-
Data: 2005-06-09 07:23:41
Temat: Re: BPH - czy warto ?
Od: Jacek Osiecki <j...@c...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Dnia Thu, 9 Jun 2005 06:12:08 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Wed, 8 Jun 2005 07:55:16 +0000 (UTC),
> osoba podpisana: Jurek Zielinski <c...@t...debica.pl>
>> A skąd wiesz co karta podpisuje?
>> Snifer zczytuje pin do karty kryptograficznej i kawałęk programu podpisuje
>> sobie twoją kartą co chce. Albo kawałek programu który podmieni transakcję
>> pomiędzy twoją akceptacją a podpisaniem przez kartę i po wszystkim.
> Przypuszczam że "równie trudno" jest napisac "kawałek" programu który
> zamieni to co "podisuje token" (Dla tych co nie mieli tokena w BZWBK:
> gdy robiłem przelew to aplikacja abankowa wyświetlała mi liczbę
> ("pytanie") . Ową liczbę należało wklepać do tokena, a token podawał
> odpowiedź, którą z kolei należało wpisać do przeglądarki.
> I o ile nic się nie zmieniło to "pytanie" zależało tylko od danych
> przelewu, a nie od np czasu.)
Po pierwsze: w tokenie masz jeden podpis na transakcję. Jeśli trojan ma Twój
pin do karty kryptograficznej, to sobie natrzaska ile bądź przelewów. Przy
tokenie może wykonać tylko jeden przelew.
Po drugie: jeśli token był taki sam jak w Pekao S.A. (Telepekao24), to jest
to zależne od czasu - wklepanie tego samego "pytania" już nawet parę minut
później daje inną odpowiedź (dawało - bo już nie mam tam konta ;).
Jeśli dorzucić jeszcze zasadę że "pytanie" stanowi ostatnich 8 cyfr konta na
które przelewamy pieniądze, to złodzieje mogą się obejść ze smakiem...
> Więc tu jak gdyby poziom trudności w złamaniu jest podobny.
Jak napisałem - jest trudniej. A gdyby tylko zrobić bezproblemową
modyfikację o której napisałem wyżej - wręcz uniemożliwia kradzież (chyba że
ktoś nie patrzy na jakie konto przelewa :)
Swoją drogą: w takim BPH zmiana danych przelewów zdefiniowanych i
kontrahentów niczym nie jest zabezpieczona - nie trzeba jej dodatkowo
podpisywać kluczem/hasłem... Więc wystarczy ofierze podmienić numery kont
na które najwięcej przelewają (np. karta kredytowa) i cierpliwie czekać na
prezent... :(
> Tokeny takie jak w lukasie możemy pominąć, co było napisane w innej
> gałęzi tego wątku :-)
Oczywiście - od tych już lepsze są listy haseł jednorazowych :)
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
Następne wpisy z tego wątku
- 09.06.05 07:23 Jacek Osiecki
- 09.06.05 07:30 Marcin Nowakowski
- 09.06.05 07:59 Jacek Osiecki
- 09.06.05 08:10 Jacek Osiecki
- 09.06.05 08:10 Jacek Osiecki
- 09.06.05 08:12 Kamil Jońca
- 09.06.05 07:33 Kamil Jońca
- 09.06.05 08:37 Bartol Partol
- 09.06.05 08:38 Bartol Partol
- 09.06.05 08:39 Bartol Partol
- 09.06.05 08:44 Bartol Partol
- 09.06.05 08:50 Marcin Nowakowski
- 09.06.05 08:48 Bartol Partol
- 09.06.05 08:53 Marcin Nowakowski
- 09.06.05 08:54 Marcin Nowakowski
Najnowsze wątki z tej grupy
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
Najnowsze wątki
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP