Miroo napisał(a):
> Użytkownik "Cyneq" <c...@n...com> napisał w wiadomości
> news:e7tpvk$ivd$1@nemesis.news.tpi.pl...
>
>> Robię kawałek programu, który "udaje" bank lokalnie (trzeba tylko
>> nieco oszukać przeglądarkę co do adresu i obecności certyfikatu).
>> Zbieram hasła jednorazowe (np. z listy mbanku) przez jakiś czas. Przy
>> zrobieniu jednego przelewu gość się nie zorientuje że saldo mu się
>> naprawdę w banku niezmieniło, a mam w ręku hasło które mogę użyć (z
>> punktu widzenia mbanku "pierwsze ważne z listy").
>
> Tak to działa w mBanku?
> W Pekao SA system banku losowo wskazuje nr kodu na liście który (kod)
> trzeba podać. To jest pewne utrudnienie bo:
> - musisz zażądać na swojej atrapie strony kod o jakimś konkretnym numerze
> - jak masz szczęście, to nie będzie on jeszcze zużyty, jeśli nie masz
> szczęście to właściciel konta dzwoni do banku, że go proszą drugi raz o ten
> sam numerek i sprawa wychodzi szybko na jaw.

No własnie mbank leci po kolei.
Dlatego metoda z atrapą może zadziałać. Przechwycony kod jest jak
najbardziej do użycia przy najbliższej transakcji.


> - potem musisz tyle razy inicjować wykonanie przelewu, aż w końcu
> bank trafi w twój numerek
> Wszystko oczywiście wykonalne, ale sprawa robi się bardziej upierdliwa
> i mniej pewna (element losowy zużyty-niezużyty).

Też mi się ta wersja bardziej podoba, jest trochę lepsza. Sprowadza się
to w zasadzie do metody "zapytanie-odpowiedź" chociaż z mniejsza ilością
kombinacji niż np. 6 cyfrowy token.

--
Cyneq

do góry

AFAIK wrote:
> sumi wrote:
>
>> kto? wie jaki to bank jest taki bezpieczny?
>> http://fakty.interia.pl/news?inf=764377
>
> wybrać bank, który umożliwią korzystanie z listy tanów, tzn. listy haseł
> jednorazowych. na zachodzie standard. bez tego ani rusz. liasta nie jest na
> kompie, także hacker jeynie sobie rachunek może pooglądać, ale nic przelać
> bez podania hasła jednorazowego.
>
> /afaik
>
Jesli chodzi o UK dwa najwieksze banki - Lloyds TSB i Barclays oraz
dodatkowo NatWest - nie posiadaja hasel jednorazowych.

We wszystkich posiadam konta i wykonanie przelewu wyglada to troche inaczej.

Erion

do góry

Krzysztof Halasa wrote:

> > z tym ostatnim stwierdzeniem to sie nie zgodze,
>
> Jednakze mimo tego jest ono prawdziwe.
>

w takim razie uscisle ze pisze w kontekscie opisanego przypadku,
w ktorym mamy do czynienia z trojanem zainstalowanym na komputerze
klienta banku, wiec dalej jestem zdania, ze w takim przypadku
nie widze przewagi trzymania pliku klucza u klienta nad haslami
jednorazowymi

wydaje mi sie ze podsluch klawiatury i dostep do napedow jest nawet
prostszy niz zrealizowanie symulowanego polaczenia z bankiem
w celu pozyskania jednorazowego kodu, w dodatku gdy ktos bedzie
posiadal plik klucza i haslo bedzie go mogl uzywac dopoki beda wazne
(np. poczeka sobie cierpliwie na moment kiedy na rachunku beda
bardzo duze srodki)

do góry

MarcinF <m...@i...pl> writes:

> w takim razie uscisle ze pisze w kontekscie opisanego przypadku,
> w ktorym mamy do czynienia z trojanem zainstalowanym na komputerze
> klienta banku, wiec dalej jestem zdania, ze w takim przypadku
> nie widze przewagi trzymania pliku klucza u klienta nad haslami
> jednorazowymi

W takim przypadku oczywiscie tak, ale trzeba bylo zaznaczyc ze o taki
przypadek chodzi.
--
Krzysztof Halasa

do góry