eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiOgraniczyć phising...Re: Ograniczyć phising...
« poprzedni post
następny post »
  • Data: 2007-12-18 18:27:00
    Temat: Re: Ograniczyć phising...
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    scream <n...@p...pl> writes:

    > Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
    > Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
    > jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
    > nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
    > - genialne w swej prostocie.
    >
    > Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
    > jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
    > swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
    > musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
    > obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
    > fajnego kociaka i podpisujemy je "mruczuś".

    Glownym problemem w przypadku phishingu jest taki, ze uzytkownik mysli,
    ze korzysta z innego serwera niz jest w istocie. Zadne obrazki ani
    czytniki linii papilarnych tego nie zmienia.

    To, ze akurat istniejacy system podatny jest takze na inne "ataki"
    (jednoczesnie z "man in the middle") tylko ulatwia prace oszustom,
    ale nie zmienia glownego problemu.

    > Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
    > loginu oraz hasła. Teraz jest inaczej.

    Problem w tym, by SSL nie byl wadliwie uzywany, a nie w braku obrazkow.

    > Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
    > phising.

    Niczego nie eliminuje, bo stara sie rozwiazac cos w innym miejscu niz to,
    w ktorym problem sie znajduje.

    > Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
    > nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
    > długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
    > razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
    > płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
    > kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.

    To nie sa rozsadne scenariusze ataku. Rozsadnym jest "MITM", wiadomo bylo
    o tym na dlugo przed wynalezieniem komputera (i w ogole jakichkolwiek
    elektrycznych urzadzen).
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy