Wyglada ciekawie:

m-SMSKey -system silnej identyfikacji

W odpowiedzi na zapotrzebowanie rynkowe dotyczące prostego w obsłudze
systemu silnej autoryzacji użytkowników internetowych serwisów
bankowych, biur maklerskich, towarzystw ubezpieczeniowych i innych,
firma m-Soft Sp. z o.o. stworzyła system m-SMSKey.


System m-SMSKey pozwala na identyfikacje użytkownika przy użyciu
kluczy jednorazowych.

Dla zapewnienia uwierzytelnienia na poziomie tokena nie potrzebna jest
inwestycja
w zakup drogich urządzeń, ani szkolenie użytkowników końcowych,
ponieważ uwierzytelnienie w systemie m-SMSKey odbywa się z
wykorzystaniem telefonu komórkowego i powszechnie znanych komunikatów
SMS.

System m-SMSKey, może służyć uwierzytelnianiu osób:
- łączących się z serwisem WWW poprzez internet,
- dzwoniących do biura obsługi klienta z telefonów stacjonarnych,
- dokonujących wypłat w bankomatach,
- płacących kartami w terminalach POS wyposażonych w PIN pad-y itp.

Wyłącznie od instytucji wdrażającej m-SMSKey zależy, czy identyfikacja
dotyczyć będzie:
- wszystkich klientów korzystających z dostępu przez internet i
posiadających telefony komórkowe;
- klientów deklarujących chęć takiej autoryzacji;
- transakcji powyżej pewnej kwoty;
- transakcji kartami w internecie, bądź
- transakcji na rachunki niezdefiniowane wcześniej itd.

calosc: http://www.prnews.pl/html.php/display?article=1825

--
Michal 'Amra' Macierzynski
www.prnews.pl - swiat e-bankow

do góry

Użytkownik "Michał 'Amra' Macierzyński" <m...@p...pl> napisał

> Wyglada ciekawie:
> m-SMSKey -system silnej identyfikacji
[...]

PlusGsm stosuje taki (albo podobny) sposób logowania do e-BOKu, tj. najpierw
wprowadzasz ID i haslo, a pozniej przychodzi SMSem drugie haslo (cos jak
zapytanie o haslo z tokena w e-pko), ktore dopiero pozwala sie zalogowac.
Calkiem fajna rzecz.

--
Pozdrawiam,
Witek

do góry

Użytkownik "Witek" <w...@p...onet.fi> napisał w wiadomości
news:b1ohq3$cmu$1@news.onet.pl...
> Użytkownik "Michał 'Amra' Macierzyński" <m...@p...pl>
napisał
>
> > Wyglada ciekawie:
> > m-SMSKey -system silnej identyfikacji
> [...]
>
> PlusGsm stosuje taki (albo podobny) sposób logowania do e-BOKu, tj.
najpierw
> wprowadzasz ID i haslo, a pozniej przychodzi SMSem drugie haslo (cos jak
> zapytanie o haslo z tokena w e-pko), ktore dopiero pozwala sie zalogowac.
> Calkiem fajna rzecz.

Era też tak ma (o własnie sobie przypomnialem, ze cos musze zmienic).

BaLab

do góry

Witek wrote:
> PlusGsm stosuje taki (albo podobny) sposób logowania do e-BOKu, tj.
> najpierw wprowadzasz ID i haslo, a pozniej przychodzi SMSem drugie
> haslo (cos jak zapytanie o haslo z tokena w e-pko), ktore dopiero
> pozwala sie zalogowac. Calkiem fajna rzecz.

Plusa nie mam - ale wiem, ze Era tak ma :)


--
Michal 'Amra' Macierzynski
www.prnews.pl - swiat e-bankow

do góry

Użytkownik "Michał 'Amra' Macierzyński" <m...@p...pl>
napisał w wiadomości news:b1ogpu$a1h$1@news.onet.pl...
> Wyglada ciekawie:
>
> m-SMSKey -system silnej identyfikacji

ERA GSM stosuje zdaje się podobny system do logowania się do I-BOA.
Bardzo praktyczne, ale czy bezpieczne? Transmisja GSM jest utajniona tylko w
trakcie radiowym.

Pozdrawiam
Robert Wicik

do góry

Robert Wicik wrote:
> Bardzo praktyczne, ale czy bezpieczne? Transmisja GSM jest
> utajniona tylko w trakcie radiowym.

Chyba zalezy od czasu, jakie takie haslo jest wazne. W pewnych
przypadkach byloby calkiem ok.

