Dnia Fri, 29 Apr 2016 21:39:01 +0200, Imka napisał(a):
> Dnia Fri, 29 Apr 2016 19:50:38 +0200, J.F. napisał(a):
>>>Lub jeszcze lepiej hasłem z listy TAN - chyba mniej jest kradzieży
>>>list
>>>TAN niż zhackowanych telefonów. Aczkolwiek zaporowa cena TAN w mBanku
>>>odstrasza i wymusza niejako przejście na (IMO!) mniej bezpieczny
>>>system
>>>potwierdzania.
>>
>> Bardziej bezpieczny pod jednym wzgledem - podajac haslo z listy tak
>> naprawde nie wiesz co autoryzujesz.
>
> A tutaj to nie wiem czy się zgodzić. Oczka mam. Czytać nauczyli jeszcze
> przed podstawówką. Czy hakerzy są w stanie podesłać mi takiego wirusa,
> żeby podczas jakiejś normalnej *mojej* operacji na stronie banku wymusić
> autoryzację nie tej operacji a jakiejś innej? (od czasu wirusa ctrl+c,
> ctrl+v numery kont sprawdzam zawsze, żeby nie było ;)

Oczywiscie. Przeciez tym wszystkim program steruje, a nawet kilka, a
programy sa wrazliwe.
Wklepiesz jedno, wirus do serwera wysle drugie, ale na ekranie pokaze
pierwsze i spokojnie poprosi o kod potwierdzajacy.
Po czym wysle do serwera ... a jak ma jaja, to wypisze "niepoprawne
haslo, wpisz jeszcze raz" :-)

>>>> Myslisz, ze nie zaczna sie falszywe autoryzacje ?
>>>> Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
>>>> zdobyc.
>>>No cóż, Twoja kasa, Twoje zasady. Albo dbasz o swoją kasę i
>>>pamiętasz,
>>>albo masz to gdzieś. Ostatecznie tak zupełnie wszystkiego na bank bym
>>>nie zwalała ;->
>> Ja tez nie, ale hasla podanego raz wiele lat temu na pewno nie
>> zapamietam.
>
> E? Cyfrowe tobym jeszcze rozumiała, ale słowne? To w ilu bankach trzeba
> mieć konta żeby zapomnieć? :)

I w kazdym masz haslo Mika ? :-)

>> A korzystac z banku "bez hasla nie oddamy pana pieniedzy" to bym sie
>> troche bal skorzystac :-)
> No, zawszeć możesz zaszczycić osobą własną jakiś oddział, wylegitymować
> się dowodem osobistym (sprawdzić czy jeszcze ważny! ;) i sobie zwrot
> kasy wynegocjować :)

Jesli do oddzialu nie jest 200km to tak.

J.

do góry

Dnia Fri, 29 Apr 2016 20:12:44 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>> Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
>> podobne rozwiazania.
>> Niewrazliwe na oswietlenie, male ekrany itp.
>
> QR kod działa w praktyce bezproblemowo.

Probowales z roznymi urzadzeniami, w roznych warunkach ?

>> Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
>> USB.
> Ta koncepcja mi się nie podoba :-)
>
>> Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
>> niebezpieczny.
> Nie, skaner QR kodu jest prosty, stosy np. WiFi, GSM, TCP/IP itd. takie
> nie są.

Jak sam skanera nie pisales, to nie wiesz co zawiera :-)
A jak chcesz sprawdzac, to mozesz i stos sprawdzic :-)

No chyba, zeby kupic osobny modul z jakims prostym interfejsem.
Ale przeciez jeszcze wyzsza warstwa programu moze byc wrazliwa - atak
w stylu SQL Injection ...

>> Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
>> ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
>> kodu :-)
> USB ma jeszcze tę dodatkową wadę, że zmusza użytkownika do ufania
> bankowemu tokenowi. Skąd wiadomo, jako co się ten USB przedstawi, i co
> każe zainstalować. Kamera tego nie zrobi.

No ale komus trzeba w koncu ufac. Komu, jesli nie wlasnemu bankowi ?

> Poza tym tablety, kioski bez dostępu do USB itd.

Logowac sie do banku z nieznanego kiosku ? Hm ....

>> kradziez tokena i podstawienie falszywego bank tez powinien
>> przewidziec czy wystarczy zapis, ze klient jest zobowiazany
>> przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
>> :-)
>
> Kradzież - PIN przy starcie tokena.
> Fałszywy bank - podpis cyfrowy komunikatu dla tokena.

