http://wiadomosci.onet.pl/1149055,18,item.html

I jak tu wierzyc w bezpieczenstwo naszych marnych hasel jednorazowych....

Ciekawe o jaki bank chodzi, czyzby Citibank?
Jakis czas temu otrzymywalem dosc czesto spam na skrzynke podejrzanych
tresci z logami z Citibank, typu - wejdz na strone xyz w celu weryfikacji
Twoich danych... Pewnie wiele osob dalo sie na to nabrac - a ja nawet nie
mam (i nie mialem) konta w Citku.

Pozdrawiam
Sebastian.

do góry

2005-08-17 00:58- tak przynajmniej miał(a) ustawiony zegar systemowy
Stiwi, gdy pisał(a):
> http://wiadomosci.onet.pl/1149055,18,item.html
>
> I jak tu wierzyc w bezpieczenstwo naszych marnych hasel jednorazowych....
>

Ale tam, zaraz żeby Polak... Że niby tacyśmy inteligentni?
A Ci oszukani, to niby Asyryjczycy?
Tak czy inaczej, problemem są nie tylko zabezpieczenia banków, ale też
niefrasobliwość użytkowników. Wszędzie pełno takich sprytnych i takich
przygłupich.
Temat wielokrotnie był omawiany, więc tylko link do wkładu Scotta Adamsa
w analizę przedmiotowej kwestii: http://skocz.pl/dilb

--
**** ****
**** Make it idiot-proof ****
**** and someone will make a better idiot ****
**** ****
**** yayco(yayco2_tnij_@_tnij_gmail.com) ****

do góry

"Stiwi" <s...@p...onet.pl> wrote:
> Ciekawe o jaki bank chodzi, czyzby Citibank?
> Jakis czas temu otrzymywalem dosc czesto spam na skrzynke podejrzanych
> tresci z logami z Citibank, typu - wejdz na strone xyz w celu weryfikacji
> Twoich danych... Pewnie wiele osob dalo sie na to nabrac - a ja nawet nie
> mam (i nie mialem) konta w Citku.

Najśmieszniejsze jest to, że ja nie mając konta w Citi dostaję takich
maili średnio jeden dziennie i to na adres, który zna tylko kilka osób.
Tą prostą metodą oszuści zdobywają loginy i hasła, bo ludzie głupie
są...

--
Frozen woods holding within the wisdom
Forbidden spirit of war and our blood
Ancient battles that were fought then
Are now revived to glorify our reign

do góry

"Stiwi" <s...@p...onet.pl> wrote in message
news:ddtr2k$5gs$1@nemesis.news.tpi.pl...
> http://wiadomosci.onet.pl/1149055,18,item.html
>
> I jak tu wierzyc w bezpieczenstwo naszych marnych hasel jednorazowych....

Akurat własnie hasła jednorazowe dają przed tego typu prostymi atakami
(jesli były one kierowane na przechwycenie hasła) 100% bezpieczeństwo.

Vizvary

Tym niemniej ja bym uważał na hała jednorazowe podawane na publicznych
komputerach (w kawiarni internetowej itd.). Mogą one być niebezpieczne,
chociaż są to metody raczej poza zasiegiem "hackerów" z klasy siódmej C. W
każdym razie ja bym się nie odważył się na operacje bankowe z publicznych
komputerów mając na koncie poważniejsze kwoty. Ani tokenem, ani hasłami
jednorazowymi.

do góry

Użytkownik "Vizvary II Istvan" <v...@p...onet.pl> napisał w wiadomości
news:ddukr5$t9d$1@news.onet.pl...
>> I jak tu wierzyc w bezpieczenstwo naszych marnych hasel jednorazowych....
>
> Akurat własnie hasła jednorazowe dają przed tego typu prostymi atakami
> (jesli były one kierowane na przechwycenie hasła) 100% bezpieczeństwo.

hasła jednorazowe dają bardzo wysokie bezpieczaństwo, ale chyba nie 100% :)
kiedyś był rozpatrywany wariant ataku, kiedy haker przejmuje sesję po tym
jak podaliśmy hasło jednorazowe i wykorzystuje je do własnego celu
jeśli system banku do kolejnej transakcji poprosiłby o to samo hasło (które
w sumie nie było zużyte do poprzedniej przerwanej transakcji), to można
sobie wyobrazić nielegalną transakcję zabezpieczoną hasłem jednorazowym
co nie zmienia faktu, że hasła jednorazowe są z najprostszych najlepsze :)

> Tym niemniej ja bym uważał na hała jednorazowe podawane na publicznych
> komputerach (w kawiarni internetowej itd.). Mogą one być niebezpieczne,
> chociaż są to metody raczej poza zasiegiem "hackerów" z klasy siódmej C.
> W każdym razie ja bym się nie odważył się na operacje bankowe z
> publicznych komputerów mając na koncie poważniejsze kwoty. Ani tokenem,
> ani hasłami jednorazowymi.

ja jeśli juz muszę z nie swojego kompa coś sprawdzić na koncie, to później
jak tylko to możliwe, zmieniam hasła dostępu korzystając z zaufanego kompa
podstawą bezpieczeństwa takich transakcji z wykorzystaniem SSL i haseł jest
bezpieczeństwo własnego komputera - o tym trzeba pamiętać

pozdrawiam
Robert Wicik

do góry

"Robert Wicik" <r...@M...onet.pl> wrote in message
news:dduqfk$c9n$1@news.onet.pl...
> Użytkownik "Vizvary II Istvan" <v...@p...onet.pl> napisał w wiadomości
> news:ddukr5$t9d$1@news.onet.pl...
>>> I jak tu wierzyc w bezpieczenstwo naszych marnych hasel
>>> jednorazowych....
>>
>> Akurat własnie hasła jednorazowe dają przed tego typu prostymi atakami
>> (jesli były one kierowane na przechwycenie hasła) 100% bezpieczeństwo.
>
> hasła jednorazowe dają bardzo wysokie bezpieczaństwo, ale chyba nie 100%
> :)
> kiedyś był rozpatrywany wariant ataku, kiedy haker przejmuje sesję ...

