-
21. Data: 2006-06-02 17:30:03
Temat: Re: Bezpieczeństwo kont internetowych
Od: Krzysztof Halasa <k...@p...waw.pl>
z...@i...pl writes:
> Który ze sposobów zabezpieczenia dostępu do kont/operacji przez internet jest
> Waszym zdaniem najbezpieczniejszy, a który budzi najwięcej wątpliwości:
>
> 1. Hasła jednorazowe (jak w mbank, czy PKO BP),
Tu niebezpieczenstwo dotyczy np. poczty i przechowywania listy. Dosc
skuteczne.
> 2. Hasło maskowane (jak w ING
Nie wiem jak to dziala.
> 3. Token (jak w Lukas),
Tokeny w porownaniu do OTP sa latwiejsze w uzyciu (a wiec jest wieksza
szansa, ze ktos bedzie z nich prawidlowo korzystal - tu moze bez
znaczenia), oraz sa potencjalnie mniej bezpieczne (w sensie algorytmu).
Ale w praktyce zarowno OTP jak i (sensowne) tokeny sa w takich
zastosowaniach dosc rownowazne.
> 4. Podpis elektroniczny (jak w Fortis),
Jesli zrobiony dobrze, to ma (w porownaniu do OTP oraz czesciowo do
tokenow) potencjalna slabosc algorytmu (ale to tutaj malo istotne
w praktyce), natomiast ma duza zalete - informacje posiadane przez
bank nie sa wystarczajace do podpisania zlecenia. Ale nie wiem jak
jest w Fortisie, implementacje bywaja wadliwe.
> Nie chodzi mi o to, które operacje powinny być zabezpieczone a które nie (np.
> edycja kontrahenta), tylko w którym przypadku istnieje największe
> prawdopodobieństwo utraty pieniędzy.
Tak jak ktos napisal, poszukalbym slabszych ogniw, takich jak insider
w banku (nie liczac sensownie zrobionego podpisu) oraz przede
wszystkim klient i jego komputer.
--
Krzysztof Halasa
-
22. Data: 2006-06-02 17:38:02
Temat: Re: Bezpieczeństwo kont internetowych
Od: Krzysztof Halasa <k...@p...waw.pl>
nodde <n...@d...pl> writes:
> Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm
> ?? myslę że wystarczająca ilość :(
To zalezy od tego co rozumiesz pod pojeciem "sprawdzenie certyfikatu".
Certyfikaty dla serwerow WWW wydawane sa dla konkretnych nazw (domen)
serwera. Jesli ktos jest w stanie uzyskac podpisany przez odpowiednie
CA certyfikat dla np. www.mbank.pl, to jestem przekonany, ze uzyskanie
tam nazwy banku itd. nie bedzie juz zasadniczym dodatkowym problemem.
No chyba ze przegladarka akceptuje certyfikat dla "www.xxx.pl" jesli
strona znajduje sie na serwerze "www.mbank.pl" - ale wtedy pretensje
nalezy raczej miec do producenta przegladarki.
BTW: byly publicznie znane przypadki wyludzenia certyfikatow, mimo
ze CA takich informacji same nie publikuja (co kaze domniemywac, ze
"zatuszowanych" przypadkow bylo/jest duuzo wiecej). Jesli kogos to
interesuje to sugeruje obejrzec liste "zaufanych" root CA we wlasnej
przegladarce, a jak ktos wciaz ma watpliwosci to moze zapoznac sie
z deklarowanymi procedurami stosowanymi przez te firmy.
--
Krzysztof Halasa
-
23. Data: 2006-06-02 17:40:07
Temat: Re: Bezpieczeństwo kont internetowych
Od: Krzysztof Halasa <k...@p...waw.pl>
Janek Pradera <s...@g...pl> writes:
> Pytanie: ilu użytkowników sprawdza w swoich przeglądarkach, czy
> "kłódeczka" dla bezpiecznego połączenia (https) jest "zamknięta" ?
A jaka przegladarka wyswietli strone z otwarta "klodeczka" przy https?
Nie wiem, pytam.
--
Krzysztof Halasa
-
24. Data: 2006-06-02 17:46:23
Temat: Re: Bezpieczeństwo kont internetowych
Od: Krzysztof Halasa <k...@p...waw.pl>
Noeee <n...@p...onet.pl> writes:
> Co do transmisji SSL i TSL też są ok. i mogą utrudnić włam ... ale jak
> ktoś chce mieć 100% pewności to tylko token.
Nonsens. BTW: tokeny powstaly po to, by zredukowac uciazliwosci
zwiazane z obsluga hasel jednorazowych.
> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można
> bez znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;)
> - też dla mnie poważne niedociągnięcie !
Wystarczy ich nie definiowac. Zlodziej moze miec problem w wyciagnieciu
pieniedzy od np. gazowni.
> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na
> robienie tego jest b. wiele ... a nie każda sieć ma switch'e z
> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie
> ... tajwany - gdzie nawet nie trzeba przepełniać bufora ... aby
> słuchać wszystkiego ;).
Nonsensy. Zalozenie jest takie, ze karta transmisja w sieci jest
potencjalnie podsluchiwana. I mimo to SSL/TLS/itp. zapewnia poufnosc,
pod warunkiem zastosowania sie do kilku prostych zasad.
Nie zeby przecietny klient sie do nich stosowal.
> Strzeżcie się kafejek internetowych - albo
> sieci Wi-Fi.
> Najlepiej przelewy robić z Domu i pewnego komputera.
To oczywiscie prawda, z tym ze sieci WiFi maja sie do tego nijak, gdyz
nie sa czescia samego komputera jak bezpiecznego urzadzenia (szyfrowanie
nie odbywa sie "w sieci").
BTW: na kafejki lub robaka w systemie zaden token nie pomoze.
--
Krzysztof Halasa
-
25. Data: 2006-06-02 17:47:43
Temat: Re: Bezpieczeństwo kont internetowych
Od: Krzysztof Halasa <k...@p...waw.pl>
"Marcin" <k...@k...de> writes:
> A czy przecietny uzytkownik nie powinien raczej robic operacji
> bankowych na komputerze w pracy?
Jesli ufa np. swojemu adminowi oraz temu, ze w nocy nikt tam nic nie
zainstaluje (ani kolega z pracy) to czemu nie?
--
Krzysztof Halasa
-
26. Data: 2006-06-02 17:48:45
Temat: Re: Bezpieczeństwo kont internetowych
Od: Krzysztof Halasa <k...@p...waw.pl>
Noeee <n...@p...onet.pl> writes:
> Co do tokena ... to raz użyty klucz ... w ciągu jednej minuty ... już
> traci ważność
Nie traci jesli bank go nie zobaczy :-)
--
Krzysztof Halasa
-
27. Data: 2006-06-02 18:56:46
Temat: Re: Bezpieczeństwo kont internetowych
Od: Jacek Pełka <j...@c...com.pl>
Noeee <n...@p...onet.pl> wrote:
>
> Nawet hasła jednorazowe nie są bezpieczne ...
> np.
> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można bez
> znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;) - też
> dla mnie poważne niedociągnięcie !
>
W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
no i proszę - minęły głupie 2 lata i zrobili :)
pzdr
Jacek
--
"Są na świecie rzeczy, o których się fizjologom nie śniło"
- F. Kiepski
-
28. Data: 2006-06-02 19:32:41
Temat: Re: Bezpieczeństwo kont internetowych
Od: Sławomir Szyszło <s...@p...onet.pl>
Dnia Fri, 2 Jun 2006 18:56:46 +0000 (UTC), Jacek Pełka <j...@c...com.pl>
wklepał(-a):
>W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
>potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
>na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
>no i proszę - minęły głupie 2 lata i zrobili :)
Co jeszcze napisałeś wtedy? :)
--
Sławomir Szyszło mailto:s...@p...onet.pl
FAQ pl.comp.bazy-danych http://www.dbf.pl/faq/
FAQ pl.comp.www.nowe-strony http://www.faq-nowe-strony.prv.pl/
-
29. Data: 2006-06-03 18:15:34
Temat: Re: Bezpieczeństwo kont internetowych
Od: robbi <r...@n...frompoznan.com>
Jacek Pełka napisał(a):
> W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
> potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
> na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
> no i proszę - minęły głupie 2 lata i zrobili :)
Tylko nie mow ze pisales tez ze za niskie oplaty maja ;D
pzdr
robbi
-
30. Data: 2006-06-04 11:03:47
Temat: Re: Bezpieczeństwo kont internetowych
Od: Akkon <g...@g...pl>
Jacek Pełka napisał(a):
> W MultiBanku od niedawna można zdefiniować przelewy, które wymagają
> potwierdzenia hasłem jednorazowym. Jakiś czas temu pisałem na ich forum
> na www że czegoś takiego brakuje - "dobry pomysł, zastanowimy się"
> no i proszę - minęły głupie 2 lata i zrobili :)
To może i mBank się zdecyduje...