Na bankier.pl pojawiło się zestawienie:

http://tinyurl.com/banki-sec
http://preview.tinyurl.com/banki-sec

Pierwszy jest eurobank, ze swoimi tokenami
Drugi Fortis
Trzeci Rajfi i BZWBK

Najlepiej wygląda koniec stawki:
PKO BP, Inteligo, Getin, DB, DnB nord, BP

Nie mam czasu zaglądnąć w metodologię i nie wiem czy brali też pod uwagę
używalność.

Mnie dziwi pozycja ING ze swoim esemesowy algorytmem?!

--
xbartx

do góry

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości grup
dyskusyjnych:hbk58k$cqi$...@i...gazeta.pl...

> Trzeci Rajfi i BZWBK

Rajfi trzeci może za długość haseł jednorazowych (sześć cyfr)? :)

do góry

> http://tinyurl.com/banki-sec
> http://preview.tinyurl.com/banki-sec

> Pierwszy jest eurobank, ze swoimi tokenami
> Drugi Fortis
> Trzeci Rajfi i BZWBK

Ja czytając tę grupę zaczynam mieć taką konkluzję że token
gsm Eurobanku jest faktycznie dość dobry, jednak aby z niego
korzystać wygodnie jest mieć aktywny kanał telefoniczny, co
się przydaje do zsynchronizowania tokena gsm albo zlecenia
wysłania nowego. I tutaj jest problem bo kanał telefoniczny
jest o wiele mniej bezpieczny.

do góry

Dnia Tue, 20 Oct 2009 14:02:37 +0200, Cavea napisał(a):

> Ja czytając tę grupę zaczynam mieć taką konkluzję że token
> gsm Eurobanku jest faktycznie dość dobry, jednak aby z niego
> korzystać wygodnie jest mieć aktywny kanał telefoniczny, co
> się przydaje do zsynchronizowania tokena gsm albo zlecenia
> wysłania nowego. I tutaj jest problem bo kanał telefoniczny
> jest o wiele mniej bezpieczny.

W normalnych przypadkach nie ma potrzeby synchronizowania tokena. Jak się
bawisz tokenem i generujesz hasła na pusto to sam jesteś sobie winien.
Problem jest przy zmianie telefonu, ale tu można się przejść do placówki.

--
Kojer

do góry

xbartx wrote:

>
> Na bankier.pl pojawiło się zestawienie:
>
> http://tinyurl.com/banki-sec
> http://preview.tinyurl.com/banki-sec
>
> Pierwszy jest eurobank, ze swoimi tokenami
> Drugi Fortis
> Trzeci Rajfi i BZWBK

i oczywiscie pan analityk napisal glupote przy bzwbk,
wybral autoryzacje sms-em a przeciez do konta indywidualnego
mozna miec token z pinem i {time,challange}-response.

do góry

> Na bankier.pl pojawiło się zestawienie:
>
> http://tinyurl.com/banki-sec
> http://preview.tinyurl.com/banki-sec
>
> Pierwszy jest eurobank, ze swoimi tokenami
> Drugi Fortis
> Trzeci Rajfi i BZWBK
>
> Najlepiej wygląda koniec stawki:
> PKO BP, Inteligo, Getin, DB, DnB nord, BP
>
> Nie mam czasu zaglądnąć w metodologię i nie wiem czy brali też pod uwagę
> używalność.
>
> Mnie dziwi pozycja ING ze swoim esemesowy algorytmem?!

Ile jest osob na swiecie potrafiacych "podsuchac" transmisje miedzy toba a
bankiem bez tokenow, hasel... przy zwyklym 128bitowym szyfrowaniu?

do góry

pmlb wrote:
>
>> Mnie dziwi pozycja ING ze swoim esemesowy algorytmem?!
>
> Ile jest osob na swiecie potrafiacych "podsuchac" transmisje miedzy toba
> a bankiem bez tokenow, hasel... przy zwyklym 128bitowym szyfrowaniu?

Przecież nie tu jest słabe ogniwo.
Ile osób jest w stanie poznać to co użytkownik wpisuje do przeglądarki w
pola typu hasło? W zależności od stanu systemu operacyjnego, od zera do
wielu.
Wracając do testów systemów transakcyjnych. Dobry system to taki, z
którego w sytuacji podbramkowej da się skorzystać nawet z niezaufanego
komputera. Np. taki, w którym każdą niezdefiniowaną transakcję trzeba
potwierdzić hasłem sms-owym zawierającym zarówno numer rachunku
docelowego jak i kwotę.
ING słabo wypada ze swoim algorytmem, w którym przelewy na niskie kwoty
nie są weryfikowane kodem autoryzacyjnym.

