eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank wycofuje listy haseł jednorazowych
Ilość wypowiedzi w tym wątku: 45

  • 11. Data: 2019-01-25 11:41:03
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Dawid Rutkowski <d...@w...pl>

    W dniu czwartek, 24 stycznia 2019 21:44:39 UTC+1 użytkownik ń napisał:

    > > A ja mam z pekao token działający na J2ME na mojej nokii E51 i jest nie do
    zhackowania

    > Cos podobnego do tokena EB?
    > A dlaczego niby nie do zhakowania?

    W eb tokena "soft" nie wypróbowałem, sprzętowego też nie miałem bo miałem tylko KK. I
    nawet apki nie mogłem zainstalować, bo do aktywacji trzeba było wskazać konto do ew.
    opłat...

    W każdym razie token jest git i w ogóle nie potrzebuje do pracy jakiejkolwiek
    łączności (potrzebna jest tylko do ściągnięcia i być może, bo nie sprawdzałem, do
    aktywacji).

    A nokii E51 nic mi raczej nie zhackuje, bo tylko do dzwonienia i smsów służy, no
    jeszcze da się sprawdzić rozkład jazdy na m.ztm.waw.pl oraz pogodę na
    http://www.if.pw.edu.pl/~meteo/index-mob.php - ograniczają zarówno ekran 240*320 jak
    i przeterminowanie certyfikatów (przez te certyfikaty nie zadziałało mi też IKO w
    wersji J2ME :( ).


  • 12. Data: 2019-01-25 12:07:25
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Michał Jankowski <m...@f...edu.pl>

    W dniu 24.01.2019 o 20:16, Krzysztof Halasa pisze:
    > g...@g...com writes:
    >
    >> Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
    >> Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
    >> autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.
    >
    > Tzn. hasła SMS są bezpieczniejsze w sytuacji "skompromitowanego"
    > komputera używanego do przeprowadzania transakcji. W sumie jedne
    > i drugie mają zapewniać dodatkową ochronę właśnie w takiej sytuacji.
    > Problemem są "celowane" ataki, na takie "zwykły klient" nic nie poradzi.
    >

    Jak piszesz - zdrapki nie chronią przed sytuacją, że masz wirusa i
    komputer prezentuje inne dane do przelewu tobie, a inne bankowi.

    SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.

    Jak się nie obrócić, dupa z tyłu.

    W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

    MJ


  • 13. Data: 2019-01-25 12:59:53
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Poldek <p...@i...eu>

    W dniu 2019-01-25 o 11:30, gosc pisze:
    > Poldek wrote:
    >> Byłem parę razy w górach w pensjonacie, gdzie jest internet - z kabla
    >> typu tpsa - a nie ma zasięgu żadnej sieci komórkowej. Znajomi dziwili
    >> się, jak zamierzam zapłacić za pobyt przelewem ;-)
    >>
    >> Gdyby ktoś chciał kody, to jeszcze w Pekao SA są.
    >
    > A Wi-Fi Calling?
    > Np. <https://www.play.pl/uslugi/wifi-calling/>.
    >

    Nie każdy to ma.


  • 14. Data: 2019-01-25 20:42:00
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Michał Jankowski <m...@f...edu.pl> writes:

    > Jak się nie obrócić, dupa z tyłu.

    No niestety :-(

    > W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

    Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

    W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
    a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
    komputera, ale np. długo nie wykonujemy operacji wymagających
    zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
    ruch. Raczej nieistotny przypadek.
    b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
    np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
    (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
    dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
    ten ktoś potrafi sprawić, że dostanie).
    c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
    może to bardziej kwestia procedur niż techniki.

    To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
    chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
    telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
    tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
    jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
    pokryć statystycznie koszty całego włamania).

    Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
    tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
    wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
    dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
    problem).
    --
    Krzysztof Hałasa


  • 15. Data: 2019-01-27 10:55:38
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Wojciech Bancer <w...@g...com>

    On 2019-01-25, Michał Jankowski <m...@f...edu.pl> wrote:

    [...]

    > SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.
    > Jak się nie obrócić, dupa z tyłu.

    A (ostatnio modne) pushe?

    --
    Wojciech Bańcer
    w...@g...com


  • 16. Data: 2019-01-28 12:53:27
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Michał Jankowski <m...@f...edu.pl>

    W dniu 25.01.2019 o 20:42, Krzysztof Halasa pisze:
    > Michał Jankowski <m...@f...edu.pl> writes:
    >
    >> Jak się nie obrócić, dupa z tyłu.
    >
    > No niestety :-(
    >
    >> W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...
    >
    > Podejrzewam że bankowcy to ocenili i odrzucili, niestety.
    >
    > W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
    > a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
    > komputera, ale np. długo nie wykonujemy operacji wymagających
    > zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
    > ruch. Raczej nieistotny przypadek.
    > b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
    > np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
    > (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
    > dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
    > ten ktoś potrafi sprawić, że dostanie).
    > c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
    > może to bardziej kwestia procedur niż techniki.
    >
    > To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
    > chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
    > telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
    > tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
    > jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
    > pokryć statystycznie koszty całego włamania).

    Wydajemisie, że połączony atak typu - podmieńmy numery kont na
    ekranie komputera i równocześnie ukradnijmy komuś numer telefonu na
    dowód kolekcjonerski to jednak rzadko się zdarza. A zainfekowanie
    telefonu, to w ogóle nie wiem...

    >
    > Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
    > tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
    > wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
    > dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
    > problem).
    >

    Z tym, że jeszcze niedawno sporo banków przysyłało smsy, w których nie
    było co czytać. Np. w citibanku jeszcze w czerwcu sms miał treść
    'Autoryzacja transakcji. Kod: 123456. Citi Handlowy'.

    A w ogóle, to jeśli faktycznie dowody kolekcjonerskie są nie do
    odróżnienia, to bierzemy taki dowód, idziemy do banku, zmieniamy wzór
    podpisu i hulaj dusza. Co prawda marmurowy PKOBP ostatnio w kasie
    wypłaca też na sms, ale przecież nie muszę mieć telefonu w ogóle...

    MJ


  • 17. Data: 2019-01-28 13:56:34
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: "n" <...@...e>

    Emerytom?


    -----
    > marmurowy PKOBP ostatnio w kasie wypłaca też na sms


  • 18. Data: 2019-02-08 17:41:40
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: Marek <f...@f...com>

    On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <k...@p...waw.pl>
    wrote:
    > Faktycznie token byłby lepszy, ale to musiałby być specjalny token,

    mBank ma tokeny sprzętowe dla wybranej grupy klientów.

    --
    Marek


  • 19. Data: 2019-02-08 18:01:08
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Marek" napisał w wiadomości grup
    dyskusyjnych:a...@n...neos
    trada.pl...
    On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <k...@p...waw.pl>
    >> Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
    >mBank ma tokeny sprzętowe dla wybranej grupy klientów.

    Duzo bankow sie wycofalo, albo zostawilo tylko wybranej grupie, widac
    za drogi.

    Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
    Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
    albo np kamerke i czytac kody QR z ekranu,
    albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
    potwierdza, bez mozliwosci wciecia kogos.

    J.



  • 20. Data: 2019-02-08 20:19:08
    Temat: Re: mBank wycofuje listy haseł jednorazowych
    Od: s...@g...com

    W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:
    > Użytkownik "Marek" napisał w wiadomości grup
    > dyskusyjnych:a...@n...neos
    trada.pl...
    > On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <k...@p...waw.pl>
    > >> Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
    > >mBank ma tokeny sprzętowe dla wybranej grupy klientów.
    >
    > Duzo bankow sie wycofalo, albo zostawilo tylko wybranej grupie, widac
    > za drogi.
    >
    > Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
    > Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
    > albo np kamerke i czytac kody QR z ekranu,
    > albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
    > potwierdza, bez mozliwosci wciecia kogos.
    >
    >

    Niekoniecznie.
    Sms niech przychodzi z informacja za co sie placi.
    kod niech sie wpisuje z tokena.

    Te tokeny nie sa az tak drogie:
    http://www.tokenguard.com/RSA-SecurID-SID700.asp

    Mysle ze bank mogl by spore upusty dostac.
    A i klient nieco mogl by partycypowac. Zamowienie listy hasel jednorazowych to chyba
    bylo ze 20pln ostatnio.
    A token 120pln.

    Mysle ze mozna by tansze niz rsa znalezc.

strony : 1 . [ 2 ] . 3 ... 5


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1