Ostatnio napisalem maila do ING ONLINE:

Witam!

Proponuje wprowadzic dodatkowe zabezpieczenie logowania uzytkownika do
Ing Online przed keyloggerami. Przydatne moze byc wprowadzenie
formularza, w ktorym dana osoba bedzie mogla wpisywac haslo klikajac na
wirtualna klawiature zamiast wpisywac je z tej fizycznej. Gdy
uzytkownicy nieswiadomie posiadaja zainstalowane keyloggery, to w
przeciagu krotkiego okresu czasu, bardzo latwo mozna skompletowac cale
haslo dostepu!!! Dlaczego? Poniewaz programy te wykonuja rowniez
printscreeny i wiadomo gdzie dany znak hasla byl wpisany. A gdy
uzytkownik posiada swoj klucz prywatny na serwerze (a pewnie wiekszosc
tak) to zabezpieczenie jest zadne, poniewaz keylogger przechwyci cale
haslo klucza prywatnego!!! Dlatego przy wpisywaniu hasla do klucza
prywatnego rowniez wskazane byloby uzycie wirtualnej klawiatury... Z
wykorzystaniem szyfrowania rzecz jasna. Oczywiscie to tez sie da obejsc
pobierajac wpolrzedne myszki wzgledem danego okna, ale nie widzialem
jeszcze takich masowych programow ktore by to umozliwialy. Rozwiazaniem
na pobieranie wspolrzednych myszki w trakcie klikania moze byc
dynamiczne tworzenie formularza wirtualnej klawiatury, w ktorym znaki za
kazdym razem beda zmienialy swoje polozenie. Wiec mniej zaawansowani
uzytkownicy nie beda potrafili nikomu zaszkodzic, tak jak jest to
zapewne teraz mozliwe.

Prosze o odpowiedz na mojego emaila. Bardzo mnie ciekawi co Panstwo
sadza o mojej uwadze.

---------
Co o tym sadzicie???

do góry

Wlasnie z takiego rozwiazania zrezygnowano w BPHowym Sezamie.
Klucz nalezy miec u siebie a nie na serwerze banku - prosta sprawa.

Stefan

"mysterious" <a...@a...pl> wrote in message
news:da07ke$1jo$1@nemesis.news.tpi.pl...
> Ostatnio napisalem maila do ING ONLINE:
>
> Witam!
>
> Proponuje wprowadzic dodatkowe zabezpieczenie logowania uzytkownika do
> Ing Online przed keyloggerami. Przydatne moze byc wprowadzenie
> formularza, w ktorym dana osoba bedzie mogla wpisywac haslo klikajac na
> wirtualna klawiature zamiast wpisywac je z tej fizycznej. Gdy
> uzytkownicy nieswiadomie posiadaja zainstalowane keyloggery, to w
> przeciagu krotkiego okresu czasu, bardzo latwo mozna skompletowac cale
> haslo dostepu!!! Dlaczego? Poniewaz programy te wykonuja rowniez
> printscreeny i wiadomo gdzie dany znak hasla byl wpisany. A gdy
> uzytkownik posiada swoj klucz prywatny na serwerze (a pewnie wiekszosc
> tak) to zabezpieczenie jest zadne, poniewaz keylogger przechwyci cale
> haslo klucza prywatnego!!! Dlatego przy wpisywaniu hasla do klucza
> prywatnego rowniez wskazane byloby uzycie wirtualnej klawiatury... Z
> wykorzystaniem szyfrowania rzecz jasna. Oczywiscie to tez sie da obejsc
> pobierajac wpolrzedne myszki wzgledem danego okna, ale nie widzialem
> jeszcze takich masowych programow ktore by to umozliwialy. Rozwiazaniem
> na pobieranie wspolrzednych myszki w trakcie klikania moze byc
> dynamiczne tworzenie formularza wirtualnej klawiatury, w ktorym znaki za
> kazdym razem beda zmienialy swoje polozenie. Wiec mniej zaawansowani
> uzytkownicy nie beda potrafili nikomu zaszkodzic, tak jak jest to
> zapewne teraz mozliwe.
>
> Prosze o odpowiedz na mojego emaila. Bardzo mnie ciekawi co Panstwo
> sadza o mojej uwadze.
>
> ---------
> Co o tym sadzicie???

do góry

Użytkownik "mysterious" <a...@a...pl> napisał w wiadomości
news:da07ke$1jo$1@nemesis.news.tpi.pl...
> formularza, w ktorym dana osoba bedzie mogla wpisywac haslo klikajac na
> wirtualna klawiature zamiast wpisywac je z tej fizycznej. Gdy

Dla mnie to byłoby kolejne utrudnienie.
Ja tego nie chcę.
Użytkownik dostępu internetowego do swojego banku ma być świadomy.
Jak ma bezpieczeństwo w dupie, to sam sobie winien. Internetowa bankowość w
byle jakim komputerze nie jest dla niego.
Na każdą broń jest następna antybroń.

do góry

:-(... wrote:

> Dla mnie to byłoby kolejne utrudnienie.
> Ja tego nie chcę.

upewnij się czy nie jesteś w mniejszości

> Użytkownik dostępu internetowego do swojego banku ma być świadomy.
> Jak ma bezpieczeństwo w dupie, to sam sobie winien. Internetowa bankowość w
> byle jakim komputerze nie jest dla niego.

może powinny być jakieś egzaminy na świadomego klienta banków - dla tych
świadomych niższe odsetki i słabsze zabezpieczenia/wygodniejszy dostęp :D

> Na każdą broń jest następna antybroń.

zrób coś idiotoodpornego a ktoś wymyśli lepszego idiotę :)

do góry

Dnia Thu, 30 Jun 2005 12:38:52 +0200, :-(... napisał(a):

> Użytkownik dostępu internetowego do swojego banku ma być świadomy.
> Jak ma bezpieczeństwo w dupie, to sam sobie winien. Internetowa bankowość w
> byle jakim komputerze nie jest dla niego.

a bank ma w dupie to, ze hasla jednorazowe / tokeny poprawiaja
bezpieczenstwo kazdego uzytkownika (czy to swiadomego, czy nie)?
A Ty jak kiedys wyprzedzi Ci etroszke postep mozesz sie srodze zdziwic i
mocno pieklic, jesli obudzisz sie kiedys z pustym kontem

--
Michal Dabrowski
d...@S...pl
gg:4945190

do góry

Użytkownik "Michał Dąbrowski" <d...@S...pl> napisał w wiadomości
news:irvoypeklhqc.dlg@damga.net...
> a bank ma w dupie to, ze hasla jednorazowe / tokeny poprawiaja
> bezpieczenstwo kazdego uzytkownika (czy to swiadomego, czy nie)?
> A Ty jak kiedys wyprzedzi Ci etroszke postep mozesz sie srodze zdziwic i
> mocno pieklic, jesli obudzisz sie kiedys z pustym kontem

Chyba mijasz się z moją intencją
Ja uważam, że dostęp do banku należy realizować ze swojego personalnego
komputera, którego nikt inny nie używa, a nie z byle jakiego.
Programy szpiegujące, łapanie wirusów jako efekt oglądania porno stron i
przyjmowanie wszelakiego spamu na e-mail dyskwalifikuje taki komputer z
użytkowania dla operacji bankowych.
Wirtualna klawiatura też będzie do obejścia jak autor tego wątku
sygnalizuje.
Robienie operacji , gdy ktoś obcy ci patrzy na ręce też jest niezdrowe.
Jeśli forsy masz więcej trzymasz ją w różnych miejscach lub dzwonisz do
swojego bankowego doradcy.
Aktualny system dostępu ING jest wg mnie całkiem dobry.
Plik klucza, token, gdzie należy trzymać? Na komputerze ? dyskietce ? pen
drive ? w kieszeni ?, torbie ?

do góry

A tu napisalem jeszcze co mozna zrobic aby bezpieczniej korzystac z ING
ONLINE:

Tekst ten został napisany aby przestrzedz użytkowników internetowych
kont bankowych przed złodziejami, a jak się okaże wcale nie trzeba
posiadać specjalistycznej wiedzy aby takim złodziejem się stać.. Uwaga!
Zagrożenie jest ogromne!!! Artykuł powstał po obserwacji internetowego
systemu ING ON-LINE Banku Śląskiego. Jakie zabezpieczenia posiadają inne
systemy bankowe - nie wiem.
Ok, no to zaczynamy...

HASŁO DOSTĘPU
Podczas zakładania konta w ING ON-LINE podajemy hasło dostępu do
systemu. Powinno ono być jak najdłuższe jakie tylko się da. Ponadto
hasło nie może zawierać żadnych danych kojarzących się z nami, z naszą
rodziną, przyjaciółmi, ulubionymi zespołami, itp. Propopuję wykonać
sobie program do szyfrowania tekstu (lub skorzystać z gotowego) i wpisać
prosty, łatwy do zapamiętania zespół słow, a następnie go zaszyfrować.
Dzięki temu nie będziemy musieli zapamiętywać skomplikowanego zespołu
znaków. Oczywiście system zablokuje dostęp do konta internetowego po
trzech błędnych próbach odgadnięcia hasła, ale czy to aby wystarczy?
Nie, ponieważ od momentu gdy właściciel konta zaloguje się poprawnie,
znów mamy możliwość dwóch prób wejścia. Dlaczego dwóch? No bo jedno
złodziej zostawi dla właściciela aby poprawnie się zalogował.. Metodą
taką chyba jednak nikt nie będzie nawet zamierzał złamać naszego hasła
:) Powód? Zbyt czasochłonne i mało efektywne. Dodatkowo osoba włamująca
się nie wie jakiej długości jest hasło, gdyż system podczas logowania
nie wymaga wpisywania całego hasła a jedynie pięciu wylosowanych znaków,
które zajmują odpowiednią pozycję w naszym hasełku. Ktoś pomyśli że w
takim razie bardzo trudno będzie kiedykolwiek odgadnąć to hasło. Ale nic
bardziej mylnego! Istnieją przecież takie keyloggery (nazwy nie będę
pojawiał z wiadomo jakich względów), które umożliwiają logowanie
wszystkiego tego co zostanie wpisane z klawiatury, a następnie wysyłanie
logów na maila złodzieja, "hackera". Ponadto umożliwiają wykonywanie
zrzutów danego okna, okien, lub całego obrazu z monitora do pliku
graficznego? Co to może dać? Otóż gdy logujemy się do systemu - gdy
wpisujemy hasło - program robi print screena i osoba nie porządana może
już wiedzieć w jakim miejscu naszego hasła są dane znaki. Po kilku
takich logowaniach można zebrać w całość całe hasło dostępu! I zapewniam
że wcale nie jest to trudne, nawet wtedy gdy posiadamy odpowiednie
oprogramowanie antywirusowe!!! Przecież nie wszystkie keyloggery są
przez nie wykrywalne, a już nie wspomnę o programach pisanych do
konkretnego zadania. Ale im więcej zabezpieczeń, tym większa szansa, że
nic nieprzewidzianego nie zdaży się na naszym rachunku. Dlatego należy
zainstalować dobre programy antywirusowe i firewalle, które są często
aktualizowane.

KLUCZE
Podczas zakładania konta dostajemy parę kluczy: klucz publiczny oraz
prywatny. Dają one możliwość szyfrowania przesyłanych informacji do
banku i jednocześnie uniemożliwiają wykonywanie operacji bankowych
osobom trzecim - nie posiadającym naszego klucza prywatnego. Bank Śląski
daje nam do wyboru dwie możliwości: zapisać wygenerowany klucz prywatny
na własnym serwerze lub na dysku naszego komputera. Pomyślisz, że
przechowywanie go na serwerze będzie dla ciebie wygodniejsze, ponieważ
umożliwi ci dostęp wszędzie tam gdzie tylko będziesz miał dostęp do
internetu. Jednak rozwiązanie takie ma jedną wadę! Zabezpieczenie w tym
przypadku będzie polegało tylko na haśle dostępu do tego klucza! Dlatego
najlepiej skorzystać z drugiej opcji i zapisać dany klucz na własnym
komputerze (płycie, dyskietce). Jednak jeśli chcemy korzystać z systemu
nie tylko z danego miejsca i jednocześnie nie zamierzamy nosić ze sobą
zapisanego na płycie klucza, to najlepszym rozwiązaniem będzie zapisanie
go na jakimś serwerze ftp, np. poprzez założenie konta www w jednym z
darmowych serwisów i umieszczenie tam naszego klucza. Dzieki temu tylko
my będziemy wiedzieć gdzie on się znajduje. Ponadto nasz klucz prywatny
będzie zabezpieczony hasłem, które sami podajemy. Rada podobnie jak w
przypadku hasła dostępu: wymyślamy jak najdłuższe hasło jakie tylko się
da. Hasło nie może zawierać żadnych danych kojarzących się z nami, z
naszą rodziną, przyjaciółmi. Jednak nie powinno ono być takie same jak
hasło dostępu do ING ON-LINE. Dodatkowo radzę wymyślać hasło zawierające
również cyfry, które będziemy wpisywać na klawiaturze numerycznej (nie z
shiftem). Dlaczego? Ponieważ niektóre keyloggery nie odczytują właśnie
cyfr wpisanych tym sposobem, co skutecznie moze utrudnic odgadniecie
hasla!!!

