eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiOgraniczyć phising...
Ilość wypowiedzi w tym wątku: 57

  • 41. Data: 2007-12-20 09:56:39
    Temat: Re: Ograniczyć phising...
    Od: summ <s...@g...com>

    On 20 Gru, 01:20, Krzysztof Halasa <k...@p...waw.pl> wrote:

    > Wystarczy
    > ze jakis system nie bedzie blokowal hasla po nieudanej probie
    > (zdaje sie ze jakis bank internetowy w Polsce ma, lub przynajmniej
    > mial, cos takiego?)

    A to już byłby skandal i każdy - choć trochę myślący
    klient - zrezygnowałby z usług takiego banku, a bank
    bez klientów to jak samolot, któremu wyciekło paliwo.
    W czasie lotu nad oceanem ;-)

    summ


  • 42. Data: 2007-12-20 17:58:22
    Temat: Re: Ograniczyć phising...
    Od: MarcinF <m...@i...pl>

    Krzysztof Halasa wrote:

    > Tyle ze "stale" haslo moze miec wiele znakow, zas "hasla jednorazowe"
    > typowo maja tylko kilka cyfr - kilkanascie bitow entropii.

    porownujesz "moze miec" z "typowo maja", w ten sposob mozna wykazac
    wszystko


  • 43. Data: 2007-12-20 17:59:22
    Temat: Re: Ograniczyć phising...
    Od: scream <n...@p...pl>

    Dnia Thu, 20 Dec 2007 01:56:39 -0800 (PST), summ napisał(a):

    > A to już byłby skandal i każdy - choć trochę myślący
    > klient - zrezygnowałby z usług takiego banku, a bank
    > bez klientów to jak samolot, któremu wyciekło paliwo.
    > W czasie lotu nad oceanem ;-)

    Przypomnij sobie jak wyglądał system polbanku jak ten bank dopiero co
    startował :)

    --
    best regards,
    scream (at)w.pl
    Samobójcy są arystokracją wśród umarłych.


  • 44. Data: 2007-12-20 20:50:36
    Temat: Re: Ograniczyć phising...
    Od: summ <s...@g...com>

    On 20 Gru, 18:59, scream <n...@p...pl> wrote:

    > Przypomnij sobie jak wyglądał system polbanku jak ten bank dopiero co
    > startował :)

    Żeby coś sobie przypomnieć to trzeba z tym czymś wcześniej się
    zetknąć ;-)
    Ja z Polbankiem nawet teraz nie chcę mieć żadnej styczności bo sami
    pracownicy
    o bankowości internetowej mówią:
    "No wie pan... przelewy da się robić..."

    pozdrawiam
    summ


  • 45. Data: 2007-12-21 00:48:46
    Temat: Re: Ograniczyć phising...
    Od: Krzysztof Halasa <k...@p...waw.pl>

    MarcinF <m...@i...pl> writes:

    >> Tyle ze "stale" haslo moze miec wiele znakow, zas "hasla jednorazowe"
    >> typowo maja tylko kilka cyfr - kilkanascie bitow entropii.
    >
    > porownujesz "moze miec" z "typowo maja", w ten sposob mozna wykazac
    > wszystko

    W ten sposob mozna wykazac wszystko? Jakis przyklad "wszystkiego"
    moze?

    W jaki sposob zwiekszasz sile hasel jednorazowych otrzymanych
    z banku (tak zeby przestal to byc trywialny PIN i by zrobilo sie z tego
    normalne, mocne haslo)? Bo w jaki sposob ustawic dobre haslo stale to
    chyba wiesz?

    Przyklad: mBank IIRC uzywa 5-znakowych hasel jednorazowych. Pisza
    o sobie, ze maja 5,9 mld zl. depozytow. Teraz wyobrazmy sobie
    hipotetyczna sytuacje, ze w mBanku nie ma "pierwszego" logowania
    (podobno najslabszego), i ze wszystko zalezy od hasel jednorazowych.
    Szansa na trafienie hasla jednorazowego wynosi 1/100000, a wiec
    nawet tylko w jednej probie (dla kazdego konta) osiagasz "wynik"
    srednio kilkudziesieciu tysiecy zl.
    --
    Krzysztof Halasa


  • 46. Data: 2007-12-21 22:26:35
    Temat: Re: Ograniczyć phising...
    Od: MarcinF <m...@i...pl>



    Krzysztof Halasa wrote:
    >
    > MarcinF <m...@i...pl> writes:
    >
    > >> Tyle ze "stale" haslo moze miec wiele znakow, zas "hasla jednorazowe"
    > >> typowo maja tylko kilka cyfr - kilkanascie bitow entropii.
    > >
    > > porownujesz "moze miec" z "typowo maja", w ten sposob mozna wykazac
    > > wszystko
    >
    > W ten sposob mozna wykazac wszystko? Jakis przyklad "wszystkiego"
    > moze?

    np. to ze haslo stale typowo jest bardzo proste bo inaczej byloby
    za trudne do zapamietania, a zlozonosc jednorazowego ograniczona
    jest jedynie trudnoscia w przepisaniu zbyt dlugiego ciagu znakow


    > W jaki sposob zwiekszasz sile hasel jednorazowych otrzymanych
    > z banku (tak zeby przestal to byc trywialny PIN i by zrobilo sie z tego
    > normalne, mocne haslo)? ]

    np. generuje je tokenem lub w bankowym systemie autentykacji i wysylam
    nastepnie sms'em


    > Bo w jaki sposob ustawic dobre haslo stale to
    > chyba wiesz?

    dobre stale moze istniec tylko w hipotetycznym swiecie, w tym
    prawdziwym mamy phishing, pharming, man in the middle, man in the
    browser...

    > Przyklad: mBank IIRC uzywa 5-znakowych hasel jednorazowych. Pisza
    > o sobie, ze maja 5,9 mld zl. depozytow. Teraz wyobrazmy sobie
    > hipotetyczna sytuacje, ze w mBanku nie ma "pierwszego" logowania
    > (podobno najslabszego), i ze wszystko zalezy od hasel jednorazowych.

    wg. mnie podawanie za przyklad sutuacji ktore nie istnieja
    nie jest za bardzo przekonujace

    > Szansa na trafienie hasla jednorazowego wynosi 1/100000, a wiec
    > nawet tylko w jednej probie (dla kazdego konta) osiagasz "wynik"
    > srednio kilkudziesieciu tysiecy zl.

    za to szansa na trafienie stalego hasla gdy sie je udalo
    przechwycic wynosi 1/1, i to jest wlasnie powod dla
    ktorego uzywa sie jednorazowych


  • 47. Data: 2007-12-21 22:52:45
    Temat: Re: Ograniczyć phising...
    Od: Krzysztof Halasa <k...@p...waw.pl>

    MarcinF <m...@i...pl> writes:

    >> W ten sposob mozna wykazac wszystko? Jakis przyklad "wszystkiego"
    >> moze?
    >
    > np. to ze haslo stale typowo jest bardzo proste bo inaczej byloby
    > za trudne do zapamietania,

    Jak ktos ma nieco wiecej pieniedzy na koncie to moze miec lepsza
    pamiec. Tak czy owak, wybor klienta, a nie "za klienta".

    > a zlozonosc jednorazowego ograniczona
    > jest jedynie trudnoscia w przepisaniu zbyt dlugiego ciagu znakow

    Dlugosc hasla jednorazowego w ogole nie zalezy od jego uzytkownika
    (= klienta), wiec jest ograniczona zarowno od gory jak i od dolu
    stosowana przez bank wielkoscia.

