eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiSposoby logowania się .Re: Sposoby logowania się .
  • Data: 2010-09-22 07:17:24
    Temat: Re: Sposoby logowania się .
    Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]


    Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
    news:m3tylivrom.fsf@intrepid.localdomain...
    >
    >> Ja nie sugeruję, że ona ma nie mieć żadnej pamięci ma tylko nie mieć
    >> możliwości uruchamiania w niej załadowanych programów.
    >> Gdyby można było wpisać jej klucz publiczny tego (tych) z kim ma się
    >> łączyć to powinno chyba wystarczyć do stwierdzenia z kim się łączy.
    >
    > A jak chcesz ten klucz tam wpisac?
    >
    Z wpisywaniem informacji jawnej (klucz publiczny) nie powinno być jakichś
    specjalnych kłopotów. Gorzej z zabezpieczeniem, aby bez świadomości
    użytkownika nie można było go podmienić.

    >> Tak samo komputer, gdyby bezpieczny kanał był klawiatura-bank to
    >> penetracja PC nie byłaby groźna.
    >
    > Nic z tych rzeczy - co z tego ze wiemy komu podajemy haslo, jesli nie
    > wiemy, jaka operacje wlasnie zlecamy? Trojany zmieniajace zawartosc
    > polecenia przelewu pojawily sie juz jakis czas temu.
    >

    Zakładałem bezpieczny kanał i nie sądzę, aby te trojany robiły to w
    bezpiecznym kanale (raczej na jego końcu). Ale jakby tak przyblokować jedno
    zero lecące z tej bezpiecznej klawiatury na ekran to użytkownik pomyślałby,
    że klawisz nie zadziałał i nacisnąłby ponownie no i poszłoby o jedno zero
    więcej.

    Bez dostępu do bezpiecznego kanału atakujący nie mógłby (chyba) zlecić
    zaplanowanego przez siebie przelewu, ale namieszać mógłby za wiele, aby
    nadal bronić takiego rozwiązania.
    Więc przyznaję, że kanał do wyświetlacza też musi być niedostępny - zostaje
    dedykowany komputer.

    > Potrzebna jest klawiatura (przynajmniej 1 klawisz do zatwierdzania,
    > przypuszczalnie trzeba wprowadzac np. PIN albo w ogole haslo -> uklad
    > QWERTY) oraz wyswietlacz.

    Przekonałeś mnie.

    >> Tematem wątku jest logowanie, a nie fraudy.
    >
    > Samo logowanie jest nieistotnym epizodem w tym kontekscie. Istotne sa
    > a) bezpieczenstwo zlecanych operacji, b) zachowanie ich w tajemnicy.

    Nie brałem dotychczas pod uwagę w ogóle b), a warunek b) od razu
    dyskwalifikuje bezpieczną klawiaturkę z mało bezpiecznym monitorem.
    P.G.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1