eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki400 tysięcy "wyparowało" z mBankuRe: Stanowisko banku
« poprzedni post
następny post »
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
    s.nask.org.pl!newsfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not-for-m
    ail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Stanowisko banku
    Date: Sat, 01 Jul 2006 13:17:35 +0200
    Organization: tp.internet - http://www.tpi.pl/
    Lines: 43
    Message-ID: <m...@d...localdomain>
    References: <e...@r...thg> <7...@n...onet.pl>
    <e7us47$70h$1@inews.gazeta.pl> <4...@i...pl>
    <e814u0$509$1@inews.gazeta.pl> <m...@d...localdomain>
    <1fahz4ws2oojs.e02lgtsnb93a$.dlg@40tude.net>
    <m...@d...localdomain>
    <14rjsgbn9l080.19b3ni0hdcohm$.dlg@40tude.net>
    NNTP-Posting-Host: cqk167.neoplus.adsl.tpnet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8bit
    X-Trace: atlantis.news.tpi.pl 1151752683 24266 83.31.242.167 (1 Jul 2006 11:18:03
    GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Sat, 1 Jul 2006 11:18:03 +0000 (UTC)
    Cancel-Lock: sha1:EcLKg0MUPPKCBi6K/+zGIbajU0g=
    Xref: news-archive.icm.edu.pl pl.biznes.banki:389759
    [ ukryj nagłówki ]

    Michal <s...@j...be> writes:

    > Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
    > to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
    > konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
    > zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
    > sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").

    Stary, zrozum w koncu ze kody jednorazowe (jakie by one nie byly)
    nie sa tylko po to by utrudniac uczciwym ludziom zycie, a po to,
    by ktos znajacy tylko haslo "wejsciowe" nie mogl zrobic przelewu.

    > Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
    > + PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
    > wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.

    Tak, wlasnie o taki przypadek chodzi. Co wiecej, kody jednorazowe
    z definicji maja wlasnie przed takim "przypadkiem" zabezpieczac.
    Jesli atakujacy nie zna "PINu", to jakie znaczenie ma to, czy te kody
    SMSowe sa, czy tez ich nie ma?

    > Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
    > algorytm, jakim generowane są kody przez token,

    Co tu jest do rozwazania, te algorytmy sa publicznie znane (np. SecurID).

    > albo pracownik drukarni ma
    > na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).

    Kody jednorazowe nie sa drukowane w drukarni. Spreparowanie wlasnej
    listy nie da dokladnie nic - nie da sie jej nawet aktywowac.

    Jest bardzo istotna roznica pomiedzy kodami SMS i normalnymi (a takze
    tokenami). Kazde z tych rozwiazan przestaje dzialac jesli pracownik
    banku z odpowiednimi uprawnieniami dokonuje manipulacji (np. jesli
    drukuje druga kopie listy hasel, wysyla SMS na swoj telefon, albo
    uzywa "programowego" tokena korzystajac z bazy "seedow" banku).
    Jednakze listy hasel i tokeny sa dosc dobrze zabezpieczone przed
    ingerencja niezaleznej od banku i klienta osoby trzeciej. W przypadku
    telefonu wystarczy po prostu ukrasc telefon - listy hasel ani tokena
    nie musimy wszedzie nosic ze soba.
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy