eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankibezpieczenstwo ING ONLINERe: bezpieczenstwo ING ONLINE
  • Data: 2005-06-30 12:31:47
    Temat: Re: bezpieczenstwo ING ONLINE
    Od: mysterious <v...@p...usunto.onet.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    A tu napisalem jeszcze co mozna zrobic aby bezpieczniej korzystac z ING
    ONLINE:

    Tekst ten został napisany aby przestrzedz użytkowników internetowych
    kont bankowych przed złodziejami, a jak się okaże wcale nie trzeba
    posiadać specjalistycznej wiedzy aby takim złodziejem się stać.. Uwaga!
    Zagrożenie jest ogromne!!! Artykuł powstał po obserwacji internetowego
    systemu ING ON-LINE Banku Śląskiego. Jakie zabezpieczenia posiadają inne
    systemy bankowe - nie wiem.
    Ok, no to zaczynamy...

    HASŁO DOSTĘPU
    Podczas zakładania konta w ING ON-LINE podajemy hasło dostępu do
    systemu. Powinno ono być jak najdłuższe jakie tylko się da. Ponadto
    hasło nie może zawierać żadnych danych kojarzących się z nami, z naszą
    rodziną, przyjaciółmi, ulubionymi zespołami, itp. Propopuję wykonać
    sobie program do szyfrowania tekstu (lub skorzystać z gotowego) i wpisać
    prosty, łatwy do zapamiętania zespół słow, a następnie go zaszyfrować.
    Dzięki temu nie będziemy musieli zapamiętywać skomplikowanego zespołu
    znaków. Oczywiście system zablokuje dostęp do konta internetowego po
    trzech błędnych próbach odgadnięcia hasła, ale czy to aby wystarczy?
    Nie, ponieważ od momentu gdy właściciel konta zaloguje się poprawnie,
    znów mamy możliwość dwóch prób wejścia. Dlaczego dwóch? No bo jedno
    złodziej zostawi dla właściciela aby poprawnie się zalogował.. Metodą
    taką chyba jednak nikt nie będzie nawet zamierzał złamać naszego hasła
    :) Powód? Zbyt czasochłonne i mało efektywne. Dodatkowo osoba włamująca
    się nie wie jakiej długości jest hasło, gdyż system podczas logowania
    nie wymaga wpisywania całego hasła a jedynie pięciu wylosowanych znaków,
    które zajmują odpowiednią pozycję w naszym hasełku. Ktoś pomyśli że w
    takim razie bardzo trudno będzie kiedykolwiek odgadnąć to hasło. Ale nic
    bardziej mylnego! Istnieją przecież takie keyloggery (nazwy nie będę
    pojawiał z wiadomo jakich względów), które umożliwiają logowanie
    wszystkiego tego co zostanie wpisane z klawiatury, a następnie wysyłanie
    logów na maila złodzieja, "hackera". Ponadto umożliwiają wykonywanie
    zrzutów danego okna, okien, lub całego obrazu z monitora do pliku
    graficznego? Co to może dać? Otóż gdy logujemy się do systemu - gdy
    wpisujemy hasło - program robi print screena i osoba nie porządana może
    już wiedzieć w jakim miejscu naszego hasła są dane znaki. Po kilku
    takich logowaniach można zebrać w całość całe hasło dostępu! I zapewniam
    że wcale nie jest to trudne, nawet wtedy gdy posiadamy odpowiednie
    oprogramowanie antywirusowe!!! Przecież nie wszystkie keyloggery są
    przez nie wykrywalne, a już nie wspomnę o programach pisanych do
    konkretnego zadania. Ale im więcej zabezpieczeń, tym większa szansa, że
    nic nieprzewidzianego nie zdaży się na naszym rachunku. Dlatego należy
    zainstalować dobre programy antywirusowe i firewalle, które są często
    aktualizowane.

    KLUCZE
    Podczas zakładania konta dostajemy parę kluczy: klucz publiczny oraz
    prywatny. Dają one możliwość szyfrowania przesyłanych informacji do
    banku i jednocześnie uniemożliwiają wykonywanie operacji bankowych
    osobom trzecim - nie posiadającym naszego klucza prywatnego. Bank Śląski
    daje nam do wyboru dwie możliwości: zapisać wygenerowany klucz prywatny
    na własnym serwerze lub na dysku naszego komputera. Pomyślisz, że
    przechowywanie go na serwerze będzie dla ciebie wygodniejsze, ponieważ
    umożliwi ci dostęp wszędzie tam gdzie tylko będziesz miał dostęp do
    internetu. Jednak rozwiązanie takie ma jedną wadę! Zabezpieczenie w tym
    przypadku będzie polegało tylko na haśle dostępu do tego klucza! Dlatego
    najlepiej skorzystać z drugiej opcji i zapisać dany klucz na własnym
    komputerze (płycie, dyskietce). Jednak jeśli chcemy korzystać z systemu
    nie tylko z danego miejsca i jednocześnie nie zamierzamy nosić ze sobą
    zapisanego na płycie klucza, to najlepszym rozwiązaniem będzie zapisanie
    go na jakimś serwerze ftp, np. poprzez założenie konta www w jednym z
    darmowych serwisów i umieszczenie tam naszego klucza. Dzieki temu tylko
    my będziemy wiedzieć gdzie on się znajduje. Ponadto nasz klucz prywatny
    będzie zabezpieczony hasłem, które sami podajemy. Rada podobnie jak w
    przypadku hasła dostępu: wymyślamy jak najdłuższe hasło jakie tylko się
    da. Hasło nie może zawierać żadnych danych kojarzących się z nami, z
    naszą rodziną, przyjaciółmi. Jednak nie powinno ono być takie same jak
    hasło dostępu do ING ON-LINE. Dodatkowo radzę wymyślać hasło zawierające
    również cyfry, które będziemy wpisywać na klawiaturze numerycznej (nie z
    shiftem). Dlaczego? Ponieważ niektóre keyloggery nie odczytują właśnie
    cyfr wpisanych tym sposobem, co skutecznie moze utrudnic odgadniecie
    hasla!!!

    Na zakończenie dodam, że nie ma 100% metody uchronienia się przed
    atakiem na nasze oszczędności w internetowych systemach bankowych. Co za
    problem przecież stworzyć własnego robaka internetowego, niewykrywalnego
    przez antywirusy, który będzie się rozsyłał po sieci, zbierał informacje
    o użytkownikach posiadających konta bankowe i wysyłał zebrane dane na
    maila lub serwer ftp. Przekonaliśmy się o tym niedawno, gdy grupa
    hakerów okradła klientów pewnego banku na miliony złotych...


Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1