Kamil Jońca napisał(a):

> I sądzisz, ze to byłoby mniej upierdliwe ?

Tak.

> Poza tym wydaje mi sie, ze już mBankowi zwrócono uwagę na ten problem, i
> mBank _deklarował_, że już się 2 razy o to samo hasło nie spyta. Tyle
> tylko, ze praktyka jakby temu przeczyła. Tak więc niektóre banki
> przynajmniej _chcą_ stosować takie podejście. Tyle, że nie bardzo im
> wychodzi. :-)

Widocznie jakiś tego powód jest. A nad zabezpieczeniami mBanku i
inteligo nie siedziało dwóch gości przy piwie...

do góry

Krzysztof Halasa napisał(a):

>>Uważam, że jeśli zmienię zdanie zanim podam albo nawet zanim zdrapię
>>kod i system następnym razem spyta o następny kod, to to NIE MA SENSU.
>
> Nie, to jest jedyne sensowne wyjscie. Z punktu widzenia bezpieczenstwa,
> a nie wygody - ale chyba hasla jednorazowe maja zapewniac bezpieczenstwo
> a nie wygode?

Jest jeszcze ekonomia. W tym przypadku znacznie podwyższy się koszt
związany z kartami kodów - częstsza wysyłka, produkcja i takie tam.
Ale przyznam, że konkretnych wartości nie podam.

> Jesli istnieje taka mozliwosc, ze da sie powtornie uzyc kodu, o ktory
> system zapytal juz wczesniej (a wiec byc moze uzytkownik juz go
> probowal uzyc), to prawdopodobnie ktos, kto to projektowal, nie rozumial
> zasad uzywania kodow jednorazowych.

Hmmm... Z tego wynika, że wszyscy którzy projektowali inteligo/mBank i
inne takie i którzy zajmują się bezpieczeństwem na bieżąco nie rozumieją
zasad używania kodów jednorazowych. Można i tak...

> Gdyz? Gdyz zmarnuje sie "kod"?

Na przykład.

> A jesli to nie Ty sie pomylisz, tylko
> proxy po drodze zmieni kod, zeby intruz mogl go wykorzystac za minute
> do swoich celow?

Hmmm... Dobry argument... Przemyślę. :-)

do góry

Dnia Wed, 16 Mar 2005 22:05:09 +0100,
osoba podpisana: Wojciech Nawara <u...@n...WYTNIJ.info>
napisała:
> Krzysztof Halasa napisał(a):
>
>>>Uważam, że jeśli zmienię zdanie zanim podam albo nawet zanim zdrapię
>>>kod i system następnym razem spyta o następny kod, to to NIE MA SENSU.
>>
>> Nie, to jest jedyne sensowne wyjscie. Z punktu widzenia bezpieczenstwa,
>> a nie wygody - ale chyba hasla jednorazowe maja zapewniac bezpieczenstwo
>> a nie wygode?
>
> Jest jeszcze ekonomia. W tym przypadku znacznie podwyższy się koszt
Dlaczego "znacznie" ? Ile razy mylisz się przy wpisywaniu hasła ?
[..]
>> A jesli to nie Ty sie pomylisz, tylko
>> proxy po drodze zmieni kod, zeby intruz mogl go wykorzystac za minute
>> do swoich celow?
>
> Hmmm... Dobry argument... Przemyślę. :-)
Hmm. Ode mnie tego argumentu nie chciałeś przyjąć ;-(
KJ


--
Rowery treningowe, siłownie, sprzęt sportowy http://www.fitness4you.pl
"Uchodzic za idiote w oczach kretyna - to rozkosz dla smakosza"
[Georges Courteline]

do góry

Kamil Jonca napisał(a):

>>Jest jeszcze ekonomia. W tym przypadku znacznie podwyższy się koszt
>
> Dlaczego "znacznie" ? Ile razy mylisz się przy wpisywaniu hasła ?
> [..]

Nieczęsto, ale zdarzyło mi się parokrotnie. Zdecydowanie częściej zdarza
mi się zaakceptować transakcję, ale jej nie potwierdzić kodem, bo mi się
odwidziało...

>>Hmmm... Dobry argument... Przemyślę. :-)
>
> Hmm. Ode mnie tego argumentu nie chciałeś przyjąć ;-(

Bo ja prosty chłop jestem, od łopaty, mnie trzeba prosto z mostu, bez
ogródek. ;-)

do góry

Łukasz Cielecki napisał(a):

> Czy takie coś zwiększyło by bezpieczeństwo? Któż to wie... :) Mam
> wrażenie, że w pewnych momentach mogłoby nawet zmniejszyć. Dla
> przykładu: mamy sesję z bankiem, a jakiś wredny typ urządza atak typu
> man in the middle. Po wpisaniu kodu wysyła on do naszej przeglądarki
> jakąś informację o błędzie po czym sam realizuje własną transakcję na
> tym kodzie jednorazowym. Teraz:

Mylisz się.
Jeśli udałoby się komuś przeprowadzić atak typu man in the middle to nie
ma znaczenia czy bank pyta 2 razy o ten sam kod czy nie. I tak będziesz
na straconej pozycji - dostanie poprawny kod a tobie wyświetli cokolwiek ;-)

Bardziej prawdopodobny scenariusz - trojan !

> Scenariusz 1: bank pyta o ten sam kod 2 razy - przy próbie powtórzenia
> operacji od razu widać, że coś jest nie tak bo jeśli nasz kod został
> wykorzystany to pytanie o kolejny będzie dla nas sygnałem, że jednak
> jakaś operacja została wykonana.
>

No i już wiesz, że zostałeś okradziony - kod został przechwycony i może
być użyty bo następnym bank się o niego spyta.

> Scenariusz 2: bank nie pyta 2 razy o ten sam kod - przy próbie
> powtórzenia dostajemy pytanie o kolejny. A co się stało z poprzednim?
> Nie wiadomo i może byc problem z ustaleniem (bo działalność wrednego
> typa wcale nie musi być tożsama z jakąś operacją w historii rachunku -
> może to być np. odblokowanie kanału dostępu, który później będzie użyty
> do niecnych celów).

A jaki został wysłany do banku przy twojej operacji ? Nie ma znaczenia -
kolejnego atakujący jeszcze nie zna.

Pozdrawiam

do góry

Wojciech Nawara napisał(a):
> Krzysztof Halasa napisał(a):
>
> Jest jeszcze ekonomia. W tym przypadku znacznie podwyższy się koszt
> związany z kartami kodów - częstsza wysyłka, produkcja i takie tam.
> Ale przyznam, że konkretnych wartości nie podam.

Bez przesady !
Jak często się mylisz 1 na 10, 1 na 5 co daje odpowiednio 10 lub 20 %
więcej użytych kodów.

>
> Hmmm... Z tego wynika, że wszyscy którzy projektowali inteligo/mBank i
> inne takie i którzy zajmują się bezpieczeństwem na bieżąco nie rozumieją
> zasad używania kodów jednorazowych. Można i tak...
>

Jesteś pewien, że projektanci tych systemów byli "wybitnymi"
specjalistami od bezpieczeństwa systemów.
A może tak "wyszło" - programiści nie lubią się przemęczać.

Pozdrawiam

do góry

> Scenariusz 2: bank nie pyta 2 razy o ten sam kod - przy próbie
> powtórzenia dostajemy pytanie o kolejny. A co się stało z poprzednim?

To bez znaczenia,
bo jeśli nie zatwierdził TAMTEJ operacji
stał się bezwartościowym ciągiem cyfr.

> Nie wiadomo i może byc problem z ustaleniem ...
Nieprawda, odpowiedź akapit wyżej

I tu docieramy do miejsca, w którym nie widzę zagrożenia
przed powtórnym użyciem tego samego hasła, pod warunkiem,
że będzie ono związane z _tą_jedyną_ operacją,
którą miało zatwierdzić.
Przecież wystarczy aby system przy każdej innej operacji
żądał kolejnego hasła, o _tą_ może pytać kilka razy,
(bez żadnej możliwości jej modyfikacji)
aż do zablokowania listy/kanału dostępu.

Z opisu Cezara wynika, że w I-go tak nie jest,
a w m/MB? Można to przećwiczyć...


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

S.T. napisał(a):
>>Scenariusz 2: bank nie pyta 2 razy o ten sam kod - przy próbie
>>powtórzenia dostajemy pytanie o kolejny. A co się stało z poprzednim?
>
>
> To bez znaczenia,
> bo jeśli nie zatwierdził TAMTEJ operacji
> stał się bezwartościowym ciągiem cyfr.

Dlaczego? Przecież cała ta dyskusja toczy się na temat tego, że tak
właśnie nie jest.

W scenariuszu 2 było właśnie założenie, że kod nie staje się ciągiem
bezwartościowym.

do góry

XYrl napisał(a):

>> Czy takie coś zwiększyło by bezpieczeństwo? Któż to wie... :) Mam
>> wrażenie, że w pewnych momentach mogłoby nawet zmniejszyć. Dla
>> przykładu: mamy sesję z bankiem, a jakiś wredny typ urządza atak typu
>> man in the middle. Po wpisaniu kodu wysyła on do naszej przeglądarki
>> jakąś informację o błędzie po czym sam realizuje własną transakcję na
>> tym kodzie jednorazowym. Teraz:
>
>
> Mylisz się.
> Jeśli udałoby się komuś przeprowadzić atak typu man in the middle to nie
> ma znaczenia czy bank pyta 2 razy o ten sam kod czy nie. I tak będziesz
> na straconej pozycji - dostanie poprawny kod a tobie wyświetli cokolwiek
> ;-)

Przecież właśnie to napisałem! Chodziło mi o łatwiejszą możliwość
wykrycia _faktu_ przechwycenia.

do góry

> On 2005-03-15 20:25, cezar wrote:
>
> > Kawałek prozy, ale na faktach autentycznych
>
> Słyszał ktoś o fakcie nie autentycznym, coś w stylu "cofnął się do
> tyłu". To tak troszeczkę OT, ale nie mogłem się powtrzymać. ;)
>
> --
> Peet
Owszem są np "fakty prasowe".

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry