Dnia Mon, 31 Oct 2005 23:10:38 +0100, Paweł Nyczaj napisał(a):
> Użytkownik "Wojciech Nawara" <u...@n...WYTNIJ.info> napisał w
>> Jacek Osiecki napisał(a):

>>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?

>> To token bez klawiatury nie jest prawdziwy?

> Każdy token jest prawdziwy, natomiast w zależności od typu albo tylko

[...]

> tokena i token generuje odpowiedź). Oczywiście token z klawiatura zapewnia
> wyzszy poziom ochrony, gdyż do jego uruchomienia potrzebny jest PIN.

Nie tylko to: przy inteligentnie zaplanowanym systemie bankowym token z
klawiaturą może dodatkowo zabezpieczyć przed atakami "Man in the middle".

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

> Nie tylko to: przy inteligentnie zaplanowanym systemie bankowym token z
> klawiaturą może dodatkowo zabezpieczyć przed atakami "Man in the middle".
>
Tu jest definicja ataku Man in the middle
http://pl.wikipedia.org/wiki/Atak_man_in_the_middle

do góry

Jacek Osiecki <j...@c...pl> wrote:
> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?

Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z
bankowosci internetowej :)

--
Michał 'Amra' Macierzyński || http://PRNews.pl
Banki, karty, konta oraz public relations.
Szukasz pracy w banku? Zobacz http://praca.prnews.pl

do góry

Dnia Wed, 2 Nov 2005 10:45:03 +0100, Paweł Nyczaj napisał(a):
>> Nie tylko to: przy inteligentnie zaplanowanym systemie bankowym token z
>> klawiaturą może dodatkowo zabezpieczyć przed atakami "Man in the middle".

> Tu jest definicja ataku Man in the middle
> http://pl.wikipedia.org/wiki/Atak_man_in_the_middle

No i? Właśnie przed takim atakiem może zabezpieczyć użytkownika system
używający tokena z klawiaturą...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a):
> Jacek Osiecki <j...@c...pl> wrote:
>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?
> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z
> bankowosci internetowej :)

Wiesz, odrobina paranoi nikomu nie zaszkodzi ;)
Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :(

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

On Fri, 4 Nov 2005 12:39:17 +0000 (UTC), Jacek Osiecki
<j...@c...pl> wrote:

>Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a):
>> Jacek Osiecki <j...@c...pl> wrote:
>>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?
>> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z
>> bankowosci internetowej :)
>
>Wiesz, odrobina paranoi nikomu nie zaszkodzi ;)
>Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :(

Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
SecureID), dają więc taką samą jakość uwierzytelniania (aka
autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
wprowadza się z klawiatury.

Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
transakcji przy jednoczesnym spełnieniu następujących warunków:
- token generuje odpowiedź zależną od wpisanego kodu,
- kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
którą chcemy autoryzować (challenge/response).
Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.

Warto pamiętać, że siłą zabezpieczenia jest cały system ochrony. Np.
teoretycznie karty haseł jednorazowych też mogą zapewnić niezły poziom
ochrony, choć są znacznie mniej wygodne w użyciu niż tokeny. Nie
pamiętam już, gdzie schowałem kartę z Pekao24, bo jej prawie w ogóle
nie muszę używać (poza zdefiniowaniem przelewów stałych lata temu).
Czyli cały system jest chroniony przez jeden 4-cyfrowy PIN! To nawet w
CitiOnline, gdzie cały system zabezpieczeń opiera się na jednym
jedynym haśle statycznym, jest trochę lepiej, bo kod może być znacznie
dłuższy.

Pozdrawiam,

Jacek

do góry

On Fri, 04 Nov 2005 20:58:13 +0100, Jacek <k...@n...gazeta.pl>
wrote:

>Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
>SecureID), dają więc taką samą jakość uwierzytelniania (aka
>autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
>wprowadza się z klawiatury.

He?
Mowa była o PINie do tokenu. W przypadku tokenu z klawiaturą żeby go
włączyć i użyć trzeba wprowadzić PIN. SecureID jest włączony i gotowy
do użytku cały czas.

PG

do góry

Piotr Gralak napisał(a):

> He?
> Mowa była o PINie do tokenu. W przypadku tokenu z klawiaturą żeby go
> włączyć i użyć trzeba wprowadzić PIN. SecureID jest włączony i gotowy
> do użytku cały czas.

I co Ci po wskazaniu tokena, nie znając "hasła do tokena", które należy
wprowadzać razem ze wskazaniem tokena do logowania?

Przeczytaj jeszcze raz post Jacka, bo dobrze mówi.

do góry

Dnia Fri, 04 Nov 2005 20:58:13 +0100, Jacek napisał(a):
> On Fri, 4 Nov 2005 12:39:17 +0000 (UTC), Jacek Osiecki
><j...@c...pl> wrote:

>>Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a):
>>> Jacek Osiecki <j...@c...pl> wrote:
>>>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?
>>> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z
>>> bankowosci internetowej :)

>>Wiesz, odrobina paranoi nikomu nie zaszkodzi ;)
>>Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :(

> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
> SecureID), dają więc taką samą jakość uwierzytelniania (aka
> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
> wprowadza się z klawiatury.

Nie dają.
Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
poznał hasła dostępu do konta internetowego ofiary.

Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...

Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
keyloggerem...

> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
> transakcji przy jednoczesnym spełnieniu następujących warunków:
> - token generuje odpowiedź zależną od wpisanego kodu,
> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
> którą chcemy autoryzować (challenge/response).
> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.

Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
taki atak odporne.

[...]

> teoretycznie karty haseł jednorazowych też mogą zapewnić niezły poziom
> ochrony, choć są znacznie mniej wygodne w użyciu niż tokeny. Nie
> pamiętam już, gdzie schowałem kartę z Pekao24, bo jej prawie w ogóle
> nie muszę używać (poza zdefiniowaniem przelewów stałych lata temu).
> Czyli cały system jest chroniony przez jeden 4-cyfrowy PIN! To nawet w
> CitiOnline, gdzie cały system zabezpieczeń opiera się na jednym
> jedynym haśle statycznym, jest trochę lepiej, bo kod może być znacznie
> dłuższy.

No bez przesady - CitiOnline z legendarnym "numer karty + pin" jest nie do
pobicia jeśli chodzi o głupotę ;)
W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
na konto gazowni albo koleżanki... W Citi zrobi co zechce.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

On Sat, 05 Nov 2005 08:41:27 +0100, Wojciech Nawara
<u...@n...WYTNIJ.info> wrote:

>I co Ci po wskazaniu tokena, nie znając "hasła do tokena", które należy
>wprowadzać razem ze wskazaniem tokena do logowania?
>
>Przeczytaj jeszcze raz post Jacka, bo dobrze mówi.

czy to bedzie "haslo do tokena" czy "haslo1" "haslo2" "PIN do
logowania" czy "haslo do logowania", oraz czy bedzie wpisywane w
oddzielne pole na stronie, czy w to samo co wskazanie tokena - nie
zmienia to kompletnie nic.

do góry