Szymon <...@w...pl> writes:

> Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji
> przelewu to przepisuję go w całości. Tymczasem kod wyświetlony na
> tokenie stanowił jedynie część hasła. Kradzież tokena nie jest zatem
> problemem, bo przepisanie wskazania nic nie da. Przepisanie wskazania
> SMS - owszem.

Nie, wtedy także potrzebne jest hasło - do logowania.

> Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
> bezpieczeństwa?

Tak już przecież jest. Tyle że nie wpisujemy hasła w tym samym czasie,
a nieco wcześniej - różnica nieistotna.

> Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom.

Nie, zakładając, że ktoś czyta treść SMSa i porównuje ją z tym, co
chciał zrobić.

> Tu token także lepiej się sprawdza.

Nie, token nie ma związku z treścią dyspozycji.

> Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
> podstawioną stronę, podaje login/hasło, powiedzmy że się nie
> orientuje, iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy
> mają login, hasło, SMS. Logują się na właściwą i dokonują przelewu.

To wymaga zignorowania treści SMSa. Możliwe, ale jednak mało
prawdopodobne, zwłaszcza jeśli np. suma się (bardzo) nie zgadza.

> W przypadku tokena i fałszywej strony działania hakera musiałby się
> odbyć w tym samym czasie. Czyli logowanie, przelew.

Nie, to robi automat, niezależnie od rodzaju haseł, tokenów itd.
Dla niego bez różnicy.

> Sytuacja jednak
> się komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na
> fałszywce te same pola, o które poprosi hakera oryginalna strona są
> małe.

Dla automatu bez różnicy. Fałszywa strona prosi klienta o te same pola,
których chce bank. Nie ma tu żadnych komplikacji, hasła maskowane,
wpisywane myszą itd. nic w tym kontekście nie zmieniają.

> A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3
> dowolne znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?

Nie, byłoby gorzej - szansa na trafienie 3 znaków to 0,1% - przy ataku
na 1000 osób statystycznie ok. 1 osobę uda się trafić w ogóle bez
dostępu do kodu z tokena.
To obecnie nieistotne oczywiście.

> Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na
> fałszywkę. Chcę zrobić przelew, w znakomitej większości korzystam ze
> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy
> zdefiniowane w systemie. Jeśli zatem widzę, że lista jest pusta to czy
> nie jest to wystarczającym sygnałem ostrzegającym dla klienta, że ze
> stroną coś jest nie tak?

Lista nie jest pusta (dlaczego miałaby być), ale oczywiście zagrożeniem
jest wykonywanie przelewu - lub innej operacji - która wymaga
dodatkowego kodu. Jeśli przelewy na zdefiniowane konta nie wymaga
takiego kodu, to - zakładając że owe konta są bezpieczne - nie ma tu
wielkiego zagrożenia (innego niż późniejsza konieczność odzyskiwania
pieniędzy od np. wspólnoty mieszkaniowej itp).
--
Krzysztof Hałasa