Na zakończenie dodam, że nie ma 100% metody uchronienia się przed
atakiem na nasze oszczędności w internetowych systemach bankowych. Co za
problem przecież stworzyć własnego robaka internetowego, niewykrywalnego
przez antywirusy, który będzie się rozsyłał po sieci, zbierał informacje
o użytkownikach posiadających konta bankowe i wysyłał zebrane dane na
maila lub serwer ftp. Przekonaliśmy się o tym niedawno, gdy grupa
hakerów okradła klientów pewnego banku na miliony złotych...

do góry

Nastał nam piękny 30 czerwiec 2005 roku,
kiedy to mysterious posłał(a) w świat wiadomość
<news:da07ke$1jo$1@nemesis.news.tpi.pl>

> Prosze o odpowiedz na mojego emaila. Bardzo mnie ciekawi co Panstwo
> sadza o mojej uwadze.

Sądzę, że system obsługi on-line w Banku Śląskim nie nadaje się do użytku.

Za takie pieniądze, jakie zbierają co miesiąc za prowadzenie konta powinna
być ***przynajmniej możliwość***, jak już nie dostania tokena za darmo, to
za dodatkowa opłatą.

--
_________________________________________________

Jestem tu, by wrzasnąć: Ku-ku-ry-ku!,
a czy słońce wzejdzie, to już nie moja broszka...
_________________________________________________

do góry

Użytkownik "mysterious" <v...@p...usunto.onet.pl>
napisał w wiadomości news:da0p13$h52$1@nemesis.news.tpi.pl...
>A tu napisalem jeszcze co mozna zrobic aby bezpieczniej korzystac z ING
>ONLINE:

Zgadzam się z Tobą co do ING
Dodam, że wsparcie ze strony "konsultantów" w takiej sprawie jak ta
praktycznie nie istnieje. Spodziewałbym się jedynie braku reakcji.
Uważam, że mnożenie zabezpieczeń bardzo utrudnia życie.
Wiem z autopsji, że mylą mi się własne hasła, kody, PINy
W stanie nagłej potrzeby pobrania pieniędzy może sami je zablokować na wiele
godzin.
A złodzieje byli, są i będą. Każdy z nas choć trochę nim jest.
"Grab zagrabione i nie daj się ograbić".

do góry

Ale tokenem sie nie podpisuje przelewow chociazby i kazdy atak Man In The
Middle jest mozliwy.
I tak samo jest przypadku hasel jednorazowych, wystarczy ze ktos podlozy
swoja aplikacje zamiast aplikacji banku a uzytkownik nie sprawdzi
certyfikatu i po ptakach.

Bezpieczenstwo zalezy od uzytkownika i jak on dba o swoje dane!!!

Jesli decydujesz sie na bank online to nalezy chronic swoj komputer przez
wirusami i spywarem i trzymac klucz prywatny u siebie a nie w banku w
przypadku ING Online.

"Janusz - Vahanara" <"[invalid]tu_wstaw_mój_nick"@olimp.gapp.pl> wrote in
message news:iqwjxstdjakf$.dlg@vahanara.pl...
> Nastał nam piękny 30 czerwiec 2005 roku,
> kiedy to mysterious posłał(a) w świat wiadomość
> <news:da07ke$1jo$1@nemesis.news.tpi.pl>
>
> > Prosze o odpowiedz na mojego emaila. Bardzo mnie ciekawi co Panstwo
> > sadza o mojej uwadze.
>
> Sądzę, że system obsługi on-line w Banku Śląskim nie nadaje się do użytku.
>
> Za takie pieniądze, jakie zbierają co miesiąc za prowadzenie konta powinna
> być ***przynajmniej możliwość***, jak już nie dostania tokena za darmo, to
> za dodatkowa opłatą.
>
> --
> _________________________________________________
>
> Jestem tu, by wrzasnąć: Ku-ku-ry-ku!,
> a czy słońce wzejdzie, to już nie moja broszka...
> _________________________________________________

do góry