorazowych

X-Received: by 2002:aca:5bd7:: with SMTP id p206mr98587oib.2.1550242161014; Fri, 15
Feb 2019 06:49:21 -0800 (PST)
X-Received: by 2002:aca:5bd7:: with SMTP id p206mr98587oib.2.1550242161014; Fri, 15
Feb 2019 06:49:21 -0800 (PST)
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!2.eu.feeder.erj
e.net!4.us.feeder.erje.net!feeder.erje.net!weretis.net!feeder6.news.weretis.net
!feeder.usenetexpress.com!feeder-in1.iad1.usenetexpress.com!border1.nntp.dca1.g
iganews.com!nntp.giganews.com!y42no70411ita.0!news-out.google.com!v188ni136itb.
0!nntp.google.com!y22no104562ita.0!postnews.google.com!glegroupsg2000goo.google
groups.com!not-for-mail
Newsgroups: pl.biznes.banki
Date: Fri, 15 Feb 2019 06:49:20 -0800 (PST)
In-Reply-To: <m...@p...waw.pl>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=62.122.235.143;
posting-account=jnRHMAoAAACB5EawItMhNTZMy_yOF2XE
NNTP-Posting-Host: 62.122.235.143
References: <5...@4...net>
<5...@g...com>
<m...@p...waw.pl>
<a...@n...neostrada.pl>
<5c5db61f$0$500$65785112@news.neostrada.pl>
<b...@g...com>
<kl746db4yd1a$.gom37qq1yce9$.dlg@40tude.net>
<1...@g...com>
<5c614df1$0$475$65785112@news.neostrada.pl>
<8...@g...com>
<5c6190e7$0$476$65785112@news.neostrada.pl>
<f...@g...com>
<5c63223a$0$505$65785112@news.neostrada.pl>
<c...@g...com>
<m...@p...waw.pl>
<3...@g...com>
<m...@p...waw.pl>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <d...@g...com>
Subject: Re: mBank wycofuje listy haseł jednorazowych
From: s...@g...com
Injection-Date: Fri, 15 Feb 2019 14:49:21 +0000
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Lines: 58
Xref: news-archive.icm.edu.pl pl.biznes.banki:641064
[ ukryj nagłówki ]

W dniu czwartek, 14 lutego 2019 14:55:25 UTC-6 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> > Roznica jest spora. Bo jak trzeba hackowac kazdy model fona osobno to
> > sa koszty czas i umiejetnosci. I nie da sie krasc masowo.
>
> Ależ da się. Koszt przygotowania rozwiązania dla konkretnego telefonu
> nie jest decydujący. Ile chcesz mieć tych modeli telefonów, 10? Większe
> koszty będą po stronie przygotowującego aplikację niż po stronie
> przestępców.
>

Nie czytasz uwaznie co pisze. Wczesniej napisalem ze apka jest dla javy j2me. Starczy
ja napisac raz.
A zlamac fona trzeba kazdego bo jak zabezpieczony pinem czy inna blokada to kazdy
model indywidualnie trzeba atakowac zeby do apki tokenowej sie dobrac. I to trzeba
zaatakowac sam mechanizm blokady (pin/kod) albo zlamac telefon za pomoca wysylanych
na niego sms-ow). A i wtedy trzeba poznac piersze cyferki kodu ktore sa swego rodzaju
pinem dla tokena tylko zazwyczaj nie sa zapisywane w tym telefonie.

Tego sie nie da zrobic masowo. Da sie w pojedynczych przypadkach ale to juz
wyjasnialem wyzej.

Prosze czytaj uwaznie bo dyskusja kreci sie w kolko.

> Pomyśl jak chciałbyś wspierać te aplikacje na tych starych telefonach.
> To jest kompletnie nierealistyczne.
>
> >> Natomiast zbudowanie małego, nowoczesnego i specjalizowanego komputerka
> >> bez łatwej możliwości ingerencji w niego (tylko kamera i wyświetlacz,
> >> ew. pinpad) to zupełnie inna sprawa. To taki token, tyle że potrafiący
> >> pobrać (np. w formie kodu QR), wyświetlić i ew. podpisać dane.
> >>
> >
> > Ale nie sadze aby bylo tansze od tokena rsa. A to juz ustalilismy ze za drogie.
>
> No pewnie że nie będzie tańsze. Będzie przynajmniej kilka razy droższe.
> Zwłaszcza w stosunkowo małych seriach. Ale będzie istotnie
> bezpieczniejsze od obecnie używanych rozwiązań. Nie chodzi przecież
> o to, by zrobić rozwiązanie, które tak naprawdę nic nie daje (pomijam
> nawet kwestię tych seedów).

Napisalem ci, token rsa to 200pln. za tyle kupie tradycyjnego fona bez androida i
moge na niego wladowac apke do tokena. To nie bedzie drozsze. Bedzie mialo inne
niewielkie wady ale drozsze nie bedzie.