Użytkownik "Szymon" napisał w wiadomości grup
dyskusyjnych:qjgork$m5b$...@g...aioe.org...
W dniu 2019-08-20 o 13:05, J.F. pisze:
>> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie
>> bedzie widac gdzie bardziej wytarte ?

>Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji
>przelewu to przepisuję go w całości. Tymczasem kod wyświetlony na
>tokenie stanowił jedynie część hasła. Kradzież tokena nie jest zatem
>problemem,

Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
zabezpieczenia.

>bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS -
>owszem.
>Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
>bezpieczeństwa?

No, samym sms niewiele zrobisz - ciagle trzeba wpisac jakies haslo.
Tzn mam nadzieje, ze w tej nowej PSD2 tak bedzie.

Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
bedzie w aplikacji.
I tam sie juz haslo moze pojawic.

>Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS
>przestępcom.

Jesli sie nie myle - to takowe juz istnieja.

>Tu token także lepiej się sprawdza.

Ale sie gorzej sprawdza w kwestii informacji co autoryzujesz.
Wrecz w ogole sie nie sprawdza.

> Ale w kombinacji hasło+SMS samo przejęcie SMSa nie będzie miało
> poważnych konsekwencji.

>Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
>podstawioną stronę, podaje login/hasło, powiedzmy że się nie
>orientuje, iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy
>mają login, hasło, SMS. Logują się na właściwą i dokonują przelewu.

A jak zainstaluja wirusa, to im nawet przepisanie SMS niepotrzebne.

>W przypadku tokena i fałszywej strony działania hakera musiałby się
>odbyć w tym samym czasie. Czyli logowanie, przelew.

Zaden problem - raz oszukales komputer usera, to pewnie jeszcze pare
razy oszukasz.

>Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
>klient wstuka na fałszywce te same pola, o które poprosi hakera
>oryginalna strona są małe.

Ale haslo jest stale ? To po paru probach ustali pelne haslo.

>A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
>znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?

IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
dokladnie tego samego co bank.

W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
mozna probowac w ciemno, a noz sie trafi ..

J.