Re: token w bankach - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › token w bankach › Re: token w bankach

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Jacek <k...@n...gazeta.pl>
Newsgroups: pl.biznes.banki
Subject: Re: token w bankach
Date: Sat, 05 Nov 2005 14:24:12 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 60
Message-ID: <i...@4...com>
References: <djsik8$shg$1@achot.icm.edu.pl> <djslo2$5om$1@atlantis.news.tpi.pl>
<s...@j...home> <dkarbl$34d$1@news.onet.pl>
<s...@p...ani>
<b...@4...com>
<s...@j...home>
NNTP-Posting-Host: chello084010214246.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1131197052 28607 84.10.214.246 (5 Nov 2005 13:24:12 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Sat, 5 Nov 2005 13:24:12 +0000 (UTC)
X-Antivirus-Status: Clean
X-Newsreader: Forte Agent 1.92/32.572
X-User: kecajn
X-Antivirus: avast! (VPS 0544-8, 2005-11-04), Outbound message
Xref: news-archive.icm.edu.pl pl.biznes.banki:368263
[ ukryj nagłówki ]
On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
<j...@c...pl> wrote:

>...
>> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
>> SecureID), dają więc taką samą jakość uwierzytelniania (aka
>> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
>> wprowadza się z klawiatury.
>
>Nie dają.
>Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
>jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
>poznał hasła dostępu do konta internetowego ofiary.
>
>Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
>wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...
>
>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>keyloggerem...

Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
przechwycił PIN. W pozostałych przypadkach oba sposoby
*uwierzytelniania* są równoważne - znajomość PINu bez posiadania
tokena nic nie daje. Nb serwer SecureID blokuje token w przypadku
próby zgadywania PINów.

>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>> - token generuje odpowiedź zależną od wpisanego kodu,
>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
>> którą chcemy autoryzować (challenge/response).
>> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.
>
>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>taki atak odporne.

Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
(jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
których mam konta, nie ma takich zabezpieczeń.

> ...
>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>na konto gazowni albo koleżanki... W Citi zrobi co zechce.

Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
podatki do końca życia ;-)

Pozdrawiam,

Jacek