W dniu 10.12.2020 o 16:41, Kamil Jońca pisze:
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> W dniu 10.12.2020 o 15:25, Kamil Jońca pisze:
>>
>>> Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.
>>> A tu może być faktycznie może być trudno.
>>
>> No ale konkretnie jak?
>
>
> Co "konkretnie jak"?
>

Jak się robi aktywację nowej apki po zgubieniu/zniszczeniu starej i w
jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić złodziej?

MJ

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> W dniu 10.12.2020 o 16:41, Kamil Jońca pisze:
>> Michal Jankowski <m...@f...edu.pl> writes:
>>
>>> W dniu 10.12.2020 o 15:25, Kamil Jońca pisze:
>>>
>>>> Ale tu nie chodzi o "jakąkolwiek aktywację" tylko 'niezauważoną aktywację'.
>>>> A tu może być faktycznie może być trudno.
>>>
>>> No ale konkretnie jak?
>>
>> Co "konkretnie jak"?
>>
>
> Jak się robi aktywację nowej apki po zgubieniu/zniszczeniu starej i w

To zależy od banku.

> jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
> złodziej?

Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
Albo dostanie maila/sms.

Naprawdę różnie.
KJ


--
http://wolnelektury.pl/wesprzyj/teraz/

do góry

W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:

>
>> jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
>> złodziej?
>
> Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
> Albo dostanie maila/sms.
>
> Naprawdę różnie.

Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.

Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.

W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
kocham nie wiem.

MJ

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:
>
>>
>>> jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
>>> złodziej?
>> Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
>> Albo dostanie maila/sms.
>> Naprawdę różnie.
>
> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>
> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>
> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
> kocham nie wiem.

Sprowadzasz wszystko do "przejęcia urządzenia",

Ale zrozum że jest wiele innych sytuacji:
- wyłudzenie karty (swap-sim)
- próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
-...
KJ



--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

W dniu 10.12.2020 o 22:20, Kamil Jońca pisze:
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:
>>
>>>
>>>> jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
>>>> złodziej?
>>> Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
>>> Albo dostanie maila/sms.
>>> Naprawdę różnie.
>>
>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>
>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>
>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>> kocham nie wiem.
>
> Sprowadzasz wszystko do "przejęcia urządzenia",
>
> Ale zrozum że jest wiele innych sytuacji:
> - wyłudzenie karty (swap-sim)
> - próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
> -...
>

Nie rozumiem.

Będę uparty:

Została postawiona teza, że zatwierdzanie apką jest bezpieczniejsze od
zatwierdzania sms-ami, ponieważ złodziej może łatwiej przejąć smsy niż apkę.

Bardzo proszę (niekoniecznie Ciebie) o argumenty, że tak jest. To jest
teza wyjściowa.

Mój kontrargument jest taki:

Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
1. Przejąć numer telefonu (kartę sim)
2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)

Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na swoim
telefonie.

MJ

do góry

On 2020-12-10, Michal Jankowski <m...@f...edu.pl> wrote:

[...]

> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
> kocham nie wiem.

Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
o potrzebne do przejęcia konta". No to jak przejął wszystko, to
przejmie konto.

Aby np. aktywować apkę mBanku trzeba przy aktywacji podać trochę
danych osobowych, więc złodziej musi je znać. Pewnie je będzie
znał jak Ci podpieprzy dowód, więc to też przed niczym
nie chroni.

Więc co proponujesz?

--
Wojciech Bańcer
w...@g...com

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> W dniu 10.12.2020 o 22:20, Kamil Jońca pisze:
>> Michal Jankowski <m...@f...edu.pl> writes:
>>
>>> W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:
>>>
>>>>
>>>>> jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
>>>>> złodziej?
>>>> Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
>>>> Albo dostanie maila/sms.
>>>> Naprawdę różnie.
>>>
>>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>>
>>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>>
>>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>>> kocham nie wiem.
>> Sprowadzasz wszystko do "przejęcia urządzenia",
>> Ale zrozum że jest wiele innych sytuacji:
>> - wyłudzenie karty (swap-sim)
>> - próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
>> -...
>>
>
> Nie rozumiem.
>
> Będę uparty:
>
> Została postawiona teza, że zatwierdzanie apką jest bezpieczniejsze od
> zatwierdzania sms-ami, ponieważ złodziej może łatwiej przejąć smsy niż
> apkę.
>
> Bardzo proszę (niekoniecznie Ciebie) o argumenty, że tak jest. To jest
> teza wyjściowa.
>
> Mój kontrargument jest taki:
>
> Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
> 1. Przejąć numer telefonu (kartę sim)
> 2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)
>
> Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
> swoim telefonie.

No właśnie nie.

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

do góry

On 2020-12-10, Michal Jankowski <m...@f...edu.pl> wrote:

[...]

> Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
> 1. Przejąć numer telefonu (kartę sim)
> 2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)

A teraz przy apce:
Pierwsze zalogowanie z nowego urządzenia przez www wymaga
autoryzacji. Jeśli autoryzacja jest robiona przez SMS, to
jesteś w domu (bo np. sklonowałeś SIMa).

Jeśli przez apkę, to push autoryzacyjny albo nie wyjdzie,
albo wyjdzie na oryginalne (stare) urządzenie [1], a nie na nowe.

[1] do końca nie wiem jak się zachowa push na urządzeniu z internetem,
ale bez działajacej karty SIM

> Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na swoim
> telefonie.

No nie do końca, bo nie będzie miał 2, a do aktywacji apki (w przypadku
mBanku) są wymagane inne dane niż do logowania przez www. Oczywiście
roboczo można założyć, że przygotowany złodziej może i te dane znać,
ukraść dowód, czy cokolwiek tam jeszcze, ale przed czymś takim,
to nie wiem czy się da zabezpieczyć inaczej niż rezygnując z konta
i trzymając gotówkę w sejfie :-)

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-10, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>> Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
>> swoim telefonie.
>
> No właśnie nie.
>
> Masz aplikację na telefonie, której używasz do uwierzytelniania.
> Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
> drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
> aplikacji.

No jest też tryb który nie wymaga do działania starej apki, ale wymaga
znajomości danych o osobie, więc tak też można. Tym niemniej nie
wystarczy przejąć samego SIMa i to jest chyba największa zaleta.

--
Wojciech Bańcer
w...@g...com

do góry

Czyli ci z N.N. wyłączeni?


-----
> widziałem przypadek, że przy transakcji bank wymagał wpisania nazwiska rodowego
matki klienta

do góry