eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankizabezpieczenia w bankowosci elektronicznej
Ilość wypowiedzi w tym wątku: 64

  • 1. Data: 2002-07-08 04:56:20
    Temat: zabezpieczenia w bankowosci elektronicznej
    Od: "Piotr W" <t...@p...onet.pl>

    Coraz bardziej powszechne są dostępy do konta przez i-net
    Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
    elektronicznych np oferowany obecnie system SBE w InvestBanku
    Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez inne
    banki
    ( tokena używam od roku i jest OK )

    Jaka jest szansa na złamanie klucza elektronicznego ?
    Co sądzą inni na ten temat ?

    --
    Piotr W
    t...@p...onet.pl








  • 2. Data: 2002-07-08 05:32:40
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: Wojtek Frabinski <w...@a...net.pl>

    On Mon, 8 Jul 2002 06:56:20 +0200, "Piotr W" <t...@p...onet.pl>
    wrote:

    >Coraz bardziej powszechne są dostępy do konta przez i-net
    >Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
    >elektronicznych np oferowany obecnie system SBE w InvestBanku
    >Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez inne
    >banki
    >( tokena używam od roku i jest OK )

    W wypadki IB to warto zwrocic uwage, ze mimo, ze w inecie jest tzw
    podpis elektroniczny to przez WAP te same operacje mozna zrobic
    wylacznie na haslo,

    >Jaka jest szansa na złamanie klucza elektronicznego ?
    >Co sądzą inni na ten temat ?

    Zastanawialbym sie raczej nie nad problemem zlamania klucza ale nad
    mozliwoscia przechwycenia pliku klucza (ktory jest przciez zwyklym
    plikiem zapisanym na dyskietce / dysku) i hasla do niego przez
    jakiegos trojana.

    --
    Wojtek Frabinski ICQ 50443653
    w...@a...net.pl
    Moja strona Meat Loafa http://www.meatloaf.3a.pl/
    galeria kart bankowych http://www.karty.3a.pl/


  • 3. Data: 2002-07-08 07:50:14
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Richard" <R...@p...onet.pl>

    O kurde...
    To jest taka możliwość???

    TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
    logował on by widział moije hasło????

    Nie rozumiem, bo przeciez haslo jest szyfrowane 128 bnitowym kluczem, i do
    tego jest szyfrowane z pewnym pseudolosowym rozrzutem

    przynajmniej tak mi sie wydawalo...
    A jest inaczej????




    Użytkownik "Wojtek Frabinski" <w...@a...net.pl> napisał w wiadomości
    news:po8iiu4tq3tb6jlj4ftg8vnqnlpu6vtafj@4ax.com...
    > On Mon, 8 Jul 2002 06:56:20 +0200, "Piotr W" <t...@p...onet.pl>
    > wrote:
    >
    > >Coraz bardziej powszechne są dostępy do konta przez i-net
    > >Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
    > >elektronicznych np oferowany obecnie system SBE w InvestBanku
    > >Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez
    inne
    > >banki
    > >( tokena używam od roku i jest OK )
    >
    > W wypadki IB to warto zwrocic uwage, ze mimo, ze w inecie jest tzw
    > podpis elektroniczny to przez WAP te same operacje mozna zrobic
    > wylacznie na haslo,
    >
    > >Jaka jest szansa na złamanie klucza elektronicznego ?
    > >Co sądzą inni na ten temat ?
    >
    > Zastanawialbym sie raczej nie nad problemem zlamania klucza ale nad
    > mozliwoscia przechwycenia pliku klucza (ktory jest przciez zwyklym
    > plikiem zapisanym na dyskietce / dysku) i hasla do niego przez
    > jakiegos trojana.
    >
    > --
    > Wojtek Frabinski ICQ 50443653
    > w...@a...net.pl
    > Moja strona Meat Loafa http://www.meatloaf.3a.pl/
    > galeria kart bankowych http://www.karty.3a.pl/



  • 4. Data: 2002-07-08 08:06:12
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Pawel Kierski" <p...@m...com.pl>

    Użytkownik Richard <R...@p...onet.pl> w wiadomości do grup dyskusyjnych
    napisał:agbg6q$2n6$...@n...tpi.pl...
    > O kurde...
    > To jest taka możliwość???
    >
    > TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
    > logował on by widział moije hasło????
    [...]

    Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
    klawisza. W Windows można to spokojnie przechwycić, zapisywać, filtrować
    itp.

    Paweł Kierski
    p...@m...com.pl



  • 5. Data: 2002-07-08 12:16:30
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: Marcin F <m...@i...pl>



    Pawel Kierski wrote:
    >
    > Użytkownik Richard <R...@p...onet.pl> w wiadomości do grup dyskusyjnych
    napisał:agbg6q$2n6$...@n...tpi.pl...
    > > O kurde...
    > > To jest taka możliwość???
    > >
    > > TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
    > > logował on by widział moije hasło????
    > [...]
    >
    > Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
    > klawisza. W Windows można to spokojnie przechwycić, zapisywać, filtrować
    > itp.

    A czy przechwycenie, odszyfrowanie pakietow i wyodrebnienie hasla
    jest niemozliwe? Nie mysle oczywiscie o takiej operacji przeprowadzanej
    w "czasie rzeczywistym", chodzi mi o bezpieczenstwo bankow ktore nie
    stosuja tanow lub tokenow.


  • 6. Data: 2002-07-08 12:52:43
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Pawel Kierski" <p...@m...com.pl>

    Użytkownik Marcin F <m...@i...pl> w wiadomości do grup dyskusyjnych
    napisał:3...@i...pl...
    > Pawel Kierski wrote:
    [...]
    > > Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
    > > klawisza. W Windows można to spokojnie przechwycić, zapisywać, filtrować
    > > itp.
    >
    > A czy przechwycenie, odszyfrowanie pakietow i wyodrebnienie hasla
    > jest niemozliwe? Nie mysle oczywiscie o takiej operacji przeprowadzanej
    > w "czasie rzeczywistym", chodzi mi o bezpieczenstwo bankow ktore nie
    > stosuja tanow lub tokenow.

    Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
    ewentualnie potrzeba trochę włamań do providerów 8-) Obecnie się
    pewnie porawiło, ale kilka lat temu było fatalnie...
    Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
    też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
    rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
    (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
    żeby jednak powiedział 8-), podstawienie komuś trojana logującego
    naciśnięcia klawisza) są tańsze i szybsze.

    Paweł Kierski
    p...@m...com.pl



  • 7. Data: 2002-07-08 13:08:37
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Piotr W" <t...@p...onet.pl>


    Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
    dyskusyjnych napisał:agc23t$8ka$...@n...polbox.pl...
    > > > Jasne. System nie szyfruje faktu naciśnięcia takiego a nie innego
    > > > klawisza. W Windows można to spokojnie przechwycić, zapisywać,
    filtrować
    > Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
    > Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
    > też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
    > rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
    > (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
    > żeby jednak powiedział 8-), podstawienie komuś trojana logującego
    > naciśnięcia klawisza) są tańsze i szybsze.
    > Paweł Kierski

    No dobrze, dobrze . . .
    To jak wygląda tak głośny ostatnio podpis elektroniczny ?
    Jeżeli dobrze trybie to przecież to to samo ?

    Jeszcze jedno :
    mamy tu do czynienia z zahasłowanym kluczem elektronicznym
    trojan przechwyci hasło do klucza a co z samym kluczem ?
    Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie tylko 1
    raz.
    Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały klucz
    a jedynie jego sciśle określony ciąg przez niego generowany
    na dany moment , połączenie . . . etc.

    Może się mylę ?





  • 8. Data: 2002-07-08 13:37:36
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Robert Wicik" <R...@p...onet.pl>

    Użytkownik "Piotr W" <t...@p...onet.pl> napisał w wiadomości
    news:agc33b$n5$1@news.tpi.pl...
    > No dobrze, dobrze . . .
    > To jak wygląda tak głośny ostatnio podpis elektroniczny ?
    > Jeżeli dobrze trybie to przecież to to samo ?

    Hasło nie wiąże w sposób jednoznaczny wiadomości z nadawcą, a podpis (także
    elektroniczny) ma takie zadanie spełniać.
    Hasło ktoś może przechwycić i wykorzystać do podpisania innej wiadomości,
    niż zamierzał właściciel hasła. To samo może się stać, gdy kotoś przechwyci
    nośnik z kluczami do podpisu i hasło do tego nośnika, ale to już mniej
    prawdobne.
    Myślę, że dopuki klucze do podpisu są chronione, to podpis elektroniczny
    jest bezpieczny, zakładając że nie będziemy mieli do czynienia z
    przeciwnikiem o nieograniczonych zasobach :-)).

