Użytkownik Krzysztof napisał:
> Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
> logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz omijajac
> zabezpieczenia tokena moglby robic wszystko. [...]

To dosyć daleko idące założenie.

J.

do góry

Użytkownik "Fajas" <f...@e...pl> napisał w wiadomości
news:cdhe3j$2j6$1@nemesis.news.tpi.pl...
>
> > rozwiazanie oczywiscie powinno byc zmienione ale dla mnie wystarczajacym
> > bezpieczenstwem jest wchodzenie do systemu za pomoca tokena i zamykanie
> > nieaktywnej jakis czas sesji.
> >
> > D.
> Problem w tym, ze to nie jest wystarczajace zabezpieczenie...

daj spokoj. Jesli ktos wejdzie na moje konto czyli zna moje haslo i potrafi
podac haslo z tokena to moze zrobic z kontem wszystko. Ale ja nie wierze ze
komukolwiek sie to uda.

D.

do góry

Tue, 20 Jul 2004 07:11:54 +0200, w <40fca99b$1@news.home.net.pl>, Spider
<...@...c> napisał(-a):

> to po co jeszcze potwierdzanie tokenem kazdego przelewu ... albo token
> tylko do wejscia na strone, albo zabezpiecza wszystko, czyli wejscie,
> zmiane numeru konta i sam przelew

I to jest dobre pytanie... najwyraźniej chcą po prostu zabezpieczyć się przez
maniakami bezpieczeństwa, ale najwyraźniej nie udało im się :))

do góry

Tue, 20 Jul 2004 08:50:26 +0200, w <40fcc0b2$1@news.home.net.pl>, jos
<j...@u...z.pl> napisał(-a):

> Użytkownik Krzysztof napisał:
> > Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
> > logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz omijajac
> > zabezpieczenia tokena moglby robic wszystko. [...]
>
> To dosyć daleko idące założenie.

Tak?

do góry

Użytkownik "Dave" <d...@o...pl> napisał w wiadomości
news:cdigvv$bea$1@inews.gazeta.pl...
> Użytkownik "Fajas" <f...@e...pl> napisał w wiadomości
> news:cdhe3j$2j6$1@nemesis.news.tpi.pl...

> > Problem w tym, ze to nie jest wystarczajace zabezpieczenie...
>
> daj spokoj. Jesli ktos wejdzie na moje konto czyli zna moje haslo i
potrafi
> podac haslo z tokena to moze zrobic z kontem wszystko. Ale ja nie wierze
ze
> komukolwiek sie to uda.
>
> D.
A najciekawsze jest to, że nikt nie zauważył dziury w bezpieczeństwie przy
kanale telefonicznym. Jeżeli ktoś podsłucha telekod (kilka cyfr) to może
robić co mu się podoba. I wszystkie tokeny, hasła itp. pierdoły można sobie
wsadzić w ... . Dodam jeszcze, że kanału telefonicznego nie można wyłączyć.
Pozdrawiam
IT

do góry

> Użytkownik Krzysztof napisał:
> > Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
> > logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz
omijajac
> > zabezpieczenia tokena moglby robic wszystko. [...]
>
> To dosyć daleko idące założenie.

Tak?

A co jesli okaze sie ze jakas przegladarka ma dziure pozwalajaca na ukryte
przejmowanie sesji??
Masz pewnosc, ze takiej dziury nie ma??
Jesli buduje sie model podwojnego zabezpieczenia to nie dla takiego sobie
widzimisie...

Fajas

do góry

Tue, 20 Jul 2004 13:51:32 +0200, w <cdj0tg$s5e$1@news.telbank.pl>, "Fajas"
<f...@e...pl> napisał(-a):

> Tak?
>
> A co jesli okaze sie ze jakas przegladarka ma dziure pozwalajaca na ukryte
> przejmowanie sesji??
> Masz pewnosc, ze takiej dziury nie ma??
> J

Dla strachliwych są firewalle.

do góry

>
> A co jesli okaze sie ze jakas przegladarka ma dziure pozwalajaca na ukryte
> przejmowanie sesji??
> Masz pewnosc, ze takiej dziury nie ma??
> J

Dla strachliwych są firewalle.

Alez ja nie jestem strachliwy!
Ale przyznaj mi wkoncu racje, ze mozna wykonac przelew na obcy rachunek przy
jednym poziomie autoryzacji.
To juz chyba koniec tematu, jesli ktos uwaza, ze jeden poziom zabezpieczen
jest wystarczajacy w transakcjach bankowych to juz jego sprawa, ja osobiscie
tak nie uwazam. Wkoncu nie jestem ekspertem w technologiach zabepieczen.

Fajas

do góry

Użytkownik Radoslaw P. napisał:
>>>Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
>>>logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz omijajac
>>>zabezpieczenia tokena moglby robic wszystko. [...]
>>
>>To dosyć daleko idące założenie.
>
> Tak?

Tak. Firma RSA Data Security dosyć nieźle żyje z tokenów SecurID od
dłuższego czasu, więc stwierdzenie "zakladajac ze ktos rozszyfruje
token..." brzmi mniej więcej podobnie jak "zakładając, że uda się zdobyć
100 mln zł...". Na jakiej podstawie "rozszyfruje token"? Na mój gust,
jedyna skuteczna metody posłużenia się tokenem, to wejść w jego fizyczne
posiadanie, a i tak wtedy jeszcze trzeba znać hasło.

J.

do góry

jos <j...@u...z.pl> writes:

> Tak. Firma RSA Data Security dosyć nieźle żyje z tokenów SecurID od
> dłuższego czasu, więc stwierdzenie "zakladajac ze ktos rozszyfruje
> token..." brzmi mniej więcej podobnie jak "zakładając, że uda się
> zdobyć 100 mln zł...". Na jakiej podstawie "rozszyfruje token"? Na mój
> gust, jedyna skuteczna metody posłużenia się tokenem, to wejść w jego
> fizyczne posiadanie, a i tak wtedy jeszcze trzeba znać hasło.

Algorytm dzialania tych tokenow jest od dosc dawna znany, wiec nie wiem
co tu jest do rozszyfrowywania. Sa rozne skuteczne metody posluzenia
sie tokenem, w tym mozna zasymulowac jego dzialanie, jesli posiada sie
dane bedace normalnie w posiadaniu banku.

Generalnie taki token chroni przed dzialaniami osob trzecich, ale nie
chroni przed dzialaniami np. pracownikow banku lub innych osob majacych
dostep (np. w przeszlosci, podczas zakupu tokenow itd) do tych danych.
--
Krzysztof Halasa

do góry