-
Data: 2019-08-20 14:24:44
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Szymon <...@w...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2019-08-20 o 13:05, J.F. pisze:
> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie
> widac gdzie bardziej wytarte ?
Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji przelewu
to przepisuję go w całości. Tymczasem kod wyświetlony na tokenie
stanowił jedynie część hasła. Kradzież tokena nie jest zatem problemem,
bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS - owszem.
Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
bezpieczeństwa?
Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom.
Tu token także lepiej się sprawdza. Ale w kombinacji hasło+SMS samo
przejęcie SMSa nie będzie miało poważnych konsekwencji.
Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
podstawioną stronę, podaje login/hasło, powiedzmy że się nie orientuje,
iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy mają login,
hasło, SMS. Logują się na właściwą i dokonują przelewu.
W przypadku tokena i fałszywej strony działania hakera musiałby się
odbyć w tym samym czasie. Czyli logowanie, przelew. Sytuacja jednak się
komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce
te same pola, o które poprosi hakera oryginalna strona są małe. A gdyby
tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła?
Czy taka okoliczność poprawiłaby bezpieczeństwo?
Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na
fałszywkę. Chcę zrobić przelew, w znakomitej większości korzystam ze
zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
nie tak?
Następne wpisy z tego wątku
- 20.08.19 14:28 Kris
- 20.08.19 14:35 J.F.
- 20.08.19 14:39 Szymon
- 20.08.19 14:46 J.F.
- 20.08.19 14:49 Wojciech Bancer
- 20.08.19 14:52 J.F.
- 20.08.19 15:02 Wojciech Bancer
- 20.08.19 15:17 Szymon
- 20.08.19 15:40 J.F.
- 20.08.19 16:08 Wojciech Bancer
- 20.08.19 16:12 Szymon
- 20.08.19 16:15 Szymon
- 20.08.19 16:30 J.F.
- 20.08.19 16:58 Animka
- 20.08.19 17:00 Szymon
Najnowsze wątki z tej grupy
- cashback
- Zmienny cvv
- Aktualizacja daty ważności kart?
- W jakim banku rachunek oszczędnościowy?
- Karty mBąka.
- Polskie złoto na uchodźstwie
- Citi -- rozwód
- limit 800zł z Euronetu
- Koniec swiata
- Allegro
- Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- silna zlotowka
- oszołomy paranoidalne
- Citi --> Velo
Najnowsze wątki
- 2025-07-21 cashback
- 2025-07-15 Zmienny cvv
- 2025-07-14 Aktualizacja daty ważności kart?
- 2025-07-09 W jakim banku rachunek oszczędnościowy?
- 2025-06-26 Karty mBąka.
- 2025-06-25 Polskie złoto na uchodźstwie
- 2025-06-17 Citi -- rozwód
- 2025-06-13 limit 800zł z Euronetu
- 2025-06-10 Koniec swiata
- 2025-06-10 Allegro
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-03 Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- 2025-06-02 silna zlotowka
- 2025-05-29 oszołomy paranoidalne