-
Data: 2019-08-20 14:24:44
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Szymon <...@w...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2019-08-20 o 13:05, J.F. pisze:
> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie
> widac gdzie bardziej wytarte ?
Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji przelewu
to przepisuję go w całości. Tymczasem kod wyświetlony na tokenie
stanowił jedynie część hasła. Kradzież tokena nie jest zatem problemem,
bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS - owszem.
Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
bezpieczeństwa?
Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom.
Tu token także lepiej się sprawdza. Ale w kombinacji hasło+SMS samo
przejęcie SMSa nie będzie miało poważnych konsekwencji.
Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
podstawioną stronę, podaje login/hasło, powiedzmy że się nie orientuje,
iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy mają login,
hasło, SMS. Logują się na właściwą i dokonują przelewu.
W przypadku tokena i fałszywej strony działania hakera musiałby się
odbyć w tym samym czasie. Czyli logowanie, przelew. Sytuacja jednak się
komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce
te same pola, o które poprosi hakera oryginalna strona są małe. A gdyby
tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła?
Czy taka okoliczność poprawiłaby bezpieczeństwo?
Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na
fałszywkę. Chcę zrobić przelew, w znakomitej większości korzystam ze
zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
nie tak?
Następne wpisy z tego wątku
- 20.08.19 14:28 Kris
- 20.08.19 14:35 J.F.
- 20.08.19 14:39 Szymon
- 20.08.19 14:46 J.F.
- 20.08.19 14:49 Wojciech Bancer
- 20.08.19 14:52 J.F.
- 20.08.19 15:02 Wojciech Bancer
- 20.08.19 15:17 Szymon
- 20.08.19 15:40 J.F.
- 20.08.19 16:08 Wojciech Bancer
- 20.08.19 16:12 Szymon
- 20.08.19 16:15 Szymon
- 20.08.19 16:30 J.F.
- 20.08.19 16:58 Animka
- 20.08.19 17:00 Szymon
Najnowsze wątki z tej grupy
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
Najnowsze wątki
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP