-
Data: 2019-08-20 14:46:07
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: "J.F." <j...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Użytkownik "Szymon" napisał w wiadomości grup
dyskusyjnych:qjgork$m5b$...@g...aioe.org...
W dniu 2019-08-20 o 13:05, J.F. pisze:
>> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie
>> bedzie widac gdzie bardziej wytarte ?
>Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji
>przelewu to przepisuję go w całości. Tymczasem kod wyświetlony na
>tokenie stanowił jedynie część hasła. Kradzież tokena nie jest zatem
>problemem,
Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
zabezpieczenia.
>bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS -
>owszem.
>Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
>bezpieczeństwa?
No, samym sms niewiele zrobisz - ciagle trzeba wpisac jakies haslo.
Tzn mam nadzieje, ze w tej nowej PSD2 tak bedzie.
Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
bedzie w aplikacji.
I tam sie juz haslo moze pojawic.
>Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS
>przestępcom.
Jesli sie nie myle - to takowe juz istnieja.
>Tu token także lepiej się sprawdza.
Ale sie gorzej sprawdza w kwestii informacji co autoryzujesz.
Wrecz w ogole sie nie sprawdza.
> Ale w kombinacji hasło+SMS samo przejęcie SMSa nie będzie miało
> poważnych konsekwencji.
>Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
>podstawioną stronę, podaje login/hasło, powiedzmy że się nie
>orientuje, iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy
>mają login, hasło, SMS. Logują się na właściwą i dokonują przelewu.
A jak zainstaluja wirusa, to im nawet przepisanie SMS niepotrzebne.
>W przypadku tokena i fałszywej strony działania hakera musiałby się
>odbyć w tym samym czasie. Czyli logowanie, przelew.
Zaden problem - raz oszukales komputer usera, to pewnie jeszcze pare
razy oszukasz.
>Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
>klient wstuka na fałszywce te same pola, o które poprosi hakera
>oryginalna strona są małe.
Ale haslo jest stale ? To po paru probach ustali pelne haslo.
>A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
>znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?
IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
dokladnie tego samego co bank.
W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
mozna probowac w ciemno, a noz sie trafi ..
J.
Następne wpisy z tego wątku
- 20.08.19 14:49 Wojciech Bancer
- 20.08.19 14:52 J.F.
- 20.08.19 15:02 Wojciech Bancer
- 20.08.19 15:17 Szymon
- 20.08.19 15:40 J.F.
- 20.08.19 16:08 Wojciech Bancer
- 20.08.19 16:12 Szymon
- 20.08.19 16:15 Szymon
- 20.08.19 16:30 J.F.
- 20.08.19 16:58 Animka
- 20.08.19 17:00 Szymon
- 20.08.19 17:07 Pete
- 20.08.19 17:15 Dawid Rutkowski
- 20.08.19 17:36 Wojciech Bancer
- 20.08.19 20:55 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
Najnowsze wątki
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...