On Thu, 12 Dec 2024 23:46:33 +0100, nadir wrote:
> W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:
>> Na taj stronie to taki bez przycisków akurat ;P
> To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat
> przycisk.
> https://pl.wikipedia.org/wiki/Token_(generator_kod%C
3%B3w)#/media/Plik:Token_Verisign.JPG
> Dodatkowo cytat ze strony:
> "Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie
> posiadają przycisku lub posiadają tylko jeden przycisk wywołujący
> wyświetlenie kodu."

Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
biurku ...

J.

do góry

W dniu 13.12.2024 o 13:46, J.F pisze:

> Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
> biurku ...

Ale to jest ten drugi etap uwierzytelniana, wcześniej trzeba jeszcze
znać login i hasło.
Poza tym telefon też można ukraść/zgubić/zostawić na biurku, o
bezpieczeństwo trzeba odpowiednio zadbać. No i na taki token ma jeszcze
jedną zaletę, nikt się na niego nie włamie.

do góry

W dniu 13 gru 2024 o 15:50, nadir pisze:

> Poza tym telefon też można ukraść/zgubić/zostawić na biurku

Telefony czasami są zabezpieczone hasłami...

Ktoś kiedyś (ponoć zawodowiec) złamał takie zabezpieczenie -- SIMKą,
której wpisał kilkakrotnie zły PIN i którą odblokował PUKiem, przy
okazji odblokowując cały telefon...

--
`_._ _,-'""`-._ .`'.-. ._. .-.
(,-.`._,'( |\`-/| '.'O`-,` .,; o.' eneuel@@gmail.com '.O_'
`-.-' \ )-`( , o o) `-:`-'.'.`\.'.' '~'~'~'~'~'~'~'~' o.`.,t
-bf- `- \`_`"'-.o'\:/.d`|'.p \; https://www.eneuel.ct8.pl \|/..s

do góry

W dniu 13.12.2024 o 16:06, Eneuel Leszek Ciszewski pisze:

> Telefony czasami są zabezpieczone hasłami...

A tokeny można zabezpieczyć w sejfie, szufladzie, pod poduszką. Co kto woli.

do góry

On Fri, 13 Dec 2024 15:50:55 +0100, nadir wrote:
> W dniu 13.12.2024 o 13:46, J.F pisze:
>> Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
>> biurku ...
>
> Ale to jest ten drugi etap uwierzytelniana, wcześniej trzeba jeszcze
> znać login i hasło.
> Poza tym telefon też można ukraść/zgubić/zostawić na biurku, o
> bezpieczeństwo trzeba odpowiednio zadbać.

ale telefon ma hasło czy dwa.

> No i na taki token ma jeszcze
> jedną zaletę, nikt się na niego nie włamie.

Natomiast ma też wadę, że nie wiadomo co się autoryzuje.
To na wypadek, jak trafisz na fałszywą stronę, czy ktoś przechwyci
ruch.

I tu by się przydało, że np klawiszami wklepujesz w token kwotę,
i jego kod tylko tę kwotę autoryzuje.

Albo jakas szyfrowana łączność bank -> token i wyświetlacz na nim.

No i wszystko to ma apka na telefonie.

J.

do góry

On Thu, 12 Dec 2024, nadir wrote:

> W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:
>
>> Na taj stronie to taki bez przycisków akurat ;P
>
> To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat
> przycisk.

Rzeczywiście, na powiększeniu widać.
Na małym zdjęciu wyglądało jak dziura z widocznym w niej tłem.
Tzn. oczywiście wiem, że widzę coraz gorzej :(

> https://pl.wikipedia.org/wiki/Token_(generator_kod%C
3%B3w)#/media/Plik:Token_Verisign.JPG
> Dodatkowo cytat ze strony:
> "Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie posiadają
> przycisku lub posiadają tylko jeden przycisk wywołujący wyświetlenie kodu."

Czyli prawdziwy token Jamesa Bonda.
Moje miały przez cały czas wyświetlanie.

To właściwie po co ten guzik? Dla "bezpieczeństwa"?
Bo jak widać nie dla oszczędzania baterii.

Swoją drogą w tych tokenach zawsze mnie zachwycała stabilność zegarka.
Jak oni zrobili taki, co przez 5 lat mylił się max. 5s (przyjmuję, że
większy błąd przy zmianie co 60s powodowałby już bezużyteczność,
choć były też takie, które miały też pokazywane odliczanie tego czasu
i zalecenia w instrukcji, że jak "zostawało już mało kreseczek"
to trzeba było poczekać na nowy kod - choć to z kolei nie chroniło
zbytnio przed przyśpieszeniem).

do góry

Dawid Andrzej Rutkowski <d...@w...pl> writes:

[...]
>
> Swoją drogą w tych tokenach zawsze mnie zachwycała stabilność zegarka.
> Jak oni zrobili taki, co przez 5 lat mylił się max. 5s (przyjmuję, że
Nie zrobili.
W momencie werfyikacji był sprawdzany nie tylko "bieżący" token, ale też
"poprzedni" (z poprzedniego okna czasowego) i "następny" gdy okazało
się, że pasuje np. następny - sytem weryfikujący odpowiednio korygował
dryf czasu.
(Przynajmniej tak to jest zrobione tam gdzie widziałem)

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/
Uwolnić słonia !!!

do góry

Date: Wed, 11 Dec 2024 16:49:30
From: nadir
> W dniu 11.12.2024 o 16:20, J.F pisze:

>> Uwaga - Firefox przy każdej aktualizacji traci to potwierdzenie,
>> i karta kodów się szybko skończy.

> Wiem, ale wyłączenie aktualizacji FF rozwiązuje ten problem.

>> Tylko czy PKOBP ma jeszcze karty kodów?

> Ma, nawet wydaje nowe karty jak skończą się kody na starej, nie wiem
> tylko czy dla nowo założonych kont można sobie wybrać ten fjuczer?

>> Wydaje mi się, że najchętniej to na apkę przechodzą,
>> aczkolwiek ... reklamują własnie klucze sprzętowe.

> To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
> innego producenta tego przy niektórych mailach, ale jakoś przed
> bankowością mam opory.

Moim zdaniem właśnie w bankowości ma to sens, bo jest to o wiele
trudniejsze do nadużycia przez przestępców. W szczególności jest odporne
na ataki Man-in-the-middle.

>> Może to jest rozwiązanie
>>
>> https://www.pkobp.pl/klient-indywidualny/aplikacja-i
ko-ipko/bezpieczenstwo/logowanie-z-kluczem-bezpiecze
nstwa

> Jeżeli to klucz tylko do logowania, to nie rozwiązuje problemu, bo nadal
> trzeba by apką potwierdzać przelewy, a właśnie z tym jest problem.

A to fakt. Po pierwsze powinno to zastępować wszelkie potwierdzenia w
apce, a po drugie powinna być opcja dodania co najmniej dwóch kluczy.
Pisałem do obsługi klienta, to odpisali, że jak więcej klientów
zarejestruje klucze, to może dodadzą.

Pozdrawiam,
Dominik
--
Fedora https://fedoraproject.org
Deep in the human unconscious is a pervasive need for a logical universe that
makes sense. But the real universe is always one step beyond logic.
-- from "The Sayings of Muad'Dib" by the Princess Irulan

do góry

Dominik 'Rathann' Mierzejewski <_...@g...net> writes:

>> To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
>> innego producenta tego przy niektórych mailach, ale jakoś przed
>> bankowością mam opory.
>
> Moim zdaniem właśnie w bankowości ma to sens, bo jest to o wiele
> trudniejsze do nadużycia przez przestępców. W szczególności jest odporne
> na ataki Man-in-the-middle.

Raczej wątpię. Nie wiem o jaki klucz chodzi, ale na MITM to może być
odporna aplikacja w telefonie, a nawet SMSy (aczkolwiek są tam inne
zagrożenia, i pozostaje kwestia tego, gdzie jest ten MITM). Natomiast
w jaki sposób taki klucz miałby chronić przed MITM?

Takie klucze chronią przed np. użyciem danej usługi przez kogoś innego
np. w środku nocy, bez wiedzy ofiary (że w ogóle coś się dzieje). Ale
do ochrony przed MITM potrzebne jest bezpieczne urządzenie, które będzie
służyć jako interface użytkownika przy danej operacji - taki klucz
raczej nie ma takiej funkcji.
--
Krzysztof Hałasa

do góry