Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
>> transakcji.
>Rozwiąże bardzo ładnie.

Smiem twierdzic, ze nie - o ile nie bedzie mial kanalu lacznosci z
banku.

>> Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli
>> SMS
>> "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

>A po co kolejny telefon. Dostęp radiowy, niepotrzebny i
>niebezpieczny.

Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
podobne rozwiazania.
Niewrazliwe na oswietlenie, male ekrany itp.

>> lub przepisac do
>> tokena dlugi, zaszyfrowany, kod operacji.

>No nie, bez przesady. Jasne że skaner QR kodu.
>Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.

Na jedno wychodzi - podpis dlugi, a danych malo :-)

>Wynik może być kilkucyfrowym "PINem", nie trzeba tego wtykać do
>żadnego
>USB.

Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
USB.

>> No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth,
>> ...
>> ale prosciej chyba bedzie GSM ...
>Wszystkie powyższe są niebezpieczne, w sensie takim, że narażają
>"telefon" na ataki za pośrednictwem skomplikowanych, potencjalnie
>(i praktycznie) wadliwych bezprzewodowych metod dostępu.

Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
niebezpieczny.
Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
kodu :-)

>> Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
>> Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
>> dziury w bezpieczenstwie nie bylo.

>Nie można jednak nie zauważyć, że sposób dostępu do banku został
>ustalony przez bank. Bank jest "pro" i przecież przeprowadził analizę
>ryzyka.

kradziez tokena i podstawienie falszywego bank tez powinien
przewidziec czy wystarczy zapis, ze klient jest zobowiazany
przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
:-)

J.

do góry

Użytkownik "Marek" napisał w wiadomości grup
On Fri, 29 Apr 2016 14:12:36 +0200, Imka <s...@g...pl>
>> Wydzwaniać z ofertami to mogą, ale zadzwonić do klienta, który by
>> sobie
>> tego życzył, w momencie realizacji przelewu większego niż X
>> ustawiony
>> przez klienta, to już nie?

>PKO BP tak ma taki limit kwoty powyżej której dzwonią. Niestety
>oficjalnie nie mówią jaki to limit. Kiedyś zrobiłem test i wyszło że
>zaczynają dzwonić gdy przelew był pow. 18k.

Taa - przelewam grubsza kwote miedzy oszczednosciowym a ROR ... i cos
nie przechodzi.
No to przelalem mniejszymi kwotami.

Za pare godzin telefon czy autoryzuje przelew.
A nawet kilka przelewow, bo probowalem kilka razy :-)

Ale pochwalic - jak autoryzowalem, to nie przeszedl, z braku srodkow
:-)

J.

do góry

Użytkownik "Imka" napisał w wiadomości grup
Dnia Fri, 29 Apr 2016 15:13:47 +0200, J.F. napisał(a):
>>>Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
>>>Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
>>>bankowości mobilnej. Nie loguję się spoza Polski. Nie robię
>>>przelewu
>>>większego niż X.
>
>> Skoro ustawianych ze strony, to moze je sobie hacker ustawic.

>Każda operacja na zabezpieczeniach potwierdzana hasłem jednorazowym.
>SMSowym, z odpowiednią treścią SMSa typu "Potwierdzenie
>blokady/zdjęcia
>blokady logowania spoza Polski". Sądzę, że takiej treści nawet
>roztargniony user by nie przegapił.

A przeczytalas od czego sie zaczelo ?
Telefon klienta sam zaczal sms obslugiwac.

>Lub jeszcze lepiej hasłem z listy TAN - chyba mniej jest kradzieży
>list
>TAN niż zhackowanych telefonów. Aczkolwiek zaporowa cena TAN w mBanku
>odstrasza i wymusza niejako przejście na (IMO!) mniej bezpieczny
>system
>potwierdzania.

Bardziej bezpieczny pod jednym wzgledem - podajac haslo z listy tak
naprawde nie wiesz co autoryzujesz.
SMS zawiera informacje.
Czyli najlepiej jakby byly oba hasla, albo np do przelewow sms, a do
zmian limitow TAN.

Ale mbank o tym slyszec nie chce :-)

>>>Operacje które naruszają powyższe założenia -
>>>potwierdzać telefonicznie (o, zabolało bank?), z nieco większym
>>>maglem autoryzacyjnym niż zazwyczaj.
>
>> Myslisz, ze nie zaczna sie falszywe autoryzacje ?
>> Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
>> zdobyc.

