eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPSD2 mBank i pewnie nie tylko...Re: PSD2 mBank i pewnie nie tylko...
  • Data: 2019-08-28 10:44:51
    Temat: Re: PSD2 mBank i pewnie nie tylko...
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    "J.F." <j...@p...onet.pl> writes:

    >> Różnica nieistotna - założenie jest takie że złodziej, który ma dostęp
    >> do komputera ofiary, nie ma dostępu do tokena (innego niż gdy user
    >> wpisuje kod z tokena).
    >
    > Ale ten token jednak mozna ukrasc.

    Założenie jest takie, że jeśli złodziej ma dostęp do dwóch różnych
    (uznawanych za bezpieczne) metod komunikacji z (w tym przypadku)
    bankiem, to sprawa jest pozamiatana.

    Można podnieść poprzeczkę, ale to się raczej nie kalkuluje nikomu.
    Poza tym, jeśli złodziej uzyskał dostęp do 2 kanałów, to zapewne będzie
    w stanie uzyskać dostęp do ich dowolnej liczby - nie jest to
    przypadkowy, masowy atak.

    >> W przypadku botnetu, który "jest obecny" na 300 tysiącach komputerów -
    >> może nawet nieco szybciej.
    >
    > Szybciej moze wzbudzic podejrzenia banku, chyba ze masz na mysli 300
    > tys komputerow klientow ...

    No tak - przecież z tego składa się botnet. Tzn. to nie muszą być
    klienci konkretnego banku, oczywiście.

    > Za to na pewno sie przyda 300 tys roznych IP - pojedyncza nieudana
    > proba autoryzacji nie wzbudzi podejrzenia banku.

    Owszem. Tak właściwie, różnych IP jest zwykle mniej niż różnych
    komputerów.
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1