-
61. Data: 2016-05-02 10:47:06
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: "J.F." <j...@p...onet.pl>
Dnia Sat, 30 Apr 2016 16:22:51 -0500, witek napisał(a):
> On 4/30/2016 9:28 AM, J.F. wrote:
>>>> tak zupełnie obocznie mi sie przypomnialo.
>>>> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
>>>> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.
>>>
>>> Bez haseł, jasne. Hasło to dość słabe zabezpieczenie.
>>
>> Hm, a czym chcesz haslo zastapic ?
>> Pinem do tokena ?
>
> napisalem w poscie powyzej
> kluczami kryptograficznymi nadawcy i odbiorcy.
> Nikt po za nimi nie bedzie wstanie tego przeczytac.
> https://www.youtube.com/watch?v=0w6tZEbrHIY
> mam spore zastrzezenia do gościa, ale pomysł jest.
Dlugie straszne i nie doczekalem co on proponuje.
Urzadzenie ?
No to problem mamy - jak zweryfikowac poprawnosc uzycia urzadzenia
-przez samo posiadanie,
-przez haslo (pin)
-przez jakies dane osobiste - odcisk palca, wzor zrenicy, DNA ...
IMO - haslo najlepsze.
J.
-
62. Data: 2016-05-02 21:17:24
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: MarcinF <m...@i...pl>
W dniu 2016-04-29 o 21:44, witek pisze:
> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.
Za jakiś czas nie będzie można włączyć się do "normalnego"
internetu bez uwierzytelnienia. Oczywiście trzeba będzie wybrać
wystarczająco bezpieczną (w sensie akceptowalnego poziomu
prawdopodobieństwa że dany użytkownik jest rzeczywiście tym
za kogo się podaje) i dostosować prawo na świecie.
Pewnie przez jakiś czas będą funkcjonować części sieci
dopuszczające "anonimowy" dostęp, ale z czasem będą się
kurczyć bo "cywilizowane" kraje będą stopniowo się od
nich odcinać.
-
63. Data: 2016-05-03 00:55:33
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
"MarcinF" ng894c$crm$...@n...news.atman.pl
> Za jakiś czas nie będzie można włączyć się do "normalnego"
> internetu bez uwierzytelnienia.
Proponuję tokeny -- drogie i skomplikowane na miarę zegarów atomowych. :)
[co by tu mONdrego o kryptach napisać?...]
BTW -- Australijski przedsiębiorca Craig Wright oświadczył, że to on jest twórcą
wirtualnej waluty bitcoin.
http://www.polskieradio.pl/42/273/Artykul/1614800,Au
stralijski-biznesmen-tworca-bitcoina
--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)
-
64. Data: 2016-05-03 13:21:48
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl>
witek <w...@g...pl> writes:
>> Bez haseł, jasne. Hasło to dość słabe zabezpieczenie. Natomiast loginy
>> (lub jakieś inne identyfikatory) są potrzebne, chociaż to już raczej
>> kwestia teorii baz danych niż bezpieczeństwa.
>
> no wlasnie nie.
> calosc transmisji szyfrowana kluczami nadawcy i odbiorcy.
> Po co ci login i haslo skoro nikt inny niz nadawca i odbiorca nie
> potrafi odczytac informacji.
Tak jak napisałem, hasło niepotrzebne. Natomiast login (identyfikator)
niestety musi być. Klucz publiczny też musi mieć swój identyfikator,
żeby było wiadomo do kogo należy i którym kluczem co jest podpisane.
> Niestety na pytanie co zrobic w sytuacji gdy utracisz klucz prywatny
> lub zostanie od jednak skradziony gosc uznal, ze mozesz sobie wowczas
> strzelic w łeb. Trochę mało poważnie jak na jego pozycję.
Niestety wszechświat jest tak zbudowany, że nie ma nic na 100% pewnego.
Mniejszym problemem wydaje mi się utrata klucza niż np. upadek asteroidy
albo wybuch supernowej.
--
Krzysztof Hałasa
-
65. Data: 2016-05-03 13:23:48
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl>
"J.F." <j...@p...onet.pl> writes:
> Konto z tabletem ? To juz bylo :-)
>
> I calkowita blokada tabletu - tylko aplikacja bankowa :-)
Jasne że tak.
>> Bank decyduje, że jest otwarty system z podpisem cyfrowym, niech
>> odpowiada za realizację prawidłowo podpisanych zleceń. BTW realizowane
>> w praktyce, chociaż do bezpieczeństwa po stronie klienta można mieć
>> pewne "uwagi".
>
> Moment - bank przeciez realizuje podpisane zlecenia, a potem klient
> mowi, ze nie podpisal :-)
Ale bank dysponuje podpisanym zleceniem. Nie miałem na myśli typowego
klienta indywidualnego.
--
Krzysztof Hałasa
-
66. Data: 2016-05-03 13:27:18
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl>
"Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console> writes:
> IMO drobne operacje (powiedzmy do 10 kpln) mogłyby być zabezpieczane
> słabo a poważniejsze -- silniej. Można wprowadzić kilka stopni wagi.
>
> () SMS do 10 kpln
> () SMS i zdrapka od 10 kpln do 100 kpln
> () jeszcze mocniejsze zabezpieczenie transakcji poważniejszych
Bez sensu, jeśli dobrze można zabezpieczyć wszystkie operacje.