Matt

do góry

xbartx wrote:
> Na bankier.pl pojawiło się zestawienie:
>
> http://tinyurl.com/banki-sec
> http://preview.tinyurl.com/banki-sec

jak ktos juz skomentowal na stronie bankiera, w tym raporcie zalozono ze token
sprzetowy w trybie challenge response nie chroni przez atakami
man-in-the-middle/browser,
w przeciwienstwie do tokena software dzialajacego w tym trybie

jesli juz rozrozniac ich stopien bezpieczenstwa, to raczej softwareowy moze byc
bardziej narazony, bo na sprzetowym tokenie raczej nie da sie zainstalowac
trojana, a tymbardziej wyslac z niego dane przez internet...

do góry

Dnia Tue, 20 Oct 2009 14:02:37 +0200, Cavea napisał(a):

>> http://tinyurl.com/banki-sec
>> http://preview.tinyurl.com/banki-sec
>
>> Pierwszy jest eurobank, ze swoimi tokenami
>> Drugi Fortis
>> Trzeci Rajfi i BZWBK
>
> Ja czytając tę grupę zaczynam mieć taką konkluzję że token
> gsm Eurobanku jest faktycznie dość dobry, jednak aby z niego
> korzystać wygodnie jest mieć aktywny kanał telefoniczny, co
> się przydaje do zsynchronizowania tokena gsm albo zlecenia
> wysłania nowego. I tutaj jest problem bo kanał telefoniczny
> jest o wiele mniej bezpieczny.

Używam tokena ponad rok i nigdy nie miałem potrzeby synchronizowania (EB
mam jako podstawowy rachunek do obracania pieniędzmi). Faktycznie raz była
potrzeba wysłania nowego ale w tym nic dziwnego, bo zmieniłem telefon
(fizycznie - urządzenie, nie nr).

...ale ja to może masochistą jestem, bo wszyscy w kółko, ze beee, że się
nie nadaje, ze pasee a ja uważam za rewelacyjne rozwiązanie :-).

--
Pozdrawiam,
Michał

do góry

On 2009-10-22 21:04, Michał wrote:
> Dnia Tue, 20 Oct 2009 14:02:37 +0200, Cavea napisał(a):
...
> Ja czytając tę grupę zaczynam mieć taką konkluzję że token
>> gsm Eurobanku jest faktycznie dość dobry, jednak aby z niego
>> korzystać wygodnie jest mieć aktywny kanał telefoniczny, co
>> się przydaje do zsynchronizowania tokena gsm albo zlecenia
>> wysłania nowego. I tutaj jest problem bo kanał telefoniczny
>> jest o wiele mniej bezpieczny.
>
> Używam tokena ponad rok i nigdy nie miałem potrzeby synchronizowania (EB
> mam jako podstawowy rachunek do obracania pieniędzmi). Faktycznie raz była
> potrzeba wysłania nowego ale w tym nic dziwnego, bo zmieniłem telefon
> (fizycznie - urządzenie, nie nr).
>
> ....ale ja to może masochistą jestem, bo wszyscy w kółko, ze beee, że się
> nie nadaje, ze pasee a ja uważam za rewelacyjne rozwiązanie :-).
>

Potwierdzam, używam intensywnie od ponad pół roku i nawet jak
zmarnowałem (naciskając w telefonie nie to, co trzeba) jeden kod na
logowanie - nic się nie stało. Myślę, że jakiś algorytm
autosynchronizacji jest wbudowany w mechanizm autoryzacji - skoro
może być dla tokenów sprzętowych to i dla takich nie powinno to byc
problemem.

Natomiast co innego mnie wkurza: token nie przyjmuje hasła przy
wprowadzaniu z klawiatury zewnętrznej (mam SE z klapką). Stwierdza
od razu, że niedozwolony znak (wiadomo, że z klawiatury zewnętrznej
wprowadzany znak zmienia się kilka razy - cyfry pojawiają się jako
ostatnie). Nie narzekałbym, gdyby nie to, że cyfry z klawiatury
generalnie akceptuje - gdy wprowadza się kod dla funkcji "operacja"
- więc można, tylko ktoś nie pomyślał.
Ponadto, żeby wybrać funkcję nie można użyć przycisku select.

Studenci oprogramowaliby to lepiej...

witrak()

do góry