>No cóż, Twoja kasa, Twoje zasady. Albo dbasz o swoją kasę i
>pamiętasz,
>albo masz to gdzieś. Ostatecznie tak zupełnie wszystkiego na bank bym
>nie zwalała ;->

Ja tez nie, ale hasla podanego raz wiele lat temu na pewno nie
zapamietam.
A korzystac z banku "bez hasla nie oddamy pana pieniedzy" to bym sie
troche bal skorzystac :-)
Bank tez to rozumie, i w rezultacie ta dodatkowa autoryzacja jest taka
sobie ...

J.

do góry

"J.F." <j...@p...onet.pl> writes:

>>> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
>>> transakcji.
>>Rozwiąże bardzo ładnie.
>
> Smiem twierdzic, ze nie - o ile nie bedzie mial kanalu lacznosci z
> banku.

Ależ będzie miał, oczywiście. Jednokierunkową.

>> A po co kolejny telefon. Dostęp radiowy, niepotrzebny i
>> niebezpieczny.
>
> Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
> podobne rozwiazania.
> Niewrazliwe na oswietlenie, male ekrany itp.

QR kod działa w praktyce bezproblemowo. Także w przypadku małego ekranu,
tych danych tam nie musi być nie wiadomo ile (bank na ekranie 4,3" jest
IMHO praktycznie nieużywalny, ale kod QR nie jest tu żadnym problemem).

Jeśli już w obecnych czasach bank proponuje nowe rozwiązanie, to powinno
to być rozwiązanie bezpieczne i wygodne. Zwłaszcza że można to zrobić
bez problemu.

> Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
> USB.

Ta koncepcja mi się nie podoba :-)

> Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
> niebezpieczny.

Nie, skaner QR kodu jest prosty, stosy np. WiFi, GSM, TCP/IP itd. takie
nie są.

> Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
> ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
> kodu :-)

USB ma jeszcze tę dodatkową wadę, że zmusza użytkownika do ufania
bankowemu tokenowi. Skąd wiadomo, jako co się ten USB przedstawi, i co
każe zainstalować. Kamera tego nie zrobi.

Poza tym tablety, kioski bez dostępu do USB itd.

> kradziez tokena i podstawienie falszywego bank tez powinien
> przewidziec czy wystarczy zapis, ze klient jest zobowiazany
> przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
> :-)

Kradzież - PIN przy starcie tokena.
Fałszywy bank - podpis cyfrowy komunikatu dla tokena.
Wszystko powinien przewidzieć.
--
Krzysztof Hałasa

do góry

Tez potwierdzam ze ok 20k powoduje ze juz beda dzwonic a przele wyglada jakby
"poszedl" (PKO BP).

Dzwonia od 7 rano i budza... trzeba uwazac. Zreszta kto trzyma tam wieksza
gotowke gdy oprocentowania prakrycznie nie ma?

do góry

Dnia Fri, 29 Apr 2016 19:50:38 +0200, J.F. napisał(a):

>>Każda operacja na zabezpieczeniach potwierdzana hasłem jednorazowym.
>>SMSowym, z odpowiednią treścią SMSa typu "Potwierdzenie
>>blokady/zdjęcia
>>blokady logowania spoza Polski". Sądzę, że takiej treści nawet
>>roztargniony user by nie przegapił.
>
> A przeczytalas od czego sie zaczelo ?
> Telefon klienta sam zaczal sms obslugiwac.

A.
No to jeszcze lepiej - kolejny kamyczek do ogródka jakie to
bezpieczeństwo takie hasła SMS na super nowoczesnych smartfonach ;-P

>>Lub jeszcze lepiej hasłem z listy TAN - chyba mniej jest kradzieży
>>list
>>TAN niż zhackowanych telefonów. Aczkolwiek zaporowa cena TAN w mBanku
>>odstrasza i wymusza niejako przejście na (IMO!) mniej bezpieczny
>>system
>>potwierdzania.
>
> Bardziej bezpieczny pod jednym wzgledem - podajac haslo z listy tak
> naprawde nie wiesz co autoryzujesz.

