Który ze sposobów zabezpieczenia dostępu do kont/operacji przez internet jest
Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:

1. Hasła jednorazowe (jak w mbank, czy PKO BP),
2. Hasło maskowane (jak w ING - nie wiem obecnie nie mają czegoś nowszego...),
3. Token (jak w Lukas),
4. Podpis elektroniczny (jak w Fortis),
5. Inne...

Nie chodzi mi o to, które operacje powinny być zabezpieczone a które nie (np.
edycja kontrahenta), tylko w którym przypadku istnieje największe
prawdopodobieństwo utraty pieniędzy.

Pozdrawiam

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

z...@i...pl napisał(a):
> Który ze sposobów zabezpieczenia dostępu do kont/operacji przez internet jest
> Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:
>
> 1. Hasła jednorazowe (jak w mbank, czy PKO BP),
> 2. Hasło maskowane (jak w ING - nie wiem obecnie nie mają czegoś nowszego...),
> 3. Token (jak w Lukas),
> 4. Podpis elektroniczny (jak w Fortis),
> 5. Inne...

hmm,
nie wiem czy na takie pytanie jest jedyna dobra odpowiedź.
Wg mnie wszystko zależy od tego jak bank dba o swoje sposoby
zapezpieczeń, weryfukuje ich działanie, zabezpiecza własne systemy, jak
pracowitych ma specjlalistów it.
tak mi się wydaje
ale z innej strony to zabezpieczenie w postaci tokena (sprzętowe)i
podpis elektroniczny, najlepiej kwalifikowany to chyba te nejlepsze.

pozdr
tequilla

do góry

Hmmm :)
IMO: Nie ma najbezpieczniejszego zabezpieczenia :) Chodzi o to by
zabezpiecznia były wielopoziomowe i łaczyły rózne... hm.. technologie,
np. hasło maskowalne + kody sms + podpis i wtedy możemy mówić o jakiś
zabezpieczeniach.
Należy pamiętać że całość jest tak bezpieczna jak najsłabsze ogniwo,
a przy dzisiejszych zabezpieczeniach (jakie by nie były) jakie stosują
banki najsłabszym ogniwem jest komputer użytkownika który korzysta z
bankowości elektronicznej.


PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
chroni przed atakiem typu man-in-the-middle.

pozdrawiam
nodde

do góry

Dnia Thu, 01 Jun 2006 09:14:35 +0200, nodde napisał(a):

> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
> zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
> chroni przed atakiem typu man-in-the-middle.
>
> pozdrawiam
> nodde

AFAIK nie da się podmienić certyfikatu banku przy ataku man in the middle w
niezauważalny dla użytkownika sposób.

do góry

Stefan wrote:
> Dnia Thu, 01 Jun 2006 09:14:35 +0200, nodde napisał(a):
>
>> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
>> zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
>> chroni przed atakiem typu man-in-the-middle.
>>
>> pozdrawiam
>> nodde
>
> AFAIK nie da się podmienić certyfikatu banku przy ataku man in the middle w
> niezauważalny dla użytkownika sposób.
Ciekawe ile ataków 'man in the middle' było w polskich bankach
internetowych? Ja myślę że około zera.
Bardziej obawiał bym się prostszych metod - niezabezpieczony komputer
użytkownika banku, zapamiętywanie haseł przez przeglądarkę, zapisywanie
hasła do serwisu bankowego na liście haseł jednorazowych i noszenie tej
listy w portfelu, 'podszywanie' się podejrzanych serwisów internetowych
pod bank.

do góry

>> AFAIK nie da się podmienić certyfikatu banku przy ataku man in the
>> middle w
>> niezauważalny dla użytkownika sposób.

Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm ??
myslę że wystarczająca ilość :(

> Ciekawe ile ataków 'man in the middle' było w polskich bankach
> internetowych? Ja myślę że około zera.

Myślę że nie ma prowadzonych takich statystyk, to chyba że ten man in
the middle by je prowadził ;)

pozdrawiam
nodde

do góry

Użytkownik <z...@i...pl> napisał w wiadomości
news:4294.00000003.447e6ac9@newsgate.onet.pl...
> Który ze sposobów zabezpieczenia dostępu do kont/operacji przez internet
> jest
> Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:
>
> 1. Hasła jednorazowe (jak w mbank, czy PKO BP),
> 2. Hasło maskowane (jak w ING - nie wiem obecnie nie mają czegoś
> nowszego...),
> 3. Token (jak w Lukas),
> 4. Podpis elektroniczny (jak w Fortis),
> 5. Inne...
>
> Nie chodzi mi o to, które operacje powinny być zabezpieczone a które nie
> (np.
> edycja kontrahenta), tylko w którym przypadku istnieje największe
> prawdopodobieństwo utraty pieniędzy.
>
> Pozdrawiam
>
> --
> Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

Panie misiu jasiu w BSK Online tez jest podpis cyfrowy. Hasło maskowane jest
o autentykacji a przelewy sa podpisywane.

do góry

Dnia Thu, 01 Jun 2006 10:04:33 +0200, nodde napisał(a):

>>> AFAIK nie da się podmienić certyfikatu banku przy ataku man in the
>>> middle w
>>> niezauważalny dla użytkownika sposób.
>
> Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm ??
> myslę że wystarczająca ilość :(

Nie wiem jaka ilość, nie znam statystyk, ale ja i osoby jakie znam, przy
bankowości internetowej są podwójnie wyczuleni na jakiekolwiek
nieprawidłowości.

do góry

nodde napisał(a):

> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem średnie
> zabezpiecznie, dające poczucie złudnego bezpieczeństwa ponieważ np. nie
> chroni przed atakiem typu man-in-the-middle.
>
??
Mógłbyś wytłumaczyć??

Bo jak dla mnie każdy normalny bank jest odporny na mitm(bo samo
zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
atak nie przejdzie ).

Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.

--
Marcin Gabryszewski
G DATA Software
www.gdata.pl

address:<FirstName><dot><Surname><at><gdata><dot><pl
>

do góry

Marcin Gabryszewski napisał(a):
>> PS. Co do tokena (bez dodatkowych zabezpieczeń) to moim zdaniem
>> średnie zabezpiecznie, dające poczucie złudnego bezpieczeństwa
>> ponieważ np. nie chroni przed atakiem typu man-in-the-middle.
>>
> ??
> Mógłbyś wytłumaczyć??
>
> Bo jak dla mnie każdy normalny bank jest odporny na mitm(bo samo
> zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
> atak nie przejdzie ).
>
> Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
> karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.
>

Nawet najlepsze zabezpieczenai padna jesli uzytkownik z nich
korzystający nie bedzie dbal o elementarne zasady bezpieczenstwa - lamie
sie ludzi, nie kody.

Co do polskich systemow to uwazam ze sa na bardzo wysokim poziomie -
miedzy innymi dlatego ze bankowosc w naszym kraju zaczela sie rozwijac w
latach 90 i na dzien dobry brala w maire najnowsze rozwiazania - w
przeciwienstwie do wielu zachodnich bankow ktore czasami wciaz ciagna
stare systemy ktore napisane w ginacych juz jezykach maja powazne
problemy przy dawaniu do nich dostepu do netu.

Tak wiec czy to token, karta z chipem i certyfiaktem, hasla jednorazowe
- wszystko gwarantuje bezpieczenstwo tak dlugo jak dlugo uzytkujaca to
osoba dba o to aby nie dac sie okrasc.

pzdr
robbi

do góry