eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki400 tysięcy "wyparowało" z mBanku › Re: Stanowisko banku
« poprzedni post
następny post »
  • Data: 2006-07-01 11:17:35
    Temat: Re: Stanowisko banku
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Michal <s...@j...be> writes:

    > Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
    > to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
    > konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
    > zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
    > sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").

    Stary, zrozum w koncu ze kody jednorazowe (jakie by one nie byly)
    nie sa tylko po to by utrudniac uczciwym ludziom zycie, a po to,
    by ktos znajacy tylko haslo "wejsciowe" nie mogl zrobic przelewu.

    > Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
    > + PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
    > wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.

    Tak, wlasnie o taki przypadek chodzi. Co wiecej, kody jednorazowe
    z definicji maja wlasnie przed takim "przypadkiem" zabezpieczac.
    Jesli atakujacy nie zna "PINu", to jakie znaczenie ma to, czy te kody
    SMSowe sa, czy tez ich nie ma?

    > Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
    > algorytm, jakim generowane są kody przez token,

    Co tu jest do rozwazania, te algorytmy sa publicznie znane (np. SecurID).

    > albo pracownik drukarni ma
    > na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).

    Kody jednorazowe nie sa drukowane w drukarni. Spreparowanie wlasnej
    listy nie da dokladnie nic - nie da sie jej nawet aktywowac.

    Jest bardzo istotna roznica pomiedzy kodami SMS i normalnymi (a takze
    tokenami). Kazde z tych rozwiazan przestaje dzialac jesli pracownik
    banku z odpowiednimi uprawnieniami dokonuje manipulacji (np. jesli
    drukuje druga kopie listy hasel, wysyla SMS na swoj telefon, albo
    uzywa "programowego" tokena korzystajac z bazy "seedow" banku).
    Jednakze listy hasel i tokeny sa dosc dobrze zabezpieczone przed
    ingerencja niezaleznej od banku i klienta osoby trzeciej. W przypadku
    telefonu wystarczy po prostu ukrasc telefon - listy hasel ani tokena
    nie musimy wszedzie nosic ze soba.
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy