Wątek o DCC skłonił mnie do zapytania:

Na czym opiera się bezpieczeństwo apek?
Jak coś wykonuję w ST to potwierdzam to kodem przysłanym SMS - czyli
atakujący musiałby przejąć dwa kanały.

Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi
telefon, czy kody przychodzą mailem :)
P.G.

do góry

Piotr Gałka <p...@c...pl> writes:

> Na czym opiera się bezpieczeństwo apek?

Obawiam się, że nie chodzi o bezpieczeństwo, tylko po prostu o to, by
bank mógł wykonywać pożądane przez siebie operacje na telefonie klienta.

Nietrudno zauważyć, że teraz APKi są do wszystkiego - często tam, gdzie
właściwie do niczego nie służą (może poza np. uzyskaniem jakiegoś rabatu
albo innej mininagrody).
Można też porównać z "gwarantowanymi nagrodami" różnych spamerów,
"badaczy pseudomedycznych", "wygrałeś odkurzacz samochodowy" (podaj
markę samochodu, żebyśmy mogli cię ocenić) itd.

Bezpieczeństwo aplikacji jest często niższe niż byle rozwiązania sprzed
10 lat - w odpowiednich okolicznościach (np. świadomego użytkownika
komputera).
--
Krzysztof Hałasa

do góry

W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
> Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi
> telefon, czy kody przychodzą mailem

Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe... Tak,
można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
Operacje robione w komputerze potwierdza się w aplikacji, operacje w
aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.

A kody w mailu to chyba nigdy nie przychodziły nigdzie. Grupo, ktoś
pamięta takie rozwiązanie?

--
Alf/red/

do góry

Alf/red/ <a...@u...waw.pl> writes:

[...]
> lub dodatkowym.
>
> A kody w mailu to chyba nigdy nie przychodziły nigdzie. Grupo, ktoś
> pamięta takie rozwiązanie?

W banku nie kojarzę. Za to w epuap kiedyś tak było.

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
> W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
>> Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi
>> telefon, czy kody przychodzą mailem
>
> Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe...

Oczywiście, że nie o całe. Ale choćby o jedną z podstaw, że przejęcie
jednego kanału (urządzenia) nie daje atakującemu dostępu.

> Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
> obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
> Operacje robione w komputerze potwierdza się w aplikacji, operacje w
> aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.

Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za
bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).

> A kody w mailu to chyba nigdy nie przychodziły nigdzie.

To był żart.
P.G.

do góry

W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
> W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
>
> > Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
> > obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
> > Operacje robione w komputerze potwierdza się w aplikacji, operacje w
> > aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.
>
> Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za
> bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).

A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który
przychodzą SMSy?

> > A kody w mailu to chyba nigdy nie przychodziły nigdzie.
>
> To był żart.

Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku,
jak startował N26) przychodziły pocztą.
I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48 kodami
do wykorzystania.
Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w
zapasie.
Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu
danej dyspozycji.
N26 na zachodzie naprawdę było objawieniem.

do góry

W dniu 28.05.2020 o 13:20, Dawid Rutkowski pisze:
> W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
>> W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
>>
>>> Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
>>> obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
>>> Operacje robione w komputerze potwierdza się w aplikacji, operacje w
>>> aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.
>>
>> Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za
>> bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).
>
> A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który
przychodzą SMSy?
>
>>> A kody w mailu to chyba nigdy nie przychodziły nigdzie.
>>
>> To był żart.
>
> Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku,
jak startował N26) przychodziły pocztą.
> I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48
kodami do wykorzystania.
> Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w
zapasie.
> Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu
danej dyspozycji.
> N26 na zachodzie naprawdę było objawieniem.
>

Nie sprawdzałem ostatnio, ale jak znam życie, to w USA nadal wysyłają
czeki pocztą.

MJ

do góry

W dniu 28.05.2020 o 12:59, Piotr Gałka pisze:
> W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
>> W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
>>> Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi
>>> telefon, czy kody przychodzą mailem
>>
>> Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe...
>
> Oczywiście, że nie o całe. Ale choćby o jedną z podstaw, że przejęcie
> jednego kanału (urządzenia) nie daje atakującemu dostępu.

Rozwiązanie typu przeglądarka z hasłem plus sms znalazło się na
cenzurowanym w chwili, kiedy się okazało, że przejęcie numeru telefonu
wystarcza do zmiany hasła przeglądarki...

Co jest potrzebne do 'odzyskania' hasła do apki?

MJ

do góry

W dniu czwartek, 28 maja 2020 13:30:22 UTC+2 użytkownik Michal Jankowski napisał:
> W dniu 28.05.2020 o 13:20, Dawid Rutkowski pisze:
> > W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
> >> W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
> >>
> >>> Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
> >>> obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
> >>> Operacje robione w komputerze potwierdza się w aplikacji, operacje w
> >>> aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.
> >>
> >> Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za
> >> bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).
> >
> > A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który
przychodzą SMSy?
> >
> >>> A kody w mailu to chyba nigdy nie przychodziły nigdzie.
> >>
> >> To był żart.
> >
> > Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5
roku, jak startował N26) przychodziły pocztą.
> > I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48
kodami do wykorzystania.
> > Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w
zapasie.
> > Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO
złożeniu danej dyspozycji.
> > N26 na zachodzie naprawdę było objawieniem.
> >
>
> Nie sprawdzałem ostatnio, ale jak znam życie, to w USA nadal wysyłają
> czeki pocztą.

Karty płatnicze też się wysyła pocztą.
Czeki to żaden problem - zamawiasz sobie z wyprzedzeniem, ZANIM skończy się
poprzednia książeczka, i dostajesz na raz 50 in blanco.
Tak, jak w mBąku dostawałeś listę z 48 hasłami Z GÓRY.

To teraz sobie wyobraź, że żeby zapłacić czekiem musisz:
- iść, zadzwonić, "zainternetować" do banku, że potrzebujesz czek na 200$ (a jak
trzeba, to jeszcze podać, kto ma być beneficjentem),
- poczekać, aż poczta go dostarczy.
"Bardzo praktyczne" np. na stacji benzynowej.

I tak to w tej Francji działało - zlecasz przelew i czekasz, aż pocztą przyjdzie kod
- i tak po 3 dniach do tygodnia (choć może tam poczta działa lepiej - u nas uważam za
dobry rezultat np. dzisiejszy list z citi - wygląda na polecony, bo ma naklejkę, na
szczęście mam "polecony do skrzynki" - data pisma z 25 maja, stempel z 26, dziś rano
- 28 - w skrzynce) potwierdzasz - i dopiero wtedy przelew wychodzi.

Nie wiem, czy mają/mieli tam opcję "zaufanych odbiorców" - bo chyba tylko w ten
sposób dawało się francuskich banków z jakimś sensem przez net korzystać.
Choć zaufani też niewiele pomogą - bo zaufani to właściwie opłata stałych rachunków,
spłata KK i ew. rodzina - więc na potwierdzenie takich przelewów w sumie tydzień
poczekać można - gorzej jedynie, jak się zapomni je z tygodniowym wyprzedzeniem
zlecić - i jedynie tu "zaufanie" mogłoby coś pomóc.

do góry

W dniu czwartek, 28 maja 2020 13:35:03 UTC+2 użytkownik Michal Jankowski napisał:

> Co jest potrzebne do 'odzyskania' hasła do apki?

Hmm, w sumie nigdy nie potrzebowałem.
Mogę się mylić, ale możliwe, że nie ma takiej opcji - pozostaje usunięcie i
zainstalowanie na nowo (a dla power-userów wyczyszczenie wszystkich danych apki) i
ponowne "sparowanie", czyli ustanawianie hasła-pinu do apki.
A ustanawia się to różnie w zależności od banku - od najprostszego podania loginu i
hasła do ST oraz przepisania kodu SMS aż do (być może to już przeszłość, bo było za
trudne) jakichś oczeń wyrafino metod.

do góry