A tutaj to nie wiem czy się zgodzić. Oczka mam. Czytać nauczyli jeszcze
przed podstawówką. Czy hakerzy są w stanie podesłać mi takiego wirusa,
żeby podczas jakiejś normalnej *mojej* operacji na stronie banku wymusić
autoryzację nie tej operacji a jakiejś innej? (od czasu wirusa ctrl+c,
ctrl+v numery kont sprawdzam zawsze, żeby nie było ;)

Wydaje mi się że dość istotne, to być na bieżąco i wiedzieć co w trawie
piszczy i czym mogą zaskoczyć.
Zacznę się bać po donosach, że zaufanym odbiorcom "coś" pozmieniało
numery kont...

Ok, zgoda, na Banatrix rady nie widzę. Ale na niego chyba(?) i SMS nie
poradzi, skoro nawet w historii rachunku widać prawidłowy numer konta, a
dopiero na potwierdzeniu przelewu ten złodziejski.
Swoją drogą - jak to możliwe? Trzyma historię w cache czy co?
http://samcik.blox.pl/2015/05/Kradna-SMS-y-autoryzac
yjne-podmieniaja-numery.html
Szkoda że nie napisał jaki to bank.


> SMS zawiera informacje.
> Czyli najlepiej jakby byly oba hasla, albo np do przelewow sms, a do
> zmian limitow TAN.
>
> Ale mbank o tym slyszec nie chce :-)

Jeszcze parę takich wyroków to może słuch mu się poprawi ;->

>>> Myslisz, ze nie zaczna sie falszywe autoryzacje ?
>>> Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
>>> zdobyc.
>
>>No cóż, Twoja kasa, Twoje zasady. Albo dbasz o swoją kasę i
>>pamiętasz,
>>albo masz to gdzieś. Ostatecznie tak zupełnie wszystkiego na bank bym
>>nie zwalała ;->
>
> Ja tez nie, ale hasla podanego raz wiele lat temu na pewno nie
> zapamietam.

E? Cyfrowe tobym jeszcze rozumiała, ale słowne? To w ilu bankach trzeba
mieć konta żeby zapomnieć? :)


> A korzystac z banku "bez hasla nie oddamy pana pieniedzy" to bym sie
> troche bal skorzystac :-)

No, zawszeć możesz zaszczycić osobą własną jakiś oddział, wylegitymować
się dowodem osobistym (sprawdzić czy jeszcze ważny! ;) i sobie zwrot
kasy wynegocjować :)

> Bank tez to rozumie, i w rezultacie ta dodatkowa autoryzacja jest taka
> sobie ...

Była fajna dziesięć lat temu, teraz kod pocztowy adresu
korespondencyjnego i/lub nazwisko panieńskie matki po prostu mnie
rozczulają.

--
Imka

do góry

On 4/29/2016 11:24 AM, Krzysztof Halasa wrote:
> witek <w...@g...pl> writes:
>
>>> Czyli user autoryzowany to tylko ten, z którym bank ma umowę a nie ten,
>>> który się autoryzuje mechanizmami autoryzacyjnymi oferowanymi przez bank.
>>
>> Nareszcie ktoś to zauważył.
>
> Zasadniczo to było jasne od zawsze. Nie dla banków pewnie.
>

no na tej grupie to chyba dalej nie wszyscy zauwazyli.

do góry

On 4/29/2016 11:33 AM, Krzysztof Halasa wrote:
> No nie, bez przesady. Jasne że skaner QR kodu.
> Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.


tak zupełnie obocznie mi sie przypomnialo.

Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.

do góry

W dniu 2016-04-29 o 20:12, Krzysztof Halasa pisze:

>>>> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
>>>> transakcji.
>>> Rozwiąże bardzo ładnie.
>>
>> Smiem twierdzic, ze nie - o ile nie bedzie mial kanalu lacznosci z
>> banku.
>
> Ależ będzie miał, oczywiście. Jednokierunkową.

Dwukierunkową: klawiaturę i wyświetlacz.

do góry

W dniu 2016-04-29 o 12:45, J.F. pisze:

>
> Mbank ma/mial karty kodow jednorazowych, ale postanowil je wycofac.
>

Ja jeszcze takowe posiadam (czynne) - zdrapki do inteligo tyż :)
- co zupełnie nie przeszkadza mi w korzystaniu np. z NFC ;)

Pozdro

do góry