-
Data: 2005-11-08 08:36:36
Temat: Re: token w bankach
Od: Jacek Osiecki <j...@c...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Dnia Sat, 05 Nov 2005 14:24:12 +0100, Jacek napisał(a):
> On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
><j...@c...pl> wrote:
>>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>>keyloggerem...
> Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
> przechwycił PIN.
Ale taki przypadek wcale nie jest jakiś wielce nieprawdopodobny, jeśli tylko
złodziej zasadzi się na konkretną ofiarę - przyznasz chyba?
> W pozostałych przypadkach oba sposoby *uwierzytelniania* są równoważne
> - znajomość PINu bez posiadania tokena nic nie daje. Nb serwer SecureID
> blokuje token w przypadku próby zgadywania PINów.
Co nie zmienia faktu, że token z klawiaturą wprowadza jeszcze jeden poziom
zabezpieczeń.
>>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>>> - token generuje odpowiedź zależną od wpisanego kodu,
>>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
>>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>>taki atak odporne.
> Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
> (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
> i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
> których mam konta, nie ma takich zabezpieczeń.
Problem w tym, że hash transakcji nic nie mówi użytkownikowi - więc jeśli
złodziej przejmie kontrolę nad komputerem ofiary to może ona nieświadomie
zatwierdzić wysłanie przelewu na jego konto. Być może dla wymagających
użytkowników można by było wprowadzić podwójne zabezpieczenie - najpierw
w tokenie wpisujemy 8 ostatnich cyfr konta, a dopiero gdy przejdziemy ten
etap - wpisujemy hash transakcji. Może uciążliwe, ale miałoby miejsce tylko
przy wpisywaniu kont do stałych przelewów i przy przelewach jednorazowych
a w zamian dawałoby 100% zabezpieczenie konta przed złodziejami.
W TelePekao24 niestety było tylko podpisywanie hasha transakcji :(
>>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>>na konto gazowni albo koleżanki... W Citi zrobi co zechce.
> Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
> tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
> podatki do końca życia ;-)
Pomyliłeś z ZUSem ;)
Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
Następne wpisy z tego wątku
- 08.11.05 08:36 Jacek Osiecki
- 08.11.05 12:12 Grzexs
Najnowsze wątki z tej grupy
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
Najnowsze wątki
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże