> Bo jak dla mnie każdy normalny bank jest odporny na mitm(bo samo
> zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
> atak nie przejdzie ).
> Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
> karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.

Jeśli dobrze zrozumiałem to chodzi o zaufaną trzecia stronę czyli, jesli
dalej dobrze rozumiem, o wystawce certyfikatu, tak ?

Większosc ataków nie jest kierowana przeciwko bankowi, a przeciwko
użytkownikowi, w tym przypadku całość opiera sie na braku
wiedzy/lenistwie/braku czujności użytkownika, który zaakceptuje bez
sprawdzenia podstawiony certyfikat.
A wtedy czy to będzie token czy nie - nie ma już większego znaczenia.

Oczywiście trzeba uszczegółowić do czego jakie zabezpiczenie jest
używane - w tym przypadku token - czy do logowania do banku czy do
wykonywania dyspozycji.

Dlatego dopiero zastosowanie róznego typu zabezpieczeń daje mniejszy lub
większy poziom bezpieczeństwa.

pozdrawiam
nodde

do góry

Witajcie

Najbezpieczniejszy obecnie jest token ... - nawet jeśli ktoś podsłucha
transmisję ... i odczyta klucz ... to i tak zmienia się on co 1 min ...
więc na nic mu się on nada ....

Co do innych zabezpieczeń:

1) Lista haseł jest ok do mom. kiedy ktoś jej ;) (ci nie np. skseruje
lub zdobędzie w inny sposób) .... Tokena nawet może sobie pooglądać itp.
a i tak nic mu to nie da ...

Co do podpisu elektronicznego .... w Fortisie i innych bankach ....
Tam większość opiera na certyfikatach instalowanych w przeglądarkach i
kluczu prywatnym i pinie .....
Też dość bezpiecznie ... do mom . np. jak dostaniesz w emailu jakiegoś
super nowego trojana/keyloggera i zassa on z twojego kompa
certyfikat/klucz/i pin .... i po tobie ;.

Dla mnie najlepszy jest tylko TOKEN ale ... ma jedną wadę (jest
nieporęczny) hehehe.

Co do innych zabezpieczeń typu kombinacja PESEL, jakieś daty urodzenia
itp ... to są jakieś nieporozumienia i ... na prawdę podziwiam
informatyków z tych banków - którzy mają odwagę z takimi systemami
pracować ;).

Co do transmisji SSL i TSL też są ok. i mogą utrudnić włam ... ale jak
ktoś chce mieć 100% pewności to tylko token.

Nawet hasła jednorazowe nie są bezpieczne ...
np.
W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można bez
znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;) - też
dla mnie poważne niedociągnięcie !

Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na robienie
tego jest b. wiele ... a nie każda sieć ma switch'e z
autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie ... tajwany
- gdzie nawet nie trzeba przepełniać bufora ... aby słuchać wszystkiego
;). Strzeżcie się kafejek internetowych - albo sieci Wi-Fi.
Najlepiej przelewy robić z Domu i pewnego komputera.


pozdr.
Norbert

do góry

robbi napisał(a):
> Nawet najlepsze zabezpieczenai padna jesli uzytkownik z nich
> korzystający nie bedzie dbal o elementarne zasady bezpieczenstwa - lamie
> sie ludzi, nie kody.
>
> Co do polskich systemow to uwazam ze sa na bardzo wysokim poziomie -
> miedzy innymi dlatego ze bankowosc w naszym kraju zaczela sie rozwijac w
> latach 90 i na dzien dobry brala w maire najnowsze rozwiazania - w
> przeciwienstwie do wielu zachodnich bankow ktore czasami wciaz ciagna
> stare systemy ktore napisane w ginacych juz jezykach maja powazne
> problemy przy dawaniu do nich dostepu do netu.
>
> Tak wiec czy to token, karta z chipem i certyfiaktem, hasla jednorazowe
> - wszystko gwarantuje bezpieczenstwo tak dlugo jak dlugo uzytkujaca to
> osoba dba o to aby nie dac sie okrasc.

Amen.
Pytanie: ilu użytkowników sprawdza w swoich przeglądarkach, czy
"kłódeczka" dla bezpiecznego połączenia (https) jest "zamknięta" ?

-Janek-

do góry

Janek Pradera napisał(a):

> Pytanie: ilu użytkowników sprawdza w swoich przeglądarkach, czy
> "kłódeczka" dla bezpiecznego połączenia (https) jest "zamknięta" ?

To podchwytliwe pytanie ?? ;>

pzdr
robbi

do góry

Witam

Użytkownik "Noeee" <n...@p...onet.pl> napisał w wiadomości
news:e5min1$f4l$1@news.dialog.net.pl...
> ;). Strzeżcie się kafejek internetowych - albo sieci Wi-Fi.

Co do kafejek to zgoda ale jak podsluchasz transmisje po https w sieci WiFi?
Znaczy nie sama transmisje bo to jest proste, ale co tak naprawde jest w tej
transmisji.

> Najlepiej przelewy robić z Domu i pewnego komputera.

A czy przecietny uzytkownik nie powinien raczej robic operacji
bankowych na komputerze w pracy? Taki komputer jest duzo
lepiej zebezpieczony niz przecietny pecet w domu. Chocby
sprzetowe firewalle, instalcja krytycznych latek itp. No i tam
sa ludzie, ktorzy dbaja o bezpieczenstwo (przynajmniej
w wiekszych firmach) a w domu zwykle
szczyt zabezpieczen to antywirus. W pracy tez zwykle nie masz
poinstalowanych tych wszystkich p2p i innych programow
niewiadomoego pochodzenia bo nie mozna ich instalowac.
Chociaz w domu mozna miec plytke z linuxem live i uruchamiac
do operacji bankowych, tylko jaki procent uzytkownikow tak robi?;)

Pozdrawiam

Marcin

do góry

Dnia Thu, 01 Jun 2006 13:23:13 +0200, Noeee napisał(a):

> Co do transmisji SSL i TSL też są ok. i mogą utrudnić włam ... ale jak
> ktoś chce mieć 100% pewności to tylko token.

Transmisja jest OK jeśli nie jest prowadzona po SSL 2, a taką niestety
jeszcze niektóre banki udostępniają; SSL2 miał taką wadę że mozna było
wymusić degradację szyfrowania do niższego które było bardzo łatwe do
złamania i podsłuchania transmisji. Tylko że kiedy się ma token to nawet
podsłuchiwanie transmisji niewiele da, bo chyba niewiele włamywaczy potrafi
co minutę wygenerować poprawny 6 cyfrowy klucz :)

do góry

>
> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na robienie
> tego jest b. wiele ... a nie każda sieć ma switch'e z
> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie ... tajwany
> - gdzie nawet nie trzeba przepełniać bufora ... aby słuchać wszystkiego


Taaakkk na pewno tylko podsluchujac https jestes w stanie
zrozumiec/zdekodowac przesylana informacje:)

do góry

> Tylko że kiedy się ma token to nawet
> podsłuchiwanie transmisji niewiele da, bo chyba niewiele włamywaczy potrafi
> co minutę wygenerować poprawny 6 cyfrowy klucz :)

i właśnie to nazywam złudnym poczuciem bezpieczeństwa.
Nie trzeba generować nowego klucza, wystarczy że przejmie się ten jeden
w mitm, i za jego pomocą zaloguje sie do banku. I nie trzeba
genrować/wymyślać nowego klucza z tokena.
Inne pytanie, czy jakies banki (w rozumieniu portale bankowości
elektronicznej) dają możliwość sprawdzenia z jakich adresów ip zostało
nawiązane połącznie ?? Wie ktoś ?

pozdrawiam
nodde

do góry

Co do tokena ... to raz użyty klucz ... w ciągu jednej minuty ... już
traci ważność ... i tak naprawdę musisz poczekać do następnej minuty ..
(w praktyce nawet tego nie zauważysz bo zwykle po zalogowaniu - zanim
zrobisz przelew już mija 1 min).

do góry

>
> Taaakkk na pewno tylko podsluchujac https jestes w stanie
> zrozumiec/zdekodowac przesylana informacje:)

Oj zdziwił byś się ;)
Nawet do tego wiele nie trzeba ....
Nie ta grupa na takie dywagacje .....
Z SSL1 to nawet nie trzeba dużo wiedzy - zrobisz to w 5,10 minut ;)-
od SS2 podobno jest bezpiecznie ..... - tylko czy ja wiem ... jak przy
pierwszym wejściu pobierasz i akceptujesz klucz z serwera ....

Tak naprawdę 100% bezpiecznie było by gdybyś sam sobie do przeglądarki
zainstalował certyfikat przyniesiony na dyskietce z banku.

Z drugiej strony ssl2/tsl są w miarę bezpieczne .... bo naprawdę trzeba
by wiele zachodu by to zdekodować ... a nikt nie będzie tego robił dla
"paru" złotych z konta kowalskiego.

NB

do góry