Użytkownik "MarcinF" napisał w wiadomości grup
dyskusyjnych:nalegl$p0j$...@n...news.atman.pl...
W dniu 2016-02-24 o 18:31, J.F. pisze:
>> Lukas/CA uzywaly tokenow RSA, te mialy wygrawerowany termin
>> waznosci (~3
>> lata) i potem ekran znikal.
>> Nawet jesli dzien wczesniej calkiem dobrze dzialal.
>> To jest interes ... dla RSA oczywiscie :-)
>Nie tylko interes, karty płatnicze też mają termin ważności,
>a przecież mogły by działać dalej.

Karty byly tanie. No i sie zuzywaly.

>Zajmowanie się wkurzonym klientem, któremu wyczerpała się właśnie
>bateria w tokenie raczej nie jest ulubionym zajęciem banku.

No to przeciez wysylaja przypomnienie po kilku latach, a klient wie,
na czym mu zalezy.
I mozna napisac "slaba bateria".

J.

do góry

Dnia Wed, 24 Feb 2016 18:08:58 +0100, Kamil Jońca napisał(a):

> [1] na ekranie wyświetlał się "kod" transakcji, ten kod wpisywałeś do
> tokena, który ci odpowiadał kodem do wpisania w przeglądarce

Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku docelowego?
Jeśli nie, to pod względem bezpieczeństwa nie jest nic lepszy od typowego
RSA zależnego tylko od zegara.

do góry

jureq <j...@X...to.z.adresu.Xop.pl> writes:

> Dnia Wed, 24 Feb 2016 18:08:58 +0100, Kamil Jońca napisał(a):
>
>> [1] na ekranie wyświetlał się "kod" transakcji, ten kod wpisywałeś do
>> tokena, który ci odpowiadał kodem do wpisania w przeglądarce
>
> Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku docelowego?
> Jeśli nie, to pod względem bezpieczeństwa nie jest nic lepszy od typowego
> RSA zależnego tylko od zegara.

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
"Your attitude determines your attitude."
-- Zig Ziglar, self-improvement doofus

do góry

Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):

>> Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
>> docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
>> lepszy od typowego RSA zależnego tylko od zegara.
>
> Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
> transakcji (tak jak to było w np. tokenie gsm eurobanu)

Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
"coś" ci wyświetliło na ekranie komputera?

do góry

Użytkownik "jureq" napisał w wiadomości grup
dyskusyjnych:56cec91a$0$22844$6...@n...neostrad
a.pl...
Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):
>>> Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
>>> docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
>>> lepszy od typowego RSA zależnego tylko od zegara.
>
>> Nie. Ale zakładam, że był genereowany przezb bank, na podstawie
>> cech
>> transakcji (tak jak to było w np. tokenie gsm eurobanu)

>Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej,
>którą
>"coś" ci wyświetliło na ekranie komputera?

Dawniej niewatpliwie tej rzeczywistej. Serwer wyliczal skrot
operacji, wyswietlal, kazal wprowadzic odpowiedz, przeliczal czy sie
zgadza.
Teraz to juz w niewatpliwosc watpie :-)

Ale czy dawniej bylo bezpieczniej ?
Jak ci cos opanuje przegladarke, pokaze ze przelewasz na konto1, a
serwerowi przekaze konto2, serwer policzy skrot operacji, wyswietli,
poczeka na odpowiedz, zweryfikuje, i wykona ... oczywiscie operacje
przekazana mu przez przegladarke, a nie te, ktora zostala wprowadzona
i pokazana na ekranie.

Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie
ukradna/przejma i ich :-)

Musialby byc token z lacznoscia, chocby w formie kamery i QR kodu.
wpisujesz operacje, serwer szyfruje, przekazuje tokenowi, ten
wyswietla szczegoly, prosi o potwierdzenie, kod autoryzacyjny
przekazuje sam lub przepisujesz ...


J.

do góry

jureq <j...@X...to.z.adresu.Xop.pl> writes:

> Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):
>
>>> Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
>>> docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
>>> lepszy od typowego RSA zależnego tylko od zegara.
>>
>> Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
>> transakcji (tak jak to było w np. tokenie gsm eurobanu)
>
> Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
> "coś" ci wyświetliło na ekranie komputera?

Erm.
Zakładam, że ten "kod" jest jakąś formą podpisu cyfrowego generowaną
przez bank.

Wykładu na temat podpisu cyfrowego nie mam zamiaru tu robić.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

do góry

Dnia Thu, 25 Feb 2016 10:55:45 +0100, Kamil Jońca napisał(a):

>>> Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
>>> transakcji (tak jak to było w np. tokenie gsm eurobanu)
>>
>> Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
>> "coś" ci wyświetliło na ekranie komputera?
>
> Erm.
> Zakładam, że ten "kod" jest jakąś formą podpisu cyfrowego generowaną
> przez bank.

Chyba nie wiesz jak działają najnowsze wirusy.
One podmieniają numer rachunku a czasami także kwotę wprowadzaną z
klawiatury (lub schowka....) i wyświetlaną na ekranie komputera.
Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden podpis
cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od komputera)
urządzenie, które przed zatwierdzeniem operacji wyświetli ci te same dane.

> Wykładu na temat podpisu cyfrowego nie mam zamiaru tu robić.

I słusznie.

do góry

Dnia Thu, 25 Feb 2016 10:41:31 +0100, J.F. napisał(a):

> Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie
> ukradna/przejma i ich :-)

Wypada chyba mieć 2 sztuki. Jeden do aplikacji bankowej, drugi do SMS.

do góry

jureq <j...@X...to.z.adresu.Xop.pl> writes:

> Dnia Thu, 25 Feb 2016 10:55:45 +0100, Kamil Jońca napisał(a):
>
>>>> Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
>>>> transakcji (tak jak to było w np. tokenie gsm eurobanu)
>>>
>>> Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
>>> "coś" ci wyświetliło na ekranie komputera?
>>
>> Erm.
>> Zakładam, że ten "kod" jest jakąś formą podpisu cyfrowego generowaną
>> przez bank.
>
> Chyba nie wiesz jak działają najnowsze wirusy.
> One podmieniają numer rachunku a czasami także kwotę wprowadzaną z
> klawiatury (lub schowka....) i wyświetlaną na ekranie komputera.
> Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden podpis
> cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od komputera)
Pomoże, jeśli oprócz podpisu dostaniemy też podpisaną wiadomość. (I
wtedy ten podpis zweryfikujemy). I TEGO elementu nie było.

Z smsami jest podobnie - mogą opisywać transakcję (np. mbank) ale nie
muszą (iirc idea)
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Linux! Guerrilla UNIX Development Venimus, Vidimus, Dolavimus.
-- Mark A. Horton KA4YBR, m...@k...com

do góry

Użytkownik "Kamil "Jońca"" napisał w wiadomości grup
dyskusyjnych:8...@a...kjonca...
>> Chyba nie wiesz jak działają najnowsze wirusy.
>> One podmieniają numer rachunku a czasami także kwotę wprowadzaną z
>> klawiatury (lub schowka....) i wyświetlaną na ekranie komputera.
>> Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden
>> podpis
>> cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od
>> komputera)

>Pomoże, jeśli oprócz podpisu dostaniemy też podpisaną wiadomość. (I
>wtedy ten podpis zweryfikujemy). I TEGO elementu nie było.
>Z smsami jest podobnie - mogą opisywać transakcję (np. mbank) ale nie
>muszą (iirc idea)

Idea opisuje.

J.

do góry