Krzysztof Halasa wrote:

>> Owszem, ale ile ludzi kliknie [TAK] a nie sprawdzi certyfikatu ?? hmm
>> ?? myslę że wystarczająca ilość :(
>
> To zalezy od tego co rozumiesz pod pojeciem "sprawdzenie certyfikatu".

Tak nawiasem mówiąc: Czy jestem naprawdę jedynym klientem, któremu
przeszkadza, że certyfikat jakim jest podpisany applet w systemie ING
jets od dawna przeterminowany?

do góry

> Nonsens. BTW: tokeny powstaly po to, by zredukowac uciazliwosci
> zwiazane z obsluga hasel jednorazowych.

Wiesz co tokeny powstały na długo-długo wcześniej zanim ktoś wymyślił
hasła jednorazowe ... i były używane do zupełnie innych celów nie
związanych często z bankami ...
http://www.rsasecurity.com/node.asp?id=1156
A co do haseł jednorazowych vs token .... to hasła jednorazowe są po
prostu tańsze dla banku !!! i dlatego są tak popularne.

Dla banku obsługa serwera RSA/SecureID dla np. 10 tys userów z tokenami
to dość poważny wydatek - i jeszcze licencja za używanie !
A takie hasełka są tanie i w miarę bezpieczne ....

Ostatnio modne są hasła przez SMS ... - wydaje mi się, że
bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
nie leżą gdzieś i nikt ich nie podejrzy).

>> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można
>> bez znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;)
>> - też dla mnie poważne niedociągnięcie !
>
> Wystarczy ich nie definiowac. Zlodziej moze miec problem w wyciagnieciu
> pieniedzy od np. gazowni.

Tylko po to jednak są te przelewy zdefiniowane aby umilić i przyśpieszyć
pracę ... a nie utrudnić życie !
Bank powinien tak zaprojektować system aby był bezpieczny i funkcjonalny
! dlatego każda operacja z MOIMI pieniędzmi powinna być zatwierdzana
jakimś kluczem (czy to będzie token czy lista haseł)

>
>> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
>> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na
>> robienie tego jest b. wiele ... a nie każda sieć ma switch'e z
>> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie
>> ... tajwany - gdzie nawet nie trzeba przepełniać bufora ... aby
>> słuchać wszystkiego ;).
>
> Nonsensy. Zalozenie jest takie, ze karta transmisja w sieci jest
> potencjalnie podsluchiwana. I mimo to SSL/TLS/itp. zapewnia poufnosc,
> pod warunkiem zastosowania sie do kilku prostych zasad.
> Nie zeby przecietny klient sie do nich stosowal.

Ty mówisz o idealnym świecie a życie życiem ;)
Kto ze zwykłych userów stosuje się chociażby do elementarnych zasad ....
Wystarczy, że pojawi się jakiś nieznane okienko i kliknij OK lub Anuluj
i już przeciętny user ma dylemat ....
Co do podsłuchów w LAN to temat rzeka !
Bardzo dużo ludzi ma internet w sieciach osiedlowych ;) - tamto dopiero
można słuchać ....
Jeśliby infrastruktura LAN/WAN była idealna to tak ... ale jak jest w
rzeczywistości ;) - jak się robi sieci po kosztach - to nikt nie dba o
bezpieczeństwo.

> To oczywiscie prawda, z tym ze sieci WiFi maja sie do tego nijak, gdyz
> nie sa czescia samego komputera jak bezpiecznego urzadzenia (szyfrowanie
> nie odbywa sie "w sieci").

Ale są po drodze transmisji pakietów !
i jeśli są (o zgroza beż żadnego kodowania - ogólnodostępne) to
powodzenia w pracy w takiej sieci ... - one się nadają co najwyżej do
przeglądania stron WWW.

pozdr.
NB

do góry

>> Co do tokena ... to raz użyty klucz ... w ciągu jednej minuty ... już
>> traci ważność
>
> Nie traci jesli bank go nie zobaczy :-)

Coś w tym jest ;) ale ma bardzo mało czasu na ....

do góry

Noeee <n...@p...onet.pl> writes:

> Wiesz co tokeny powstały na długo-długo wcześniej zanim ktoś wymyślił
> hasła jednorazowe ...

