"Tajemniczy wyciek z konta w Kredyt Banku"
http://wiadomosci.gazeta.pl/wiadomosci/1,53600,36897
18.html
Bank odmawia zwrotu pieniędzy okradzionego klienta, bo
"nie stwierdzono nieprawidłowości w pracy serwisu,
ani naruszeń lub prób naruszeń systemu zabezpieczeń".
- Przelew wykonano, posługując się danymi,
które powinien znać tylko ten klient"

A jakie dane są potrzebne do wykonania przelewu w KB?
Do zalogowania:
- 8-cyfrowy identyfikator
- stały 6-cyfrowy pin

do wykonania przelewu:
- ten sam stały 6-cyfrowy pin co do logowania
- wybrane losowo 3 litery z przydzielonego, stałego, 6-literowego hasła
  (klient dostaje na stałe tzw. KB-kartę z identyfikatorem i hasłem)
- wybrane losowo 2 cyfry z Peselu klienta
- 2 znaki przepisane z obrazka widocznego w systemie

Klient nie ma prostej możliwości zmiany hasła ani pinu do logowania
- zmiana jest płatna 5zł i wymaga wizyty w oddziale - wymiana KB-karty.
(Przy okazji nie ma też możliwości ustalenia/zmiany pinu do karty VE/Maestro)

Krótko mówiąc w KB miarą bezpieczeństwa transakcji
jest upierdliwość jej wykonania. Przy takim podejściu
wystąpienie sytuacji jak w powyższym linku to tylko kwestia czasu.
Ktoś ma ochotę założyć konto w KB?;-)

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

S.T. <n...@p...onet.pl> napisał(a):

> Klient nie ma prostej możliwości zmiany hasła ani pinu do logowania
> - zmiana jest płatna 5zł i wymaga wizyty w oddziale - wymiana KB-karty.

To w końcu ma, czy nie ma? Zdecyduj się.
To, że jest to operacja płatna nie oznacza, że nie można jej wykonać ;)

> Krótko mówiąc w KB miarą bezpieczeństwa transakcji
> jest upierdliwość jej wykonania. Przy takim podejściu
> wystąpienie sytuacji jak w powyższym linku to tylko kwestia czasu.
> Ktoś ma ochotę założyć konto w KB?;-)

No wiesz, jeżeli użytkownik nie sprawdza z jaką stroną się łączy, nie sprawdza
certyfikatu, nie dziwi go, że podczas logowania musi podać informacje o które
system nigdy nie pytał, to niech później nie ma pretensji do banku.

Głupich nie sieją...

Pozdrawiam

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Wed, 18 Oct 2006 18:32:24 +0000 (UTC),
osoba podpisana: Manwe <u...@g...pl>
napisała:
> S.T. <n...@p...onet.pl> napisał(a):
>
>> Klient nie ma prostej możliwości zmiany hasła ani pinu do logowania
>> - zmiana jest płatna 5zł i wymaga wizyty w oddziale - wymiana KB-karty.
>
> To w końcu ma, czy nie ma? Zdecyduj się.
> To, że jest to operacja płatna nie oznacza, że nie można jej wykonać ;)

Nie ma P R O S T E J możliwości zmiany hasła. Czytenie ze zrozumieniem
to podstawówka chyba jest.

>
> No wiesz, jeżeli użytkownik nie sprawdza z jaką stroną się łączy, nie sprawdza
> certyfikatu, nie dziwi go, że podczas logowania musi podać informacje o które
> system nigdy nie pytał, to niech później nie ma pretensji do banku.

Chwila. OIDP to "zabaezpieczeniami" w KB są 2 stałe hasła (+pesel),
zainstalowany keylogger nie musi się w żaden sposób ujawniać,
podmieniać certyfikatów itd. On tylko będzie logował naciskane
klawisze ...
I jak, geniuszu, chcesz sprawdzić, czy wszystko jest w porządku czy nie ?
KJ



--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/index.xhtml#f4y
Jak ktoś ma pecha, to złamie ząb podczas seksu oralnego (S.Sokół)

do góry

Kamil Jońca <k...@p...onet.pl> napisał(a):

> Nie ma P R O S T E J możliwości zmiany hasła. Czytenie ze zrozumieniem
> to podstawówka chyba jest.

Zdefiniuj pojęcie PROSTEJ zmiany hasła ;)
Bo jeżeli uważasz, że użytkownik powinien mieć możliwość zmiany hasła np. w
serwisie transakcyjnym to byłoby to na pewno obniżenie poziomu zabezpieczeń.
Jak sądzisz ilu użytkowników zamiast 6 losowo wygenerowanych liter, wybierze
sobie coś łatwego do zapamiętania?
W związku z tym taka, a nie inna procedura zmiany hasła (a w zasadzie wymiana
KB karty) jest jak najbardziej sensowna.

> Chwila. OIDP to "zabaezpieczeniami" w KB są 2 stałe hasła (+pesel),
> zainstalowany keylogger nie musi się w żaden sposób ujawniać,
> podmieniać certyfikatów itd. On tylko będzie logował naciskane
> klawisze ...
> I jak, geniuszu, chcesz sprawdzić, czy wszystko jest w porządku czy nie ?
> KJ
>

Przecież potwierdzając operację w KB24 nie wpisujesz całego hasła z KB karty,
tylko wybrane losowo 3 litery. Co z tego, że keylogger je zapisze? I tak nie
znasz całego hasła.

To nie za pomocą keylogger'a ktoś się włamał na to konto, tylko za pomocą
podstawionej stronki na której gościu podał wszystkie swoje dane.

pozdrawiam serdecznie :)


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Wed, 18 Oct 2006 20:17:53 +0000 (UTC),
osoba podpisana: Manwe <u...@g...pl>
napisała:
> Kamil Jońca <k...@p...onet.pl> napisał(a):
>
>> Nie ma P R O S T E J możliwości zmiany hasła. Czytenie ze zrozumieniem
>> to podstawówka chyba jest.
>
> Zdefiniuj pojęcie PROSTEJ zmiany hasła ;)
> Bo jeżeli uważasz, że użytkownik powinien mieć możliwość zmiany hasła np. w
> serwisie transakcyjnym to byłoby to na pewno obniżenie poziomu zabezpieczeń.
A jakieś uzasadnienie tego, przyznam, nowatorskiego dla mnie poglądu ?


> Jak sądzisz ilu użytkowników zamiast 6 losowo wygenerowanych liter, wybierze
> sobie coś łatwego do zapamiętania?

Jeśli się ich *zmusi* to wszyscy. Odpowiednie narzędzia (np. libpam*,
oracle tez ma coś podobnego) istnieją. Ale trzeba *chcieć* je
zastosować.


> W związku z tym taka, a nie inna procedura zmiany hasła (a w zasadzie wymiana
> KB karty) jest jak najbardziej sensowna.
Jakby to ując: sama kb karta jest bezsensowna. I to czy jest wymieniana
w oddziale czy nie, nie zmienia w znaczący sposób jej (bez) sensowności.

[...]
> Przecież potwierdzając operację w KB24 nie wpisujesz całego hasła z KB karty,
> tylko wybrane losowo 3 litery. Co z tego, że keylogger je zapisze? I tak nie
> znasz całego hasła.
>
A kto powiedział, że keylogger nie funkcjonował tam powiedzmy ...
miesiąc ? Uważasz, że nie mógł (przy średnio aktywnym użytkowniku)
poznać wszystkich znaków ?

> To nie za pomocą keylogger'a ktoś się włamał na to konto, tylko za pomocą
> podstawionej stronki na której gościu podał wszystkie swoje dane.
>

Byłes przy tym ? Bo ja wśród spamu dostaję dużo phishingowych maili (ten
słynny mBanku też dostałem), ale KB nie uświadczyłem. A jakieś inne
metody skłonienia człowieka do wejścia na podmienioną stronę (podmiana DNS na
przykład) to jakoś mi się prostsze od keyloggera nie wydają.

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/index.xhtml#f4y
Anyone can make an omelet with eggs. The trick is to make one with none.

do góry

> Zdefiniuj pojęcie PROSTEJ zmiany hasła ;)
> Bo jeżeli uważasz, że użytkownik powinien mieć możliwość zmiany hasła np. w
> serwisie transakcyjnym to byłoby to na pewno obniżenie poziomu zabezpieczeń.

Widzę, że logika 'upierdliwe = bezpieczne' bardzo Ci pasuje ...
Może w ramach logowania zaproponujesz rozwiązywanie krzyżówki ?;-)

> Jak sądzisz ilu użytkowników zamiast 6 losowo wygenerowanych liter, wybierze
> sobie coś łatwego do zapamiętania?
> W związku z tym taka, a nie inna procedura zmiany hasła (a w zasadzie wymiana
> KB karty) jest jak najbardziej sensowna.

Twierdzisz, że hasło istniejące materialnie (na KBkarcie)
jest bezpieczniejsze od tego, które istnieje wyłącznie w mojej pamięci?

> Przecież potwierdzając operację w KB24 nie wpisujesz całego hasła z KB karty,
> tylko wybrane losowo 3 litery. Co z tego, że keylogger je zapisze? I tak nie
> znasz całego hasła.

Połowa hasła już za jednym logowaniem, toz to mzrzenie hakera ;-P

> To nie za pomocą keylogger'a ktoś się włamał na to konto, tylko za pomocą
> podstawionej stronki na której gościu podał wszystkie swoje dane.

A to, to gdzie wyczytałeś, albo skąd wiesz?


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

S.T. <n...@p...onet.pl> napisał(a):

> > Zdefiniuj pojęcie PROSTEJ zmiany hasła ;)
> > Bo jeżeli uważasz, że użytkownik powinien mieć możliwość zmiany hasła np. w
> > serwisie transakcyjnym to byłoby to na pewno obniżenie poziomu zabezpieczeń.
>
> Widzę, że logika 'upierdliwe = bezpieczne' bardzo Ci pasuje ...
> Może w ramach logowania zaproponujesz rozwiązywanie krzyżówki ?;-)
>

Zgadzam się z tym, że zatwierdzanie operacji w KB24 jest upierdliwe. Jest tak
od momentu gdy wprowadzili konieczność podawania cyfr z PESEL'a i znaczków z
obrazka. O tym nie dyskutujemy ;)
Natomiast jak sądzisz, ilu użytkowników gdyby miało możliwość zmiany hasła
(tego które obecnie jest na KB Karcie) zmieniłoby go na coś prostego = łatwego
do zapamiętania? O tym czym to grozi będzie poniżej ;)

> > Jak sądzisz ilu użytkowników zamiast 6 losowo wygenerowanych liter, wybierze
> > sobie coś łatwego do zapamiętania?
> > W związku z tym taka, a nie inna procedura zmiany hasła (a w zasadzie wymiana
> > KB karty) jest jak najbardziej sensowna.
>
> Twierdzisz, że hasło istniejące materialnie (na KBkarcie)
> jest bezpieczniejsze od tego, które istnieje wyłącznie w mojej pamięci?

Jest bezpieczniejsze w tym sensie, że składa się z losowo wygenerowanych
liter. Nośnik jest mniej istotny ;)

> > Przecież potwierdzając operację w KB24 nie wpisujesz całego hasła z KB karty,
> > tylko wybrane losowo 3 litery. Co z tego, że keylogger je zapisze? I tak nie
> > znasz całego hasła.
>
> Połowa hasła już za jednym logowaniem, toz to mzrzenie hakera ;-P

Wytłumacz, jaki pożytek można zrobić z 3 liter z hasła, nie znając na której
pozycji się znajdują?
Nawet zakładając, że będziesz znał wszystkie litery to i tak nie ułożysz z
nich hasła. A próba wpisywania ich na chybił trafił powoduje zablokowanie
dostępu do KB24 po 3 nieudanej próbie.
Zupełnie inaczej wyglądałaby sytuacja, gdyby użytkownik mógł sam
zmienić/ustalić hasło. Zakładając, że znaczna część ustawiałaby hasło
'słownikowe' to złamanie takiego hasła - znając wszystkie znaki ale nie znając
pozycji - byłoby banalne.

> > To nie za pomocą keylogger'a ktoś się włamał na to konto, tylko za pomocą
> > podstawionej stronki na której gościu podał wszystkie swoje dane.
>
> A to, to gdzie wyczytałeś, albo skąd wiesz?
>

Szklana kula mi powiedziała ;)

Pozdrawiam

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Manwe wrote:
> S.T. <n...@p...onet.pl> napisał(a):

> Wytłumacz, jaki pożytek można zrobić z 3 liter z hasła, nie znając na której
> pozycji się znajdują?

Bardzo prosto: system pyta o 1 - 3 - 5 literę (zawsze w kolejności
rosnącej). Zapewniam cię, że mając wystarczająco dużo próbek odgadniesz
CAŁE hasło bez najmniejszych problemów.

reik.

do góry

Manwe napisał(a):
> Przecież potwierdzając operację w KB24 nie wpisujesz całego hasła z KB karty,
> tylko wybrane losowo 3 litery. Co z tego, że keylogger je zapisze? I tak nie
> znasz całego hasła.

3 litery z 6, po kilku próbach masz wszystkie

do góry

Jacek Popławski wrote:
[...]

> 3 litery z 6, po kilku próbach masz wszystkie

Dajcie spokój, to jakiś troll; na proste pytania nie potrafi odpowiedzieć.

KJ

do góry