p...@g...SKASUJ-TO.pl wrote:

> Tak ale kod mozesz wykorzystac tylko i wylacznie do potwierdzenia transakcji
> dla ktorej byl wygenerowany. Tak wiec potencjalny zlodziej-przechwytujacy moze
> zatwierdzic tylko i wylacznie przelew ktory chcialem wyslac.

ok, faktycznie system mozna tak skonfigurowac by kod sluzyl tylko
i wylacznie do podpisania jednej konkretnej transakcji dla ktorej
zostal wygenerowany, zapewnie mozna tez w ramach mozliwosci
technicznych ograniczyc czas jego waznosci

do góry

Dnia 22.11.2007 <p...@g...SKASUJ-TO.pl> napisał/a:
>> Jesli chodzi o bezpieczenstwo to kod sms musi z systemu bankowego
>> zostac przeslany do operatora i pozniej przez jego siec, to daje
>> potencjalna mozliwosc przechwycenia. A kod sms musi byc wazny
>> przez dluzszy czas (miedzy innymi dlatego ze czas jest potrzebny
>> na przeslanie), wiec w razie przechwycenia byloby wiecej
>> czasu na wykorzystanie go.
>
> Tak ale kod mozesz wykorzystac tylko i wylacznie do potwierdzenia transakcji
> dla ktorej byl wygenerowany. Tak wiec potencjalny zlodziej-przechwytujacy moze
> zatwierdzic tylko i wylacznie przelew ktory chcialem wyslac.

Chyba, że zna Twoje hasło do logowania, prawda? Wtedy sobie sam wygeneruje
transakcję i przechwyci kod do niej.
--
Samotnik
http://www.pachnidelko.pl/

do góry

ale z drugiej strony :-)
jezeli np. firma robi podczas jednego logowania dajmy na to 20 przelewow to
musi odebrac 20 smsow.
I tak zle i tak niedobrze...

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Samotnik <s...@W...samotnik.art.pl> napisał(a):

> Chyba, że zna Twoje hasło do logowania, prawda? Wtedy sobie sam wygeneruje
> transakcję i przechwyci kod do niej.

IMO to juz troche za duzo zaleznosci.
Na tej samej zasadzie mozemy zalozych ze zlodziej ma moj token.


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

p...@g...SKASUJ-TO.pl wrote:

> IMO to juz troche za duzo zaleznosci.
> Na tej samej zasadzie mozemy zalozych ze zlodziej ma moj token.

nie do konca, dane do logowania z numerem telefonu mozna wyludzic
poprzez phishing

do góry

Dnia 22.11.2007 <p...@g...SKASUJ-TO.pl> napisał/a:
>> Chyba, że zna Twoje hasło do logowania, prawda? Wtedy sobie sam wygeneruje
>> transakcję i przechwyci kod do niej.
>
> IMO to juz troche za duzo zaleznosci.
> Na tej samej zasadzie mozemy zalozych ze zlodziej ma moj token.

Zgubienie tokenu masz szansę zauważyć (mniejszą, czy większą, ale masz).
Natomiast podglądać SMSy można niepostrzeżenie. Zgadzam się, że to mało
prawdopodobne - zapewne niewiele osób ma dostęp do takiej części systemu.

Ale... kartę SIM można skopiować w kilka sekund (impreza, wyjście posiadacza
do kibla itd itp) i włączyć telefon na czas podejrzenia hasła. Porządnie
rozwiązanej listy kodów jednorazowych (takiej ze zdrapką, nie takiego
dziadostwa jak w BRE) nie da się podejrzeć bez zwrócenia uwagi posiadacza.
No, a token to już trzeba skraść.
--
Samotnik
http://www.pachnidelko.pl/

do góry

Użytkownik "Samotnik"
> No, a token to już trzeba skraść.

ale tylko taki prymitywny token
jak w VW albo w Toyocie

Takie lepsze tokeny odbezpieczane haslem
dawalo kiedys PKOBP ale sie wycofalo.
sa jeszcze w Nordei, w BGZ (w kazdym razie byly)
i chyba jeszcze w BZWBK
*** blad ***

do góry

blad wrote:

> > No, a token to już trzeba skraść.
>
> ale tylko taki prymitywny token
> jak w VW albo w Toyocie
> Takie lepsze tokeny odbezpieczane haslem
> dawalo kiedys PKOBP ale sie wycofalo

haslo do tego "lepszego" tokena mozna wyludzic zdalnie
podobnie jak pin czy haslo do tego "prymitywnego"

do góry

blad napisał(a):
> Użytkownik "Samotnik"
>> No, a token to już trzeba skraść.
>
> ale tylko taki prymitywny token
> jak w VW albo w Toyocie
>
> Takie lepsze tokeny odbezpieczane haslem
> dawalo kiedys PKOBP ale sie wycofalo.
> sa jeszcze w Nordei, w BGZ (w kazdym razie byly)
> i chyba jeszcze w BZWBK
> *** blad ***
Byłem kiedyś użytkownikiem tokena do eurokonta WWW w Pekało.

token był zabezpieczony hasłem. i praktycznie niezniszczalny.
Może wydłubanie lcd go załatwi. Owszem uwierał w d* jak go włożyłeś do
tylnej kieszeni. Ale usiąść na nim można było.
A i raz się wykąpał. Ale to było krótkie kąpanie.

Rafał

do góry

Cześć !

W czwartek, 22 listopada 2007, o godz. 23:19:27, napisałeś na temat:
"bezpieczenstwo bankowosci internetowej - temat rzeka"
p...@g...SKASUJ-TO.pl, news:fi4v9f$fce$1@inews.gazeta.pl


> ale z drugiej strony :-)
> jezeli np. firma robi podczas jednego logowania dajmy na to 20 przelewow to
> musi odebrac 20 smsow.
> I tak zle i tak niedobrze...

Np. w BZWBK przygotowane zlecenia "wysyłasz" do koszyka zleceń a następnie
jednym SMS-kodem przekazujesz do realizacji.


--
Hej!

TB! 3.95.6|Windows XP SE 5.1.2600 Dodatek Service Pack 2

do góry