Token falszywy. Kradna ci token, ale podstawiaja falszywy.
Wpisujesz w niego pin, a on przez radio nadaje cyferki

> Wszystko powinien przewidzieć.

No, jest to jakas koncepcja prawna.
Ale co - bank jest zawsze winny, a klient ma nieogranicza
nieodpowiedzialnosc ?

J.

do góry

"witek" nfvull$v33$...@d...me

>> Czyli user autoryzowany to tylko ten, z którym bank ma umowę a nie ten,
>> który się autoryzuje mechanizmami autoryzacyjnymi oferowanymi przez bank.

> Nareszcie ktoś to zauważył.

Obzdulę konto swej matki a matka zgłosi kradzież?
Toż nie ze mną, lecz z matką bank zawarł umowę...

-=-

IMO nie warto szukać winnych pomiędzy klientami i bankiem, ale trzeba
złapać prawdziwego złodzieja. Ubezpieczę samochód, ukradnę tenżesamochód
sam sobie i zgłoszę się po odszkodowanie? IMO ani klient (przeciętny) nie
jest winien, ani bank -- trzeba IMO złapać prawdziwego złodzieja.

Za jakiś czas zniknie pieniądz papierowo-metalowy, więc łatwiejsze
będą cofki. Złodziej ukradnie -- bank mu odbierze...

-=-

Ciekawe jest oddalenie wniosku o biegłego informatyka. :)
Wypuklina to skolioza a wskazania rezonansu to subiektywne odczucia.
Siedziba internetu -- w Warszawie
Wszechwiedza sędziów poraża!

-=-

BTW wypuklin... Jeśli można pomarzyć... -- jest sprawiedliwość w RP, sędziowie są
sądzeni...
Śledczy rozmawia z SSR Martą Kiszowarą...

-- Biegły nie twierdzi, że wypukliny to skolioza, zatem skąd pani wzięła tę
rewelację?
Rozzłoszczona sędzia, do której nie dociera, że choć czasy nie ulegają zmianom,
sytuacja
sędziów w RP uległa zmianie...
-- Z dupy!
-- Zatem znów (kolejny raz) pani weszła w kompetencje biegłego?...
-- ??? (z życzliwym zaciekawieniem)
-- Zaglądanie do dupy pacjenta to przywilej lekarza...

Obecnie Sąd Okręgowy ma dylemat:

czy -2 to +2
czy minus dwa znaczy tyle, co plus dwa

Kiedyś napisałem, że pewnego dnia sąd nie zauważy różnicy nie tylko pomiędzy
dywizem i myślnikiem, ale także pomiędzy plusem i minusem. Tak stało się. :)

http://eneuel.w.duna.pl/zdrowie/Renta/okregowy/okuli
sta/Bernacka2cc.pdf

Czy bezczelność Bernackiej i ,,prawo'' prawników polskich mają granice?

-=-

IMO (biblijnie) ani rodzice nie są winni, ani dziecko, lecz dziecko urodziło
się ślepe, aby Jezus je uzdrowił, czyli -- ani bank nie jest winny, ani klient,
ale trzeba znaleźć prawdziwych złoczyńców... Banki trzeba ubezpieczyć a złoczyńców
ścigać...

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

"Krzysztof Halasa" m...@p...waw.pl

> QR kod działa w praktyce bezproblemowo.

Niedawno miałem z tym problem.
Próbowałem zapłacić za gaz -- po wielu próbach zrezygnowałem.

> Także w przypadku małego ekranu,
> tych danych tam nie musi być nie wiadomo ile (bank na ekranie 4,3" jest
> IMHO praktycznie nieużywalny, ale kod QR nie jest tu żadnym problemem).

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

"witek" ng0deu$rh2$...@d...me

> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.

http://www.doogeemobile.com/homtom-ht10.html <-- zaglądanie do oczu

Ale to nadal hasło. :)

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

"Imka" 1p580a52d9bej$.1qs6x1a6ji1lg$....@4...net

> A tutaj to nie wiem czy się zgodzić. Oczka mam. Czytać nauczyli jeszcze
> przed podstawówką. Czy hakerzy są w stanie podesłać mi takiego wirusa,
> żeby podczas jakiejś normalnej *mojej* operacji na stronie banku wymusić
> autoryzację nie tej operacji a jakiejś innej? (od czasu wirusa ctrl+c,
> ctrl+v numery kont sprawdzam zawsze, żeby nie było ;)

Na tej grupie ktoś rzucił skany -- numer odbiorcy wyświetlony był
poprawnie, lecz bank (mBank właśnie) otrzymał ,,poprawiony''.