Są róznego rodzaju ataki, hasła jednorazowe zabezpieczają całkiem
przyzwoicie w pewnych sytuacjach. W innych w ogóle.
Generalnie kłopot zaczyna się wtedy, gdy nie mogę ufać admministratorowi
komputera na którym pracuję, a taka sytuacja wystepuje np. w kawiarniach
internetowych. Przy powazniejszych transakcjach zresztą mało kto korzysta
z kawiarni.
W takiej sytuacji na pewno korzystną jest opcja potwierdzenie przelewu przez
inną osobę (dostepne w kilku bankach, raczej nie słuzy bezposrednio
podwyższeniu poziomu bezpieczeństwa transakcji, ale skuteczna jest i pod tym
względem ) .

Vizvary

do góry

Stiwi wrote:
> http://wiadomosci.onet.pl/1149055,18,item.html
>
> I jak tu wierzyc w bezpieczenstwo naszych marnych hasel jednorazowych....
>
> Ciekawe o jaki bank chodzi, czyzby Citibank?

A Citi używa haseł jednorazowych?

> Jakis czas temu otrzymywalem dosc czesto spam na skrzynke podejrzanych
> tresci z logami z Citibank, typu - wejdz na strone xyz w celu
> weryfikacji Twoich danych... Pewnie wiele osob dalo sie na to nabrac - a
> ja nawet nie mam (i nie mialem) konta w Citku.

Teraz jest wysyp phishingu na PayPal.com i eBay.com. Jeżeli chcecie
pomóc zwalczać phishing przesyłajcie podejrzane wiadomości na adres:

s...@p...com (próby podszycia się pod PayPal.com)
s...@e...com (próby podszycia się pod eBay.com)
e...@c...com (próby podszycia się pod Citi)

A jeżeli macie problem z wytłumaczeniem komuś czym jest phishing i jak
go unikać, obejrzyjcie razem mój screencast nt. phishingu:

http://jacek.libsyn.com/media/jacek/phishing.avi

--
Jacek
jacek>at<devguide>dot<net
http://www.devguide.net
Publikacje wydawnictwa O'Reilly
http://www.devguide.net/pl/oreilly-ksiazki-cennik.ht
ml

do góry

*Vizvary II Istvan* napisał(a):

> Są róznego rodzaju ataki, hasła jednorazowe zabezpieczają całkiem
> przyzwoicie w pewnych sytuacjach. W innych w ogóle.

W jakich ,,w ogóle nie zabezpieczają''[1]?

[1] Oczywiście wiem, że w przypadku skompromitowania karty kodów
jednorazowych, poproszę o inne przykłady :)

Pozdrawiam
--
Marek Szapajko .... http://www.szapajko.republika.pl .... Zażółć gęślą jaźń
GG: 208353 ....... OdROTuj email: echo f...@t...pbz | tr 'a-z' 'n-za-m'
Never use 'sed' when 'tr' can do the job;
(Taylor's Law of Programming #3)

do góry

Dnia Wed, 17 Aug 2005 19:00:48 +0000 (UTC),
osoba podpisana: Marek Szapajko <f...@t...pbz>
napisała:
> *Vizvary II Istvan* napisał(a):
>
>> Są róznego rodzaju ataki, hasła jednorazowe zabezpieczają całkiem
>> przyzwoicie w pewnych sytuacjach. W innych w ogóle.
>
> W jakich ,,w ogóle nie zabezpieczają''[1]?
Nieuczciwy pracownik banku. (Na upartego łapie się to pod kompromitację
karty kodów, ale...)

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/#f4y
można nie mieć nawet żadnego sensownego argumentu, a dzięki odpowiedniej
gestykulacji stworzyć poczucie wiarygodności.
Puls Biznesu

do góry

"Marek Szapajko" <f...@t...pbz> wrote in message
news:slrn.pl.dg72bk.3rg.fmncnw@msj...
> *Vizvary II Istvan* napisał(a):
>
>> Są róznego rodzaju ataki, hasła jednorazowe zabezpieczają całkiem
>> przyzwoicie w pewnych sytuacjach. W innych w ogóle.
>
> W jakich ,,w ogóle nie zabezpieczają''[1]?
>
> [1] Oczywiście wiem, że w przypadku skompromitowania karty kodów
> jednorazowych, poproszę o inne przykłady :)

Spreparowana przeglądarka. Każda jest podatna. IE jest najtrudniej. Nie chce
więcej pisać na ten temat, w końcu nie jest to miejsce na pomysły dla
złodziei. Zresztą sprawa nie jest krytyczna pod względem bezpieczeństwa , bo
nikt przy zdrowych zmysłach nie korzysta z kawiarenki mając na koncie
poważniejsze kwoty.
Dziś pół dnia się zastanawiałem czy bank może od strony serwera przed takim
atakiem zabezpieczyć. Nie bardzo widzę mozliwości.
Może zabezpieczeniem jest ochrona integralnosci danych, nawet ta najprostsza
(jak te tokeny z klawiaturą), ale tak jak teraz (podczas pisania tego listu)
się zastanawiam, to też niewiele pomoże.

Vizvary Istvan
http://www.cryptigo.com

do góry