Użytkownik "Krystek" <k...@p...space.mailbox> napisał w
wiadomości
news:e83cc3261a13ce51274c68c6cdc27396@krystian.i.jeg
o.chomik...
> Jarosław Lech napisał:
>> Krzysztof Rudnik napisał:
>>
>>> Taka wbudowana pewnie nic nie daje, bo ona wprowadza przeciez
>>> wybrane znaki
>>> do programu tak, jakby byly z klawiatury. Wiec soft przechwytujacy
>>> klawiature
>>> tez moze dostac te znaki.
>>> Dedykowana, wbudowana w jakas aplikacje (np. IMAGEMAP na stronie
>>> WWW)
>>> jest na wszelkie takie sztuczki odporna.
>>
>> Zawsze pozostaje (chyba to jest jeszcze bezpieczne? :-) ) linijka
>> ze wszystkimi znakami dopuszczalnymi w polach loginu i hasła i
>> Ctrl-C -> Ctrl-V :-)
>
> Eeee, programy które przechwytują zawartość "schowka systemowego" mogą
> chyba przechwycić i zapisać do pliku...

No to jeszcze pozostaje losowe wprowadzanie treści :-P Zawsze to
jakieś utrudnienie. Ale generalnie już chyba lepiej popracować nad 1)
ustawieniwm sprzętu i naumieniem się łączenia z bankiem przez WAP; 2)
jeśli bank olewa WAP, to zmontowaniem lobby, które uświadomiłoby, że
jest to potrzebne.

A tak na marginesie na liście EBANK wczoraj pojawiły się takie
wypowiedzi (chioć to już zdecydowanie OT względem inicjacji wątku):

===///\\\===

>>>Ciekawe, który z naszych eBanków wreszcie odkryje, że istnieją
>>>PDA/MDA
>>>i przygotuje okrojoną wersję swojego systemu transakcyjnego dla
>>>odpowiedniej rozdzielczości...
>>
>>musisz zrobic lepszy lobbing, bo Cię jeszcze nie dostrzegają ;-))
>
>
> W normalnych krajach dostrzega się takich klientów od dawna.

wszystko jest kwestią biznesu i gry rynkowej,

jeśli będzie w Polsce "odpowiednia" ilosć klientów to ktoś ją zapwene
dostrzeże, dopiero od niedawna wypasione palmy są po 1000 zł i taką ceną
dopiero uważam w naszych warunkach za stosowną za te zabawki

jeszcze niewielka liczba Polaków zauważyła że palmtop może im sie do
czegoś przydać, a 1000 zł wydać na mały komputerek to i tak dla wielu
duża kwota (jak becikowe)

===///\\\===


--
Lejak
j...@k...ODSPAMIACZ.pl

do góry

Krystek napisał(a):
> (...) i/lub
> przekierować dodatkowo transmisję przez szyfrowane proxy-tunel. (...)

skąd i dokąd ten ruch tunelować?

--
Konrad Zak
http://konradzak.com/powerofcli http://akademiaruchu.com.pl
http://prawo.uni.wroc.pl/~konrad/car-parts ceny części Peugeot

do góry

SDD napisał(a):

> (...)
> Moj pomysl polega na tym, by w internetowych systemach transakcyjnych bankow
> dac mozliwosc zalozenia uzytkownikowi dodatkowego hasla, ktore uruchomi
> system transakcyjny w trybie zwiekszonego bezpieczenstwa, (...)

Sporo zmian by to prawdopodobnie wymagało w serwisie transakcyjnym
banku. Wydaje mi się, że prostszym we _wdrożeniu_ i eksploatacji (hasła
jednorazowe zużywane od czasu do czasu w ilościach hurtowych), a i chyba
równie skutecznym rozwiązaniem byłoby autoryzowanie każdorazowo na
podstawie _tylko_części_hasła_ - wybranych znaków. Przy takim
rozwiązaniu maleje wydatnie prawdopodobieństwo wywęszenia hasła przez
wszelkiego rodzaju brudy zainstalowane w niezbyt bezpiecznym systemie, z
którego przyszło nam się łączyć. Taki sposób jest, a z pewnością był
(dawno nie dzwoniłem) stosowany na mLinii. BPH stosuje go przy logowaniu
do systemu transakcyjnego.