--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

Dnia Sat, 30 Apr 2016 00:15:16 +0200, J.F. napisał(a):

>>> Bardziej bezpieczny pod jednym wzgledem - podajac haslo z listy tak
>>> naprawde nie wiesz co autoryzujesz.
>>
>> A tutaj to nie wiem czy się zgodzić. Oczka mam. Czytać nauczyli jeszcze
>> przed podstawówką. Czy hakerzy są w stanie podesłać mi takiego wirusa,
>> żeby podczas jakiejś normalnej *mojej* operacji na stronie banku wymusić
>> autoryzację nie tej operacji a jakiejś innej? (od czasu wirusa ctrl+c,
>> ctrl+v numery kont sprawdzam zawsze, żeby nie było ;)
>
> Oczywiscie. Przeciez tym wszystkim program steruje, a nawet kilka, a
> programy sa wrazliwe.
> Wklepiesz jedno, wirus do serwera wysle drugie, ale na ekranie pokaze
> pierwsze i spokojnie poprosi o kod potwierdzajacy.
> Po czym wysle do serwera ... a jak ma jaja, to wypisze "niepoprawne
> haslo, wpisz jeszcze raz" :-)

Bezczelny wirus! ;)
No to mi wychodzi, że hasła SMS chronią przed takim typem wirusa, na
który są wrażliwe hasła TAN, natomiast same są nadal wrażliwe na wirusy
grasujące po smartfonach. Z przechwytywaniem/samodzielną obsługą SMS i
diabli wiedzą czym jeszcze. Pewnie odkryłam Amerykę.
Wniosek chyba jeden - faktycznie dedykowana wyłącznie dla banku stara
Nokia :)
Dobra, namówiłeś. Jak mi się skończą TANy to przejdę na SMS. Telefon na
tyle nietypowy, że może nikomu nie będzie się chciało wirusa na niego
produkować :)


>> E? Cyfrowe tobym jeszcze rozumiała, ale słowne? To w ilu bankach trzeba
>> mieć konta żeby zapomnieć? :)
>
> I w kazdym masz haslo Mika ? :-)

Haseł/loginów do wszystkiego mam pewnie w sumie z kilkadziesiąt. Żadne
hasło się nigdzie nie powtarza (no bez jaj!) i żadne nie jest tak durne
(no bez jaj! #2 ;)
A, i żadne nie jest nigdzie zapisane w żadnej postaci :)

>>> A korzystac z banku "bez hasla nie oddamy pana pieniedzy" to bym sie
>>> troche bal skorzystac :-)
>> No, zawszeć możesz zaszczycić osobą własną jakiś oddział, wylegitymować
>> się dowodem osobistym (sprawdzić czy jeszcze ważny! ;) i sobie zwrot
>> kasy wynegocjować :)
>
> Jesli do oddzialu nie jest 200km to tak.

Fakt, pisałam z perspektywy Grójeckiej DC, gdzie na odcinku stu metrów
naliczyłam kiedyś osiem banków... nie licząc tych po drugiej stronie
ulicy.

--
Imka

do góry

Imka <s...@g...pl> writes:

> No to mi wychodzi, że hasła SMS chronią przed takim typem wirusa, na
> który są wrażliwe hasła TAN, natomiast same są nadal wrażliwe na wirusy
> grasujące po smartfonach.

Owszem. Przy czym jest jeszcze możliwość ataku niezależnego od telefonu,
przecież hasła SMS przechodzą przez infrastrukturę GSM, w tym przez
segmenty radiowe (np. niezaszyfrowane).

Natomiast w przypadku wirusa na smartfonie pojawia się dodatkowa
modyfikacja, gdy podstawowy kanał łączności z bankiem (przeglądarka)
także jest na tym telefonie - wtedy wystarczy "opanować" jedno
urządzenie :-)
--
Krzysztof Hałasa

do góry

witek <w...@g...pl> writes:

> no na tej grupie to chyba dalej nie wszyscy zauwazyli.

A, to na pewno. Zresztą w praktycznie każdej grupie nie wszyscy.
--
Krzysztof Hałasa

do góry

MarcinF <m...@i...pl> writes:

>> Ależ będzie miał, oczywiście. Jednokierunkową.
>
> Dwukierunkową: klawiaturę i wyświetlacz.

W tym sensie, mogłoby tak być. Ale moim zdaniem klawiatura (inna niż do
wpisania PINu tokena) nie jest przydatna. Kod QR, to jest ta łączność.
--
Krzysztof Hałasa

do góry