Re: Płatne hasła papierowe w mBanku - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Płatne hasła papierowe w mBanku › Re: Płatne hasła papierowe w mBanku

Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
s.nask.org.pl!feed.news.interia.pl!not-for-mail
From: Tristan <n...@s...pl>
Newsgroups: pl.biznes.banki
Subject: Re: Płatne hasła papierowe w mBanku
Date: Mon, 06 Apr 2009 07:39:47 +0200
Organization: Niezorganizowany
Lines: 33
Message-ID: <grc3m5$9kv$1@news.interia.pl>
References: <gr5fu9$qt4$1@news.interia.pl> <gr5ort$2e2$2@news.onet.pl>
<gr7cpq$6nj$1@news.onet.pl>
<c...@f...googlegroups.com>
<gr7h26$gev$2@news.onet.pl> <gr7gmh$4fm$1@srv.cyf-kr.edu.pl>
<gr7i2s$ig3$3@news.onet.pl> <gr7i4l$55s$1@srv.cyf-kr.edu.pl>
<gr7ju8$ggi$2@news.interia.pl> <gr8g0f$f8c$1@nemesis.news.neostrada.pl>
<gr9ht8$ugl$3@news.interia.pl> <gr9vb0$8p1$1@nemesis.news.neostrada.pl>
<graj7s$bsm$1@news.interia.pl> <grb32t$kf$1@nemesis.news.neostrada.pl>
NNTP-Posting-Host: s3.zabrze.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8Bit
X-Trace: news.interia.pl 1238995462 9887 213.227.67.131 (6 Apr 2009 05:24:22 GMT)
X-Complaints-To: u...@n...interia.pl
NNTP-Posting-Date: Mon, 6 Apr 2009 05:24:22 +0000 (UTC)
X-Authenticated-User: przemyslaw.smiejek % interia+pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:482642
[ ukryj nagłówki ]
W odpowiedzi na pismo z niedziela 05 kwiecień 2009 21:58
(autor MarcinF
publikowane na pl.biznes.banki,
wasz znak: <grb32t$kf$1@nemesis.news.neostrada.pl>):

>>> login i haslo moze byc przechwycone przez prostego trojana,
>> To trzeba nie mieć prostego trojana.
> gdybysmy zakladali ze nie klienci nie maja trojanow i ze nikt im
> hasel logowania nie poglada to nie potrzebne bylyby hasla jednorazowe :)

No nie, byłyby... Hasło logowania można przechwycić/podejrzeć łatwiej.
Poza tym, hasło moje np. zna czy tam znało w pewnych momentach kilka osób.

> nawet gdyby haslo do wygenerowanie pierwszej listy przez www bylo
> przesylane inna droga, to potem wystaczyloby poznac pojedyncze haslo
> by wygenerowac sobie nowe listy i potwierdzic juz dowolna liczbe
> operacji, co by pozwolilo na likwidacje ewentualnych depozytow
> i wyprowadzanie srodkow malymi porcjami nie budzacymi podejrzen banku

I usera, któremu nagle jego lista przestała działać? Przecież tylko 1 lista
może być aktywna.

> w dodatku strasznie by to uproscilo ataki typu man in the middle,
> wystarczyloby jedynie monitorowac sesje z bankiem i zapisywac
> nowo generowane listy hasel

Czy taki atak na łącze SSL jest możliwy faktycznie?

--
Tristan

Kupię płyty/kasety/mp3/cokolwiek z płyty Mydełko Fa 2