Guzik prawda. Hasla jednorazowe byly uzywane duzo wczesniej. I takze
nie do zadnych celow bankowych. Bo i jakich? Banki nie byly dostepne
z sieci.

> A co do haseł jednorazowych vs token .... to hasła jednorazowe są po
> prostu tańsze dla banku !!! i dlatego są tak popularne.

Cena nie ma tu zwiazku z bezpieczenstwem.

> Dla banku obsługa serwera RSA/SecureID dla np. 10 tys userów z
> tokenami to dość poważny wydatek - i jeszcze licencja za używanie !

Owszem, tak kiedys bylo :-)
Teraz jest wiecej opcji, i wszystko jest tansze.
Ale oczywiscie listy OTP sa zapewne jeszcze sporo tansze.

> Ostatnio modne są hasła przez SMS ... - wydaje mi się, że
> bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
> nie leżą gdzieś i nikt ich nie podejrzy).

M.in. operator GSM moze podejrzec. Nie widze tu zadnej zalety
w bezpieczenstwie, wady - choc inne - sa porownywalne.

> dlatego każda operacja z MOIMI pieniędzmi powinna być
> zatwierdzana jakimś kluczem (czy to będzie token czy lista haseł)

Tak czy owak mozna to niebezpieczenstwo wyeliminowac. Bardzo czesto
jest tak ze wiaze sie to z utrudnieniem zycia, ale to juz sprawa
drugorzedna i decyzja nalezy do Ciebie. Mozesz takze pomeczyc bank,
mozna zrobia taka opcje?

> Kto ze zwykłych userów stosuje się chociażby do elementarnych zasad ....
> Wystarczy, że pojawi się jakiś nieznane okienko i kliknij OK lub
> Anuluj i już przeciętny user ma dylemat ....

Coz z tego? Przecietny klient ma 500 zl na koncie i wiecej nie straci.
Ryzyko akceptowalne, biorac pod uwage prawdopodobienstwo.

Masz wiecej, czytasz komunikaty. To jest prosta zaleznosc.

> Co do podsłuchów w LAN to temat rzeka !
> Bardzo dużo ludzi ma internet w sieciach osiedlowych ;) - tamto
> dopiero można słuchać ....
> Jeśliby infrastruktura LAN/WAN była idealna to tak ... ale jak jest w
> rzeczywistości ;) - jak się robi sieci po kosztach - to nikt nie dba o
> bezpieczeństwo.

Coz z tego? SSL zapewnia (moze zapewnic) bezpieczenstwo.

> Ale są po drodze transmisji pakietów !
> i jeśli są (o zgroza beż żadnego kodowania - ogólnodostępne) to
> powodzenia w pracy w takiej sieci ... - one się nadają co najwyżej do
> przeglądania stron WWW.

To niewykluczone, jednakze wciaz nie wplywa to ujemnie na samo
bezpieczenstwo, a tylko na np. szybkosc, dostepnosc itp.
--
Krzysztof Halasa

do góry

Noeee <n...@p...onet.pl> writes:

>>> Co do tokena ... to raz użyty klucz ... w ciągu jednej minuty ... już
>>> traci ważność
>> Nie traci jesli bank go nie zobaczy :-)
>
> Coś w tym jest ;) ale ma bardzo mało czasu na ....

Dla nawet wolnego komputera to prawie wiecznosc.
--
Krzysztof Halasa

do góry

>>Ostatnio modne są hasła przez SMS ... - wydaje mi się, że
>>bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
>>nie leżą gdzieś i nikt ich nie podejrzy).

> M.in. operator GSM moze podejrzec. Nie widze tu zadnej zalety
> w bezpieczenstwie, wady - choc inne - sa porownywalne.

Eee tam, ostanio zostałem zaspamowany SMSammi z kodami dostępu z BZWBK24
Tylko że ja tam nie ma i nie miałem nigdy żadnego konta... Jeżeli,
nazwijmy to - sieć operatora - nie potrafi rozróżnić numerów tel no to
sorry :) Problem był w jednej cyfrze numeru telefonu (w prefixie), z
czego jak się zadwoniło z innego apartu na ten numer to dzwoniło u mnie
:) Jak na mój numer to też dzwoniło u mnie. miodzio. :) no ale to juz OT ;)
Dla dociekliwych: Plus GSM

pozdrawiam
nodde

do góry