    >> W jaki sposob zwiekszasz sile hasel jednorazowych otrzymanych
    >> z banku (tak zeby przestal to byc trywialny PIN i by zrobilo sie z tego
    >> normalne, mocne haslo)? ]
    >
    > np. generuje je tokenem lub w bankowym systemie autentykacji i wysylam
    > nastepnie sms'em

    Nie zartuj, zwlaszcza z tymi SMSami, ktore stanowia dodatkowy
    (nie jeden zreszta) wektor ataku.

    Token to nie sa hasla jednorazowe. BTW: sa takie wady tokenow,
    ktorych nie maja ani normalne hasla, ani jednorazowe, np. chwilowy
    dostep do bazy "seedow" tokenow daje mozliwosc przewidzenia
    pozniejszych wynikow (tokena nie wyrzuca sie tak jak sie zmienia
    hasla i wykorzystuje kody).

    > dobre stale moze istniec tylko w hipotetycznym swiecie,

    Jak dla kogo - nie wszyscy sa "frajerami".

    > w tym
    > prawdziwym mamy phishing, pharming, man in the middle, man in the
    > browser...

    Tyle ze tylko niektorzy sa podatni na takie ataki.

    >> Przyklad: mBank IIRC uzywa 5-znakowych hasel jednorazowych. Pisza
    >> o sobie, ze maja 5,9 mld zl. depozytow. Teraz wyobrazmy sobie
    >> hipotetyczna sytuacje, ze w mBanku nie ma "pierwszego" logowania
    >> (podobno najslabszego), i ze wszystko zalezy od hasel jednorazowych.
    >
    > wg. mnie podawanie za przyklad sutuacji ktore nie istnieja
    > nie jest za bardzo przekonujace

    Jesli ktos z gory zaklada ze nie mozna go przekonac to nie mam
    w zwyczaju probowac. Jesli nie, to raczej nietrudno dostrzec, ze
    rzekomo silniejszy mechanizm musi byc chroniony slabszym zeby
    w ogole mogl dzialac.

    > za to szansa na trafienie stalego hasla gdy sie je udalo
    > przechwycic wynosi 1/1, i to jest wlasnie powod dla
    > ktorego uzywa sie jednorazowych

    A myslisz ze jesli sie uda przechwycic jednorazowe (w najbardziej
    sensownym scenariuszu, tj. z MITMem na skutek np. phishingu
    i automatycznym "poprawianiu" przelewu), to jaka jest szansa?

    Stad wymaganie SSLa, takiego rzeczywiscie dzialajacego, gdy klient
    uzywa bezpiecznego browsera i gdy wie, ze rzeczywiscie polaczony
    jest ze swoim bankiem.

    Bezpieczenstwo to jest prosta matematyka: szanse, mozliwe straty
    i koszty. To nie jest nauka spoleczna ani nie jest tak, ze zasady
    powstaja tam bo spodobaly sie prezesowi i akcjonariuszom.
    --
    Krzysztof Halasa


  • 48. Data: 2007-12-22 00:42:03
    Temat: Re: Ograniczyć phising...
    Od: MarcinF <m...@i...pl>

    Krzysztof Halasa wrote:

    > Token to nie sa hasla jednorazowe.

    nie zgodze sie, http://en.wikipedia.org/wiki/One-time_password

    > BTW: sa takie wady tokenow,
    > ktorych nie maja ani normalne hasla, ani jednorazowe, np. chwilowy
    > dostep do bazy "seedow" tokenow daje mozliwosc przewidzenia
    > pozniejszych wynikow (tokena nie wyrzuca sie tak jak sie zmienia
    > hasla i wykorzystuje kody).

    ani haslo stale ani jednorazowe nie chronia przed atakiem z wewnatrz
    o ktorym teraz piszesz

    > A myslisz ze jesli sie uda przechwycic jednorazowe (w najbardziej
    > sensownym scenariuszu, tj. z MITMem na skutek np. phishingu
    > i automatycznym "poprawianiu" przelewu), to jaka jest szansa?