--
Michal 'Amra' Macierzynski
www.prnews.pl - swiat e-bankow

do góry

Michał 'Amra' Macierzyński wrote:

[...]
|| Dla zapewnienia uwierzytelnienia na poziomie tokena nie potrzebna
|| jest inwestycja
|| w zakup drogich urządzeń, ani szkolenie użytkowników końcowych,
|| ponieważ uwierzytelnienie w systemie m-SMSKey odbywa się z
|| wykorzystaniem telefonu komórkowego i powszechnie znanych komunikatów
|| SMS.

IMVHO nie do końca to prawda z poziomem uwierzytelnienia.
W przypadku tokena działającego na zasadzie pytanie ---> odpowiedź cała
operacja generowania kodu odbywa się w dwóch bezpiecznych miejscach: w
systemie transakcyjnym oraz w breloczku u klienta. SMS tymczasem frunie
sobie poprzez świat - trafiając w więcej potencjalnych ogniw zagrożenia.
Druga sprawa to większe szanse na awarię (np. kłopoty telekomunikacyjne
u operatorów GSM).
I wreszcie - token można schować w bezpiecznym miejscu w domu i nie
obawiać się o niego, a komórka rzecz mobilna i bardzo "efemeryczna" ;)

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349

do góry

Użytkownik "Michał 'Amra' Macierzyński" <m...@p...pl>
napisał w wiadomości news:b1oib3$e3b$1@news.onet.pl...
> Chyba zalezy od czasu, jakie takie haslo jest wazne. W pewnych
> przypadkach byloby calkiem ok.

W pewnych tak, ale większych kwot bałbym się lokować w sytem zabezpieczony
hasłami przesyłąnymi w sposób jawny.
Po drugie, z doświadczenia wiem, że SMS dochodzą z bardzo dużym opóźnieniem
:-))

Pozdrawiam
Robert Wicik

do góry

Użytkownik "Michał 'Amra' Macierzyński" <m...@p...pl>
napisał w wiadomości news:b1ogpu$a1h$1@news.onet.pl...
> Wyglada ciekawie:
>
> m-SMSKey -system silnej identyfikacji

SecureID którego tokeny pewnie niektórzy z nas posiadają, już od jakiegoś
czasu oferuje takie rozwiązanie za mniejszą aczkolwiek także powalającą
cenę.
Pierwszy z takim rozwiązaniem był chyba PlusGSM z logowaniem do e-BOK.
Korzystając z tego pomysłu popełniłem taki system weryfikacji użytkowników w
systemie - modem GSM FALCOMa + shareware-owy COM+ i działa to do dziś za
nieporównywalnie mniejsze pieniądze...
Jest to rzeczywiście tanie i bezpieczne rozwiązanie dla weryfikacji "coś co
znasz" + "coś co posiadasz".

TomekD

do góry

"Witek" <w...@p...onet.fi> wyznał(a):
> PlusGsm stosuje taki (albo podobny) sposób logowania do e-BOKu, tj. najpierw
> wprowadzasz ID i haslo, a pozniej przychodzi SMSem drugie haslo (cos jak
> zapytanie o haslo z tokena w e-pko), ktore dopiero pozwala sie zalogowac.
> Calkiem fajna rzecz.

generalnie system jest dość prosty, nawet sam takie coś zrobiłem swego
czasu do logowania do serwisu oferującego darmowe aliasy w domenie
klamstwo.org. tylko że u mnie hasło tymczasowe było wysyłane mailem.
user podaje swój ID (opcjonalnie hasło), system sprawdza dane, jeśli
ok, to generuje hasło tymczasowe i wysyła na adres podany przy
rejestracji. od tego momentu user ma np. 10 minut na wpisanie hasła
tymczasowego, inaczej sesja przepada. i wsio. :) różnica pomiędzy
wysłaniem mailem a na sms polega na tym, że chcąc wysłać na sms
najlepiej byłoby skorzystać z bezpośredniego dostępu do SMSC operatora
(99.9% pewności dostarczenia sms-a, w przeciwieństwie do bramek
www2sms), a to wiąże się niestety ze sporymi kosztami (bodaj 2000 pln
abonamentu plus opłata za każdy przesłany tą drogą sms), więc do
prostych niekomercyjnych zastosowań zupełnie odpada. :( niemniej
patent z wysyłką na mail jest wystarczająco skuteczny.

--
[del] * http://btsearch.org * wyszukiwarka stacji bazowych GSM

do góry