    Pozdrawiam



  • 9. Data: 2002-07-08 16:26:33
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: Wojtek Frabinski <w...@a...net.pl>

    On Mon, 8 Jul 2002 09:50:14 +0200, "Richard"
    <R...@p...onet.pl> wrote:

    >O kurde...
    >To jest taka możliwość???
    >
    >TZN że ktos wyslalby na mojego kompa jakiegos trojana i wtedy jak ja bym się
    >logował on by widział moije hasło????

    tak.

    >Nie rozumiem, bo przeciez haslo jest szyfrowane 128 bnitowym kluczem, i do
    >tego jest szyfrowane z pewnym pseudolosowym rozrzutem

    Haslo jest szyfrowane ale na drodze do banku. A nie na drodze od
    klawiatury do przegladarki. Tutaj mozna przechwycic je stosunkowo
    latwo.
    I dlatego rozwiazania oparte wylacznie na statycznym hasle sa IMO nie
    do przyjecia. Natomiast jesli chodzi o korzystanie z klucza zapisanego
    w zwyklym pliku to sprawa jest nieco bardziej skomplkowana.
    Teoretycznie wydaje sie, ze nie powinno byc wiekszego problemu, zeby
    trojan oprocz przechwytywania klawiatury (w tym rowniez hasla do
    klucza) zgral i przeslalal dalej caly plik klucza. O takim programie
    jeszcze nie slyszalem ale nie znaczy to ze go nie ma :-).
    Dopiero podpis elektorniczny na pozadnie zrealizowanej karcie chipowej
    powinien byc odporny na take sztuczki (czyli np podpis w rozumienu
    ustawy o podpisie elektronicznym).
    Pewnym rozwiazaniem jest tez dodatkowy certyfikat zainstalowany w
    przegladarca - jak w Fortisie.

    --
    Wojtek Frabinski ICQ 50443653
    w...@a...net.pl
    Moja strona Meat Loafa http://www.meatloaf.3a.pl/
    galeria kart bankowych http://www.karty.3a.pl/


  • 10. Data: 2002-07-08 16:58:02
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Piotr W" <t...@p...onet.pl>

    Użytkownik Wojtek Frabinski <w...@a...net.pl> w wiadomości do grup
    dyskusyjnych napisał:h...@4...com..
    .
    > Haslo jest szyfrowane ale na drodze do banku. A nie na drodze od
    > klawiatury do przegladarki. Tutaj mozna przechwycic je stosunkowo
    > latwo.

    tutaj zgoda

    > I dlatego rozwiazania oparte wylacznie na statycznym hasle sa IMO nie
    > do przyjecia. Natomiast jesli chodzi o korzystanie z klucza zapisanego
    > w zwyklym pliku to sprawa jest nieco bardziej skomplkowana.
    > Teoretycznie wydaje sie, ze nie powinno byc wiekszego problemu, zeby
    > trojan oprocz przechwytywania klawiatury (w tym rowniez hasla do
    > klucza) zgral i przeslalal dalej caly plik klucza. O takim programie
    > jeszcze nie slyszalem ale nie znaczy to ze go nie ma :-).

    tak też zgoda

    > Dopiero podpis elektorniczny na pozadnie zrealizowanej karcie chipowej
    > powinien byc odporny na take sztuczki (czyli np podpis w rozumienu
    > ustawy o podpisie elektronicznym).

    ale tego w bankach ja bynajmniej nie słyszałem

    > Pewnym rozwiazaniem jest tez dodatkowy certyfikat zainstalowany w
    > przegladarca - jak w Fortisie.
    > Wojtek Frabinski ICQ 50443653

    ale tutaj, czyli w IB jest instalowany "jakiś" certyfikat IB
    + klucz w pliku ( zahasłowany )
    piszę jakiś bo nie do końca kumam

    Jak tu się mają zabezpieczenia ?

    --
    Piotr W
    t...@p...onet.pl











strony : [ 1 ] . 2 ... 7


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1