Ważny jest tu również fakt, że takie rozwiązanie nie pozostawia
klientowi wyboru w kwestiach dotyczących bezpieczeństwa i pozwala na
prezentowanie mu w każdej sytuacji interfejsu o jednakowym wyglądzie i
funkcjonalności.

Pozdrawiam,
--
Konrad Zak
http://konradzak.com/powerofcli http://akademiaruchu.com.pl
http://prawo.uni.wroc.pl/~konrad/car-parts ceny części Peugeot

do góry

Konrad Zak napisał:
> Krystek napisał:
>
>> (...) i/lub przekierować dodatkowo transmisję przez szyfrowane
>> proxy-tunel. (...)
>
> skąd i dokąd ten ruch tunelować?

Jeśli się ma dostęp do szyfrowanego proxy można ustawić przeglądarkę
tak, by łączyła się dodatkowym szyfrowanym kanałem co uskuteczni
zabezpieczenie przed podsłuchem.

Dobre jest też - tak jak już tu pisano na grupie - zabezpieczenie w
postaci obrazków z których należy przepisać kod. Ciekawe byłyby
kombinacje w stylu: kod z obrazka oraz kod z SMS, albo treść kodu z
obrazka+treśc kodu z SMS-a (jak w VWBank direct - hasło+wskazanie
tokena), albo - jak sam napisałeś - wpisanie wybranych znaków ze
wskazanego kodu. Kody SMS całkiem sprawnie funkcjonują w BZWBK24 - można
wybrać potwierdzenie transakcji kodem i dodatkowo SMS-em.

K.


--
W moherowym berecie będzie lepiej Ci na świecie...

do góry

"SDD" <s...@t...wszechwiedza.pl> wrote in message
news:dm5koj$bm5$1@news.onet.pl...
> Witam
>
> Mam ciekawy, moim zdaniem, pomysł na polepszenie funkcjonalności e-bankow.
> Jak wiadomo, bardzo niebezpieczne jest korzystanie z konta w kafejkach
> internetowych... - czasem jednak dobrze jest zajrzec na swoje konto gdzies
> "na wyjezdzie"...
>

Do ogladanie konta wystarcza WAP. I chyba nawet bedzie tansze od kafejki :).

MK

do góry

Krystek napisał(a):

> Jeśli się ma dostęp do szyfrowanego proxy można ustawić przeglądarkę
> tak, by łączyła się dodatkowym szyfrowanym kanałem co uskuteczni
> zabezpieczenie przed podsłuchem.

No tak, ale połączenie z bankiem jest na drodze przeglądarka - serwer
http banku szyfrowane - problem polega na tym, że do skompromitowania
hasła może dojść wcześniej - na skutek działania wszelkiego rodzaju
snifferów klawiatury czy ekranu. Dodatkowe tunelowanie nic tu nie pomoże.

> Dobre jest też - tak jak już tu pisano na grupie - zabezpieczenie
> w postaci obrazków z których należy przepisać kod. Ciekawe byłyby
> kombinacje w stylu: kod z obrazka oraz kod z SMS, albo treść kodu z
> obrazka+treśc kodu z SMS-a (jak w VWBank direct - hasło+wskazanie
> tokena), albo - jak sam napisałeś - wpisanie wybranych znaków ze
> wskazanego kodu. Kody SMS całkiem sprawnie funkcjonują w BZWBK24 -
> można wybrać potwierdzenie transakcji kodem i dodatkowo SMS-em.

Zgadza się, takie kombinowane zabezpieczenia pomogłyby. Ale samo
przepisywanie z obrazków nie, to zabezpiecza jedynie przed wysyłaniem
formularza logowania przez skrypty. Zabezpieczenie transakcji kodem
wysyłanym SMS jest w przykładowym scenariuszu kafejkowym równoważne
hasłom jednorazowym. Chyba, że kodem SMS zabezpieczane jest logowanie,
to byłoby dobre.

Pozdrawiam,
--
Konrad Zak
http://konradzak.com/powerofcli http://akademiaruchu.com.pl
http://prawo.uni.wroc.pl/~konrad/car-parts ceny części Peugeot

do góry

Zdzislaw <z...@u...pl> napisał(a):

> nie wiem jak "wirtualny" bph ale makler bph ma taka ekranowa klawiature
>
w BPHowskim Sez@mie tez jest ekranowa klawiatura. Mozna jej uzywac do
logowania i do wpisywania hasla do klucza.


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry