Witam,

Prowadze rozmowy z jednym z bankow na temat mozliwosci wdrozenia
systemu autoryzacji za pomoca hasel jednorazowych w oparciu o token
zainstalowany w telefonie komorkowym klienta.

Uzytkownik aplikacje sciaga sobie osobiscie z sieci,
a w zabezpieczonej kopercie z banku otrzymuje:
- PIN (do zapamietania),
- unikalny ID tokenu (do inicjalizacji tokena),

Aby zalogowac sie do systemu bankowego, uzytkownik uruchamia
aplikacje w telefonie, wprowadza PIN, nastepnie telefon
wyswietla na ekraniku 8 znakowe haslo wazne jedna minute.

Jednorazowe haslo generowane jest na podstawie trzech czynnikow:
- PIN ktory uzytkownik ma "w glowie",
- ID tokena wprowadzonego jednorazowo podczas inicjalizacji,
- aktualnego czasu,

Jest to metoda generowanie hasla stosowana przez tokeny produktowane
przez RSA, przeznaczone dla sektora finansowego i rzadowego.

Moja aplikacja zbudowana jest w opariu o technologie Java 2 Micro
Edition (j2me).

Wiecej informacji na temat tego rozwiazania mozna znalezc na:
http://developers.of.pl/projects/celltoken/

Chcialbym poznac opinie uzytkownikow na temat zastosowania
w bankach takiego rozwiazania.

Z powazaniem,

Lukasz Luzar
TigerAudits.com

--
TigerAudits -> etyczny hacking . testy penetracyjne . analiza ryzyka

do góry

"Lukasz Luzar" <l...@t...com> wrote in message
news:Pine.LNX.4.33.0205231352060.16942-100000@core.d
evelopers.of.pl...
> Witam,
>
> Prowadze rozmowy z jednym z bankow na temat mozliwosci wdrozenia
> systemu autoryzacji za pomoca hasel jednorazowych w oparciu o token
> zainstalowany w telefonie komorkowym klienta.

Witam!
Jest troche klopotów
1. Organizacyjne
Trzeba najpierw znalezc jakiegos stosunkowo taniego operatora telefonii
komorkowej. Bank sobie kupi, dalej powinno byc z gorki.
Tak sie sklada bowiem ze karty SIM sa w gestii operatora komórkowego (i
chyba wlasnoscia operatora), wiec bez porozumienia z nim nic nie mozna
robic.
2. Inne. Tokeny RSA dlatego korzystaja z faktora czasu, ze w zalozeniach nic
do nich nie mozna przeslac. Do telefonu komórkowego spokojnie mozna przeslac
rózne rzeczy, przedde wszystkim informacje. Moze byc to na przyklad
zapytanie z banku, na którego tylko wtedy przyjdzie wlasciwa odpowiedz (ze
sluchawki) jesli wlasciciel rozmawia ze swojej komórki (ma wlasciwe klucze
potrzebne do obliczen) i uprzednio podal PIN (bo tak jest alikacja
skonstruowana).
3. Wedlug mnie operator telekomorkowy powinnien wprowadzic taka usluge
(kontroli czy sie mówi z wlasciwego aparatu i czy sie autoryzowal user
lokalnie) bez dedykowanego odbiorcy i dopiero przekonac banków (i klientów
banków) by z tego skorzystali.
4. Ale moze nie zrozumialem idei...

Vizvary

do góry

> Lukasz Luzar


Witam

Oj podejzewam ze ciezko by bylo aktualnie cos takiego w pl wprowadzic.
Przekonac ludzi do tokenow jest ciezko a co dopiero do tokena w phonie.
Pozatym sam telefon nie jest bezpiecznym miejscem na przechowywanie
infomracji.
Banki musialy by sie zgadac z siecia komorkowa, bo raczej to bank by musial
wydawac taki telefon.
Jezeli to klient by dostal parametry jakie ma wprowadzic do telefonu aby
token w phonie dzialal prawidlowo
zrobienie klona nie bylo by wiekszym problemem. Pomysl godny uwagi, ale
wymagajacy dopracowania szczegolow, szczegolnie organizacyjnych.

Pzd Travis



--
Sebastian Grabowski T...@g...pl
Tel. 503 155 127
GG: 18584

do góry

Witam,

> Jest troche klopotów

Czy rzeczywiscie ? Postarm sie wyjasnic ponizej.

> 1. Organizacyjne
> Trzeba najpierw znalezc jakiegos stosunkowo taniego operatora telefonii
> komorkowej. Bank sobie kupi, dalej powinno byc z gorki.
> Tak sie sklada bowiem ze karty SIM sa w gestii operatora komórkowego (i
> chyba wlasnoscia operatora), wiec bez porozumienia z nim nic nie mozna
> robic.

Oprogramowanie dotyczy telefonu, nie karty SIM, zatem zadna wspolpraca
z operatorem nie jest potrzebna. Bank wdrazajacy takie rozwiazanie
nie ponosi *zadnych* dodatkowych kosztow, za wyjatkiem oprogramowania
od strony serwer i tokena.

> 2. Inne. Tokeny RSA dlatego korzystaja z faktora czasu, ze w zalozeniach nic
> do nich nie mozna przeslac. Do telefonu komórkowego spokojnie mozna przeslac
> rózne rzeczy, przedde wszystkim informacje. Moze byc to na przyklad
> zapytanie z banku, na którego tylko wtedy przyjdzie wlasciwa odpowiedz (ze
> sluchawki) jesli wlasciciel rozmawia ze swojej komórki (ma wlasciwe klucze
> potrzebne do obliczen) i uprzednio podal PIN (bo tak jest alikacja
> skonstruowana).

W przypadku CellTokena nie wystepuje transmisja danych pomiedzy siecia
a telefonem. Faktor czasu pochodzi z telefonu. System i token sa wpelni
bezpieczne. Takie sa opinie niezaleznych ekspertow.

> 3. Wedlug mnie operator telekomorkowy powinnien wprowadzic taka usluge
> (kontroli czy sie mówi z wlasciwego aparatu i czy sie autoryzowal user
> lokalnie) bez dedykowanego odbiorcy i dopiero przekonac banków (i klientów
> banków) by z tego skorzystali.

Zaproponowane przez Pana rozwiazanie rodziloby wiele trudnych do
rozwiazania kwestii zwiazanych z bezpieczenstwem. Zreszta zaden bank nie
zgodzi sie na rozwiazanie w ktorym to nie on jest ostatecznie wladnym
przydzielac uprawnienia do swoich zasobow.

> 4. Ale moze nie zrozumialem idei...

W rzeczy samej.

Serdecznie dziekuje za opinie.

Pozdrawiam,

Lukasz Luzar
TigerAudits.com

do góry

Witam,

> Oj podejzewam ze ciezko by bylo aktualnie cos takiego w pl wprowadzic.
> Przekonac ludzi do tokenow jest ciezko a co dopiero do tokena w phonie.

Mnie tez trudno jest przekonac do noszenia kolejnego breloczka ze soba.
W przypadku telefonu i tak zawsze go ze soba mam, wiec tutaj istnieje
znaczacy zysk.

> Pozatym sam telefon nie jest bezpiecznym miejscem na przechowywanie
> infomracji.

Wbrew pozorom dane w telefonie w przypadku technologi j2me mozna
zorganizowac w sposob naprawde bezpieczny. Z drugiej strony
nawet kradziez telefonu nie dawalaby napastnikowi szans na
wlamanie na konto bankowe ofiary, bo prawowity wlasciciel telefonu
ma ze soba (w glowie) druga informacje ktora jest potrzebna do
pomyslnej autoryzacji.

> Banki musialy by sie zgadac z siecia komorkowa, bo raczej to bank by musial
> wydawac taki telefon.

Nie.

> Jezeli to klient by dostal parametry jakie ma wprowadzic do telefonu aby
> token w phonie dzialal prawidlowo
> zrobienie klona nie bylo by wiekszym problemem.

Nie, w tym przypadku nie jest to zagrozeniem. Latwiej sklonowac
karte SIM (oczywiscie majac do niej rowniez fizyczny dostep).

> Pomysl godny uwagi, ale wymagajacy dopracowania szczegolow, szczegolnie
> organizacyjnych.

Dziekuje za opinie.

Pozdrawiam,

Lukasz Luzar
TigerAudits.com

do góry

"Lukasz Luzar" <l...@t...com> wrote in message
news:Pine.LNX.4.33.0205231528370.17789-100000@core.d
evelopers.of.pl...
Witam,

> Jest troche klopotów

Czy rzeczywiscie ? Postarm sie wyjasnic ponizej.

>> 1. Organizacyjne
>> Trzeba najpierw znalezc jakiegos stosunkowo taniego operatora telefonii
>> komorkowej. Bank sobie kupi, dalej powinno byc z gorki.
>> Tak sie sklada bowiem ze karty SIM sa w gestii operatora komórkowego (i
>> chyba wlasnoscia operatora), wiec bez porozumienia z nim nic nie mozna
>> robic.

>Oprogramowanie dotyczy telefonu, nie karty SIM, zatem zadna wspolpraca
> z operatorem nie jest potrzebna. Bank wdrazajacy takie rozwiazanie
> nie ponosi *zadnych* dodatkowych kosztow, za wyjatkiem oprogramowania
> od strony serwer i tokena.

Bank nie ponosi kosztów. Tylko klient musi zakupic ktoregos z top-modeli
(Nokia 3410,Accompli 0008 Motoroli). Może kiedys tanieja telefony z j2me i
nawet nie bedzie innych na rynku. Kiedys. Moze.

>> 2. Inne. Tokeny RSA dlatego korzystaja z faktora czasu, ze w zalozeniach
nic
>> do nich nie mozna przeslac. Do telefonu komórkowego spokojnie mozna
przeslac
>> rózne rzeczy...


> W przypadku CellTokena nie wystepuje transmisja danych pomiedzy siecia
> a telefonem. Faktor czasu pochodzi z telefonu.

No wlasnie. A tak, to by bank generowal zapytanie...

> >Zreszta zaden bank nie
>> zgodzi sie na rozwiazanie w ktorym to nie on jest ostatecznie wladnym
>> przydzielac uprawnienia do swoich zasobow.

?????

Vizvary

do góry

> > Banki musialy by sie zgadac z siecia komorkowa, bo raczej to bank by
musial
> > wydawac taki telefon.
>
> Nie.

Oj jednak raczej by musieli sie dogadac bo jezeli klient mial by placic za
telefon pare tysiecy to by byla usluga dla wybrancow.
A tak telefon w promocji z milym dodatkiem ;-)


Pzd Travis

do góry

Lukasz Luzar wrote:
> Wbrew pozorom dane w telefonie w przypadku technologi j2me mozna
> zorganizowac w sposob naprawde bezpieczny.

Ale takie telefony kosztują astronomiczne kwoty!

--
Greetings, -- mailto:m...@p...fm --
Marcin Cenkier "Let's assume that there's only one truth."

do góry

Telefony wspierajace j2me, obecnie w promocji mozna kupic ponizej 400 PLN.
Szacuje ze za pol roku wiecej niz polowa sprzedawanych na rynku telefonow
bedzie miala takie wsparcie. Technologia j2me staje sie powoli norma.

Z drugiej strony jezeli chodzi o ten rodzaj tokena, to zaden bank nigdy
nie bedzie zmuszal klienta do uzywania tego konkretnego rodzaju
autoryzacji. Uzytkownik sam dokona wyboru, i jezeli uzna ze jego srodki
na koncie sa warte ochrony, zdecyduje sie na rowiazanie takie jak CellToken.

Pozdrawiam,

Lukasz Luzar
TigerAudits.com


On Thu, 23 May 2002, Marcin Cenkier wrote:

> Lukasz Luzar wrote:
> > Wbrew pozorom dane w telefonie w przypadku technologi j2me mozna
> > zorganizowac w sposob naprawde bezpieczny.
>
> Ale takie telefony kosztują astronomiczne kwoty!
>
> --
> Greetings, -- mailto:m...@p...fm --
> Marcin Cenkier "Let's assume that there's only one truth."
>
>

do góry

On Thu, 23 May 2002 15:39:14 +0200, "Travis" <[no_spam]Travis@go2.pl>
wrote:
>Oj podejzewam ze ciezko by bylo aktualnie cos takiego w pl wprowadzic.
>Przekonac ludzi do tokenow jest ciezko a co dopiero do tokena w phonie.

Z obserwacji moge powiedziec, ze token przez wielu przecietnych
klientow jest czesto uwazany za najlepsze zabezpieczenie.
--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl
Moja strona Meat Loafa http://www.meatloaf.3a.pl/
galeria kart bankowych http://www.karty.3a.pl/

do góry