-
191. Data: 2019-08-20 13:16:49
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Wojciech Bancer <w...@g...com>
On 2019-08-20, Szymon <...@w...pl> wrote:
[...]
> Co do szkoleń i urzędów... W świecie Wojciecha B.
Szkolenia i certyfikacje online są jak najbardziej
normą i są dostępne m.in. szkolenia BHP, ale też
w różnych innych branżach.
Nie kojarzę jednak bym upoważnił Cię do wypowiadania
się w moim imieniu, więc proszę zaprzestań tego procederu.
Dziękuję.
--
Wojciech Bańcer
w...@g...com
-
192. Data: 2019-08-20 13:24:33
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: ąćęłńóśźż <...@...pl>
A jak to oceniłeś??
-----
> Ryzyko rozboju zdecydowanie mniejsze.
-
193. Data: 2019-08-20 13:27:35
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Krzysztof Halasa <k...@p...waw.pl>
"J.F." <j...@p...onet.pl> writes:
> Cena dla bankow w hurcie nie spadala ? Bo $99 .. sporo jakos.
> Szczegolnie ze wtedy $ byl wiecej warty.
No wiesz, nie jestem bankiem, ale przy 1000 szt cena nie była wiele
niższa (nie żebym był świadkiem kupowania 1000 szt). I trzeba pamiętać,
że to były proste tokeny.
> I wcale sie nie dziwie, ze banki byly niechetne.
Coś w tym jest. No i nie zapewniały ważnej rzeczy - nie wiadomo było, co
się autoryzuje.
Przy dostępie do pomieszczeń itp. - nie ma problemu, ale w bankowości to
od dawna powinny być cyfrowo podpisane dyspozycje (w bankowości
korporacyjnej takie rzeczy istnieją).
--
Krzysztof Hałasa
-
194. Data: 2019-08-20 13:29:57
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Krzysztof Halasa <k...@p...waw.pl>
"J.F." <j...@p...onet.pl> writes:
> A propos ... a ten seed to jest jakos zabezpieczony, ze ministerstwo
> sie nie boi, ze dostawca bedzie go znal ?
Normalnie to tej firmie nikt by nie wierzył, ale ministerstwa to inna
sprawa.
--
Krzysztof Hałasa
-
195. Data: 2019-08-20 13:32:06
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Cena dla bankow w hurcie nie spadala ? Bo $99 .. sporo jakos.
>> Szczegolnie ze wtedy $ byl wiecej warty.
>No wiesz, nie jestem bankiem, ale przy 1000 szt cena nie była wiele
>niższa (nie żebym był świadkiem kupowania 1000 szt). I trzeba
>pamiętać,
>że to były proste tokeny.
I dlatego zalozylem, ze tansze.
A bank nie kupuje 1 tys sztuk :-)
>> I wcale sie nie dziwie, ze banki byly niechetne.
>Coś w tym jest. No i nie zapewniały ważnej rzeczy - nie wiadomo było,
>co
>się autoryzuje.
Wtedy jeszcze chyba banki tego tematu sie nie baly.
Bo zamiast tokenow wprowadzaly listy hasel jednorazowych.
Widac umowa z Poczta dawala im przesylki znacznie tansze niz RSA ...
J.
-
196. Data: 2019-08-20 14:24:44
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Szymon <...@w...pl>
W dniu 2019-08-20 o 13:05, J.F. pisze:
> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie
> widac gdzie bardziej wytarte ?
Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji przelewu
to przepisuję go w całości. Tymczasem kod wyświetlony na tokenie
stanowił jedynie część hasła. Kradzież tokena nie jest zatem problemem,
bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS - owszem.
Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
bezpieczeństwa?
Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom.
Tu token także lepiej się sprawdza. Ale w kombinacji hasło+SMS samo
przejęcie SMSa nie będzie miało poważnych konsekwencji.
Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
podstawioną stronę, podaje login/hasło, powiedzmy że się nie orientuje,
iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy mają login,
hasło, SMS. Logują się na właściwą i dokonują przelewu.
W przypadku tokena i fałszywej strony działania hakera musiałby się
odbyć w tym samym czasie. Czyli logowanie, przelew. Sytuacja jednak się
komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce
te same pola, o które poprosi hakera oryginalna strona są małe. A gdyby
tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła?
Czy taka okoliczność poprawiłaby bezpieczeństwo?
Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na
fałszywkę. Chcę zrobić przelew, w znakomitej większości korzystam ze
zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
nie tak?
-
197. Data: 2019-08-20 14:28:47
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Kris <k...@g...com>
W dniu wtorek, 20 sierpnia 2019 14:25:27 UTC+2 użytkownik Szymon napisał:
> Chcę zrobić przelew, w znakomitej większości korzystam ze
> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
> nie tak?
Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak wejdziesz
na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie tak
-
198. Data: 2019-08-20 14:35:52
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Kris" napisał w wiadomości grup
dyskusyjnych:c772e8a8-065f-4897-b15b-f3c4a9efc14d@go
oglegroups.com...
W dniu wtorek, 20 sierpnia 2019 14:25:27 UTC+2 użytkownik Szymon
napisał:
>> Chcę zrobić przelew, w znakomitej większości korzystam ze
>> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy
>> zdefiniowane
>> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest
>> to
>> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś
>> jest
>> nie tak?
>Haker nie wie tez jakie masz saldo konta czy tam innych rachunków.
>Więc jak wejdziesz na fałszywą stronę to chociażby po saldzie konta
>widzisz że coś jest nie tak
Przeciez przy wejsciu na falszywa strone jej serwer moze sie polaczyc
z oryginalna i pokazac Ci wszystko co trzeba.
I jeszcze wyswietli komunikat "zgodnie z nowa unijna dyrektywa PSD2
stare przelewy zdefininowane stracily waznosc i musza byc ponownie
aktywowane.
Czy chcesz aktywowac niniejszego odbiorce ?"
Po czym oczywiscie bedzie "podaj haslo potwierdzajace" :-P
J.
-
199. Data: 2019-08-20 14:39:40
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Szymon <...@w...pl>
W dniu 2019-08-20 o 14:28, Kris pisze:
> Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak
wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie
tak
>
A jednak tylu ludzi się nabiera... Jak to tłumaczyć?
W sumie masz rację - saldo widać nawet szybciej niż zdefiniowane przelewy.
-
200. Data: 2019-08-20 14:46:07
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Szymon" napisał w wiadomości grup
dyskusyjnych:qjgork$m5b$...@g...aioe.org...
W dniu 2019-08-20 o 13:05, J.F. pisze:
>> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie
>> bedzie widac gdzie bardziej wytarte ?
>Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji
>przelewu to przepisuję go w całości. Tymczasem kod wyświetlony na
>tokenie stanowił jedynie część hasła. Kradzież tokena nie jest zatem
>problemem,
Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
zabezpieczenia.
>bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS -
>owszem.
>Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
>bezpieczeństwa?
No, samym sms niewiele zrobisz - ciagle trzeba wpisac jakies haslo.
Tzn mam nadzieje, ze w tej nowej PSD2 tak bedzie.
Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
bedzie w aplikacji.
I tam sie juz haslo moze pojawic.
>Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS
>przestępcom.
Jesli sie nie myle - to takowe juz istnieja.
>Tu token także lepiej się sprawdza.
Ale sie gorzej sprawdza w kwestii informacji co autoryzujesz.
Wrecz w ogole sie nie sprawdza.
> Ale w kombinacji hasło+SMS samo przejęcie SMSa nie będzie miało
> poważnych konsekwencji.
>Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
>podstawioną stronę, podaje login/hasło, powiedzmy że się nie
>orientuje, iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy
>mają login, hasło, SMS. Logują się na właściwą i dokonują przelewu.
A jak zainstaluja wirusa, to im nawet przepisanie SMS niepotrzebne.
>W przypadku tokena i fałszywej strony działania hakera musiałby się
>odbyć w tym samym czasie. Czyli logowanie, przelew.
Zaden problem - raz oszukales komputer usera, to pewnie jeszcze pare
razy oszukasz.
>Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
>klient wstuka na fałszywce te same pola, o które poprosi hakera
>oryginalna strona są małe.
Ale haslo jest stale ? To po paru probach ustali pelne haslo.
>A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
>znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?
IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
dokladnie tego samego co bank.
W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
mozna probowac w ciemno, a noz sie trafi ..
J.