-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Jacek <k...@n...gazeta.pl>
Newsgroups: pl.biznes.banki
Subject: Re: token w bankach
Date: Sat, 05 Nov 2005 14:24:12 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 60
Message-ID: <i...@4...com>
References: <djsik8$shg$1@achot.icm.edu.pl> <djslo2$5om$1@atlantis.news.tpi.pl>
<s...@j...home> <dkarbl$34d$1@news.onet.pl>
<s...@p...ani>
<b...@4...com>
<s...@j...home>
NNTP-Posting-Host: chello084010214246.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1131197052 28607 84.10.214.246 (5 Nov 2005 13:24:12 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Sat, 5 Nov 2005 13:24:12 +0000 (UTC)
X-Antivirus-Status: Clean
X-Newsreader: Forte Agent 1.92/32.572
X-User: kecajn
X-Antivirus: avast! (VPS 0544-8, 2005-11-04), Outbound message
Xref: news-archive.icm.edu.pl pl.biznes.banki:368263
[ ukryj nagłówki ]On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
<j...@c...pl> wrote:
>...
>> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
>> SecureID), dają więc taką samą jakość uwierzytelniania (aka
>> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
>> wprowadza się z klawiatury.
>
>Nie dają.
>Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
>jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
>poznał hasła dostępu do konta internetowego ofiary.
>
>Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
>wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...
>
>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>keyloggerem...
Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
przechwycił PIN. W pozostałych przypadkach oba sposoby
*uwierzytelniania* są równoważne - znajomość PINu bez posiadania
tokena nic nie daje. Nb serwer SecureID blokuje token w przypadku
próby zgadywania PINów.
>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>> - token generuje odpowiedź zależną od wpisanego kodu,
>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
>> którą chcemy autoryzować (challenge/response).
>> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.
>
>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>taki atak odporne.
Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
(jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
których mam konta, nie ma takich zabezpieczeń.
> ...
>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>na konto gazowni albo koleżanki... W Citi zrobi co zechce.
Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
podatki do końca życia ;-)
Pozdrawiam,
Jacek
Następne wpisy z tego wątku
- 05.11.05 16:23 blad
- 05.11.05 19:50 Perek
- 07.11.05 08:07 Grzexs
- 07.11.05 21:50 blad
- 08.11.05 08:36 Jacek Osiecki
- 08.11.05 08:36 Jacek Osiecki
- 08.11.05 08:36 Jacek Osiecki
- 08.11.05 12:12 Grzexs
Najnowsze wątki z tej grupy
- Ile pieniędzy ma bank?
- Zwrot towaru i kasy od sprzedawcy a zmiana plastiku
- Szaleństwo w BOS-iu - 8,1% :D
- Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- Obcokrajowcy w bankach
- Wysokie ceny nieruchomości... ;)
- Dlaczego takie preferencje banków?
- Awaria BNP Paribas
- Citi Handlowy promocja na kartę kredytową
- czy zablokują mi środki?
- Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- Zamykanie konta dziecka.
- Czy apka bankowa to gra komputerowa?
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
Najnowsze wątki
- 2025-03-05 Ile pieniędzy ma bank?
- 2025-03-04 Zwrot towaru i kasy od sprzedawcy a zmiana plastiku
- 2025-03-03 Szaleństwo w BOS-iu - 8,1% :D
- 2025-02-22 Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- 2025-02-18 Obcokrajowcy w bankach
- 2025-02-13 Wysokie ceny nieruchomości... ;)
- 2025-02-10 Dlaczego takie preferencje banków?
- 2025-02-03 Awaria BNP Paribas
- 2025-01-23 Citi Handlowy promocja na kartę kredytową
- 2025-01-21 czy zablokują mi środki?
- 2025-01-09 Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- 2024-12-31 Zamykanie konta dziecka.
- 2024-12-31 Czy apka bankowa to gra komputerowa?
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile