-
Data: 2006-07-01 11:17:35
Temat: Re: Stanowisko banku
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Michal <s...@j...be> writes:
> Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
> to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
> konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
> zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
> sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").
Stary, zrozum w koncu ze kody jednorazowe (jakie by one nie byly)
nie sa tylko po to by utrudniac uczciwym ludziom zycie, a po to,
by ktos znajacy tylko haslo "wejsciowe" nie mogl zrobic przelewu.
> Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
> + PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
> wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.
Tak, wlasnie o taki przypadek chodzi. Co wiecej, kody jednorazowe
z definicji maja wlasnie przed takim "przypadkiem" zabezpieczac.
Jesli atakujacy nie zna "PINu", to jakie znaczenie ma to, czy te kody
SMSowe sa, czy tez ich nie ma?
> Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
> algorytm, jakim generowane są kody przez token,
Co tu jest do rozwazania, te algorytmy sa publicznie znane (np. SecurID).
> albo pracownik drukarni ma
> na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).
Kody jednorazowe nie sa drukowane w drukarni. Spreparowanie wlasnej
listy nie da dokladnie nic - nie da sie jej nawet aktywowac.
Jest bardzo istotna roznica pomiedzy kodami SMS i normalnymi (a takze
tokenami). Kazde z tych rozwiazan przestaje dzialac jesli pracownik
banku z odpowiednimi uprawnieniami dokonuje manipulacji (np. jesli
drukuje druga kopie listy hasel, wysyla SMS na swoj telefon, albo
uzywa "programowego" tokena korzystajac z bazy "seedow" banku).
Jednakze listy hasel i tokeny sa dosc dobrze zabezpieczone przed
ingerencja niezaleznej od banku i klienta osoby trzeciej. W przypadku
telefonu wystarczy po prostu ukrasc telefon - listy hasel ani tokena
nie musimy wszedzie nosic ze soba.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 01.07.06 12:03 Krzysztof
- 01.07.06 12:09 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- Obcokrajowcy w bankach
- Wysokie ceny nieruchomości... ;)
- Dlaczego takie preferencje banków?
- Awaria BNP Paribas
- Citi Handlowy promocja na kartę kredytową
- czy zablokują mi środki?
- Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- Zamykanie konta dziecka.
- Czy apka bankowa to gra komputerowa?
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
Najnowsze wątki
- 2025-02-22 Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- 2025-02-18 Obcokrajowcy w bankach
- 2025-02-13 Wysokie ceny nieruchomości... ;)
- 2025-02-10 Dlaczego takie preferencje banków?
- 2025-02-03 Awaria BNP Paribas
- 2025-01-23 Citi Handlowy promocja na kartę kredytową
- 2025-01-21 czy zablokują mi środki?
- 2025-01-09 Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- 2024-12-31 Zamykanie konta dziecka.
- 2024-12-31 Czy apka bankowa to gra komputerowa?
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
ATAL kontynuuje inwestycję Skwer Harmonia