    z tokenem challenge-response, gdzie challenge jest generowany
    na podstawie podpisywanej tresci to raczej ta szansa jest marna

    ale faktycznie, zwykly token czy zdrapka w przypadku w pelni
    online'owego ataku MITM nie pomoga, na szczescie takie ataki
    to rzadkosc

    ale tak naprawde dyskutowalismy o bezpieczenstwie hasel stalych
    i jednorazowych, to ze hasla jednorazowe nie sa idealnie
    bezpieczne to oczywiste, ja twierdze tylko ze sa o wiele
    bezpieczeniejsze od stalych


    a tak w ogole to moglby sie ktos jezzcze wlaczyc do naszej dyskusji :)


  • 49. Data: 2007-12-22 14:42:07
    Temat: Re: Ograniczyć phising...
    Od: "blad" <blad201@_W_Y_T_N_I_J_sezam.pl>

    Użytkownik "MarcinF"
    > ale tak naprawde dyskutowalismy o bezpieczenstwie hasel stalych
    > i jednorazowych, to ze hasla jednorazowe nie sa idealnie
    > bezpieczne to oczywiste, ja twierdze tylko ze sa o wiele
    > bezpieczeniejsze od stalych
    >
    >
    > a tak w ogole to moglby sie ktos jezzcze wlaczyc do naszej dyskusji
    > :)

    ja np. jestem zwolennikiem podpisu elektronicznego
    wiec nie opowiem się po żadnej ze stron :-)
    *** blad ***


  • 50. Data: 2007-12-22 22:01:39
    Temat: Re: Ograniczyć phising...
    Od: Krzysztof Halasa <k...@p...waw.pl>

    MarcinF <m...@i...pl> writes:

    >> Token to nie sa hasla jednorazowe.
    >
    > nie zgodze sie

    To juz nie moj problem.

    Roznica jest zasadnicza, wskazania tokena opieraja sie na "shared
    secret" (ktory musza znac obie strony, tzn. bank i token).

    > ani haslo stale ani jednorazowe nie chronia przed atakiem z wewnatrz
    > o ktorym teraz piszesz

    Zalezy od scenariusza, jesli ktos np. bedzie mial dostep do backupu,
    to hasla stale i jednorazowe moga byc juz dawno nieaktualne, zas
    seedy tokenow (pomijajac dryft, ktory moze byc pewnym utrudnieniem)
    sa jak najbardziej mozliwe do uzycia.

    > z tokenem challenge-response, gdzie challenge jest generowany
    > na podstawie podpisywanej tresci to raczej ta szansa jest marna

    W ktorym banku tak jest?
    Jaka jest dlugosc zapytania?

    > ale faktycznie, zwykly token czy zdrapka w przypadku w pelni
    > online'owego ataku MITM nie pomoga, na szczescie takie ataki
    > to rzadkosc

    Nie wiem. Takie ataki sa latwiejsze do przeprowadzenia niz jakies
    cuda z keyloggerami. Jesli takich nie ma w praktyce, to tylko
    swiadczy o tym, ze ludzie z odpowiednimi umiejetnosciami sa albo
    uczciwi, albo maja lepsze zajecia.

    > ale tak naprawde dyskutowalismy o bezpieczenstwie hasel stalych
    > i jednorazowych, to ze hasla jednorazowe nie sa idealnie
    > bezpieczne to oczywiste, ja twierdze tylko ze sa o wiele
    > bezpieczeniejsze od stalych

    A ja twierdze, ze w ogolnym przypadku wcale nie sa (co zreszta
    powinno byc oczywiste nawet bez moich dowodow). W szczegolnym
    przypadku, gdy klient uzywa hasel w stylu "${WLASNE_IMIE}1",
    niewatpliwie masz racje.
    --
    Krzysztof Halasa

strony : 1 ... 4 . [ 5 ] . 6


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1