-
Data: 2007-01-15 19:23:09
Temat: Re: Nowy Pl@net Fortis Banku - bezpieczeństwo
Od: "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Mialem pretensję do Fortisa, że wprowadzając maskowane hasło:
- muszą pamiętać całe u siebie (zamiast trzymac jedynie skrót
jednokierunkowy muszą umieć odszyfrowac haslo)
Dostałem wyczerpującą informację, że zastosowali inny wariant
i również z kodami SMS postepują nietypowo. Zacytuję całą informację:
"Również w przypadku hasła maskowanego nie jest ono nigdzie w systemie
przechowywane w całości. W momencie ustanawiania hasła generowane (i
zapisywane do bazy) jest od razu kilkaset masek i odpowiadających im
skrótów (dodatkowo, w skrócie zaszyty jest również login użytkownika).
Przy logowaniu system porównuje skrót z wprowadzonej przez użytkownika
maski ze skrótem zapisanym w bazie. Tak więc również w przypadku hasła
maskowanego nie ma możliwości odtworzenia hasła.
Co do kodu SMS - jest on ważny przez cały czas trwania sesji. Dla
zwiększenia bezpieczeństwa, hasło nie jest jednak przesyłane do
serwera; zamiast tego przesyłany jest kod autoryzacji, który wiąże ze
sobą parametry transakcji i obowiązujące hasło jednorazowe. Kod
autoryzacji wyliczany jest za pomocą algorytmu HMAC. Serwer weryfikuje
poprawność przesłanego kodu, jeśli jest on prawidłowy, transakcja jest
realizowana. (dla porównania - w typowych implementacjach tego sposobu
autoryzacji transakcji przesyłany jest kod jednorazowy, który nie ma
związku z parametrami transakcji i jest przesyłany wprost do serwera
razem z pozostałymi parametrami operacji).
Podsumowując - jestem przekonany, że w obszarze bezpieczeństwa, nowy
Pl@net w niczym nie stracił w stosunku do starego systemu - takie
zresztą było podstawowe założenie na którym opieraliśmy się
projektując zabezpieczenia dla nowego systemu.
Dodam, że przed udostępnieniem klientom do pilotażu, nowy Pl@net
pomyślnie przeszedł audyt bezpieczeństwa, przeprowadzony przez
specjalistyczną, niezależną firmę."
*** blad ***
Następne wpisy z tego wątku
- 24.01.07 14:40 z...@i...pl
- 01.03.07 06:09 z...@i...pl
- 07.03.07 14:46 z...@i...pl
Najnowsze wątki z tej grupy
- a to mi lotto
- pokolenie Z
- złoty słaby
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
Najnowsze wątki
- 2024-06-18 a to mi lotto
- 2024-06-17 pokolenie Z
- 2024-06-13 złoty słaby
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...