-
Data: 2006-07-01 11:17:35
Temat: Re: Stanowisko banku
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Michal <s...@j...be> writes:
> Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
> to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
> konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
> zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
> sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").
Stary, zrozum w koncu ze kody jednorazowe (jakie by one nie byly)
nie sa tylko po to by utrudniac uczciwym ludziom zycie, a po to,
by ktos znajacy tylko haslo "wejsciowe" nie mogl zrobic przelewu.
> Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
> + PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
> wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.
Tak, wlasnie o taki przypadek chodzi. Co wiecej, kody jednorazowe
z definicji maja wlasnie przed takim "przypadkiem" zabezpieczac.
Jesli atakujacy nie zna "PINu", to jakie znaczenie ma to, czy te kody
SMSowe sa, czy tez ich nie ma?
> Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
> algorytm, jakim generowane są kody przez token,
Co tu jest do rozwazania, te algorytmy sa publicznie znane (np. SecurID).
> albo pracownik drukarni ma
> na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).
Kody jednorazowe nie sa drukowane w drukarni. Spreparowanie wlasnej
listy nie da dokladnie nic - nie da sie jej nawet aktywowac.
Jest bardzo istotna roznica pomiedzy kodami SMS i normalnymi (a takze
tokenami). Kazde z tych rozwiazan przestaje dzialac jesli pracownik
banku z odpowiednimi uprawnieniami dokonuje manipulacji (np. jesli
drukuje druga kopie listy hasel, wysyla SMS na swoj telefon, albo
uzywa "programowego" tokena korzystajac z bazy "seedow" banku).
Jednakze listy hasel i tokeny sa dosc dobrze zabezpieczone przed
ingerencja niezaleznej od banku i klienta osoby trzeciej. W przypadku
telefonu wystarczy po prostu ukrasc telefon - listy hasel ani tokena
nie musimy wszedzie nosic ze soba.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 01.07.06 12:03 Krzysztof
- 01.07.06 12:09 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
Najnowsze wątki
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP