Użytkownik "Szymon" napisał w wiadomości grup
dyskusyjnych:qjgrur$144g$...@g...aioe.org...
W dniu 2019-08-20 o 14:46, J.F. pisze:
>> Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
>> zabezpieczenia.

>Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie
>tokena.

Ale to nie to samo co token z klawiaturka, ktorego zlodziej nie
odblokuje.

>> Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
>> bedzie w aplikacji.
>> I tam sie juz haslo moze pojawic.

>Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec
>aplikacji.

Byc moze, ale widac, ze pomysl im sie podoba, a przeciez "kazdy ma
smartfona".

>>> W przypadku tokena i fałszywej strony działania hakera musiałby
>>> się
>>> odbyć w tym samym czasie. Czyli logowanie, przelew.
>
>> Zaden problem - raz oszukales komputer usera, to pewnie jeszcze
>> pare razy oszukasz.

>Czyli zakładasz, że klient będzie kilkanaście/kilkadziesiąt razy
>korzystał z fałszywki, bo haker "zbiera" informację, aby mieć pełne
>hasło przy maskowanym?

Tak.

>>> Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
>>> klient wstuka na fałszywce te same pola, o które poprosi hakera
>>> oryginalna strona są małe.
>
>> Ale haslo jest stale ? To po paru probach ustali pelne haslo.

>Tak, jest stałe. Potrzeba raczej kilkudziesięciu prób.

IMO mniej - zakladajac ze haslo ma np 10 znakow, z ktorych naraz
podajesz 4 czy 5.

A jesli bank nie spyta o ten dziesiaty znak przez kilka logowan ... to
moze do przelewu tez wystarczy 9 znanych.

>W tym czasie fałszywka ma się zachowywać jak prawdziwa? Tzn.
>realizować przelewy itd., aby klient nie zorientował się, że np. nie
>dochodzą i coś jest nie tak?

tak, jakies proxy uwazam za sensowne ... i chyba nawet mialy miejsce w
rzeczywistosci, bo jakby omineli hasla jednorazowe z listy ?
ale nawet jesli nie - tak trudno zasugerowac, ze cos jest zle ?
wysypac przegladarke, zamknac okno, napisac "serwer przeciazony,
sprobuj za kilka minut", czy "haslo nieprawidlowe - wprowadz jeszcze
raz" - i przekierowac na oryginalna strone.

>>> A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
>>> znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?
>
>> IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
>> dokladnie tego samego co bank.

>Masz rację. Wymagane byłoby pewne opóźnienie, ale z punktu widzenia
>klienta może być niezauważalne.

Jak bedzie realizowal komputer - to niezauwazalnie male.

>> W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
>> mozna probowac w ciemno, a noz sie trafi ..
>To mało prawdopodobne.

1:1000. Tysiac prob i trafiles. Robiac dwie dziennie - efekt w ciagu
niecalych dwoch lat.
Ale majac namierzonych 10 frajerow - juz co dwa miesiace.

Pytanie tylko czy bank wczesniej nie zareaguje, bo zlicza te nieudane
proby ... albo podejrzany mu sie wyda adres IP ktory tak czesto sie
myli ..

J.