Złodziej ma ileś razy przelewać mniejsze sumy?
--
Krzysztof Hałasa
-
67. Data: 2016-05-03 13:29:27
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl>
janek z pola <a...@e...pl> writes:
> Kto ma pomysł, czemu jakaś kancelaria prawna trzepie akurat w mBank? Czyżby
> brakowało w tym banku jakiegoś "lub czasopisma" w regulaminie dla klientów?
Nie wiem czy wszystkie są przeciwko mBankowi, ponadto to są jednostkowe
przypadki, a na takich nie można zbudować żadnej statystyki. Część spraw
może także kończyć się na wcześniejszym etapie.
--
Krzysztof Hałasa
-
68. Data: 2016-05-03 13:41:17
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl>
janek z pola <a...@e...pl> writes:
> Czyli: przy jakichś (prawdopodobnie bardzo restrykcyjnych) ograniczeniach,
> wiążących się z instalacją na stacji roboczej jakiegoś dodatkowego
> oprogramowania, może wymagania konkretnych wersji systemu operacyjnego i
> innych elementów - w takim stanie infrastruktura utrzymywana przez państwo
> mogłaby podjąć decyzję, że przy komputerze siedzi konkretny obywatel.
Potrzebny jasnowidz.
> 1. system potwierdzania tożsamości (państwowy) podejmuje decyzję, że przed
> komputerem siedzi konkretny obywatel - powiedzmy dla uproszczenia, że ten
> obywatel ma SESJĘ w jakimś systemie operacyjnym; ta sesja jest
> potwierdzona;
Niby jak?
> Czyli przykładowa realizacja tego rozwiązania wyglądałaby tak: państwo
> dostarcza "okienko" w które obywatel wprowadza jakies dane autentykacyjne -
> np. odczyty z tokena sprzętowego, jakiś certyfikat, etc. "Okienko" możliwie
> dokładnie sprawdza środowisko komputera, w którym się uruchomiło - to wymaga
> prawdopodobnie współpracy z producentami sprzętu i systemów operacyjnych. Po
> pozytywnej weryfikacji w środku "okienka" pojawia się ikonka systemu
> bankowego. Ponieważ całość działa bardzo on-line - to system państwowy może
> (w przypadku wykrycia nadużyć, np. nowego typu ataku) czasowo wyłączyć
> wszystkim obywatelom możliwość uwierzytelnienia swojej sesji.
To by się pewnie podobało niektórym.
Weźmy np. taką Argentynę 15 lat temu, albo inny Cypr (żeby już nie było
o Polsce).
> Tym "okienkiem" dostarczanym przez państwo mogłaby być fizyczna platforma
> sprzętowa - tak jak dowód osobisty jest fizyczny. Proszę bardzo - idziesz do
> urzędu meldunkowego, gdzie za 2.000 złotych otrzymujesz specjalny
> tablet.
No fakt, zamówienia państwowe muszą być droooogie, inaczej nie ma
z czego zapłacić łapówek.
A kto produkuje ten tablet i skąd wiem, że nie zrobił sobie kopii?
> Urządzenie podłączasz do sieci Internet. Tablet jest bardzo restrykcyjny -
> każda próba ingerencji w sprzęt lub oprogramowanie kończy się zablokowaniem
> urządzenia.
Myślenie życzeniowe
> Jak ktoś wymyśli atak na urządzenie, to rząd blokuje wszystkie
> tablety do momentu rozwiązania problemu.
Jak ktoś wymyśli atak, to żaden rząd o nim nie wie, chyba że to rząd
wymyśli.
Chociaż nie, pewne klasy ataków są ogólnie znane i nie da się przed nimi
skutecznie zabezpieczyć.
Ogólnie rzecz biorąc, te pomysły nie mają żadnego związku z realiami.
--
Krzysztof Hałasa
-
69. Data: 2016-05-03 13:42:33
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl>
MarcinF <m...@i...pl> writes:
> Za jakiś czas nie będzie można włączyć się do "normalnego"
> internetu bez uwierzytelnienia.
Praktyka pokazuje, że od dłuższego czasu to działa w przeciwną stronę.
--
Krzysztof Hałasa
-
70. Data: 2016-05-03 17:00:20
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: janek z pola <a...@e...pl>
Imka wrote:
> Dobra, namówiłeś. Jak mi się skończą TANy to przejdę na SMS. Telefon na
> tyle nietypowy, że może nikomu nie będzie się chciało wirusa na niego
> produkować :)
Krzysztof już napisał, że możliwy jest atak na operatora telefonicznego. A
ja tylko dodam, że taki atak ostatnio był - mianowicie klienci Play mogli
sobie włączyć usługę "pokaż treść SMS na stronie WWW" - należało tylko
ukraść komuś hasło do Play24. Złodziej generował w Play24 żądanie włączenia
usługi, które nie było potwierdzane kodem SMS tylko przychodził na komórkę
SMS o treści "właśnie włączyłeś czytanie SMS przez WWW - jak nie włączyłeś
to się szybciutko zaloguj i wyłącz" - SMSy przychodziły w środku nocy :-)
--
Wysłane z pola.