-
21. Data: 2003-07-08 08:14:57
Temat: Re: Zabezpieczenia bankowych serwisow internetowych
Od: Bartol Partol <b...@p...c>
Użytkownik Michał 'Amra' Macierzyński napisał:
> Bartol Partol wrote:
>>9. wniosek - nie jest to idealne rozwiazanie, ale IMHO warte
>>przemyslenia, szczegolnie dla bankow, ktore nie stosuja tokenow i
> kart
>>kodow, tylko same hasla (i ewentualnie limity)
>
> Wiesz - wnioskow racjonalizatorskich ;) i ulatawiajacych korzystanie
> to mozna duzo wyprodukowac. Ale nikt nie patrzy na koszty....
> Jednym z kosztow jest to, ze musisz ten nowy system jakos z kims z
> zewnatrz robic - czy to nie jest w jakis sposob outsourcing? Bo jesli
> tak - to masz prawo bankowe (jeszcze nie znowelizowane). A robienie
> tego we wlasnym zakresie- to wymaga zespolu kilku ludzi, wdrozenia
> projketu - i nie widac znowu duzych zyskow - chyba ze dasz to
Nie rozumiem tego co piszesz, bo wynika z tego, ze bank nie moze
skorzystac z zewnetrznego oprogramowania (w sensie kupienia u dostawcy),
tylko musi je zrobic sam. A jak to sie ma do systemow bankowych jako
takich? Banki same je sobie kleja? Przeciez dobrze wiesz, ze nie.
> wszystkim klientom i tak jak w Inteligo kazesz im za to placic
> (pamietasz - kiedys w Inteligo byly 3 opcje do wybru z SMSami - a nie
> kazdemu to jest potrzebne....).
W Inteligo mozesz placic lub nie, czyli masz teraz dwie opcje. W obu
listach napisalem o opcjonalnosci rozwiazania. Poza tym sadze, ze wielu
klientow jest w stanie zaplacic za dodatkowe, pewniejsze zabezpieczenia.
> To juz lepiej zainwestoweac w tokeny - male, poreczne, mozesz nosic ze
> soba. Jeszcze kazesz zaplacic itp.
Dlaczego lepiej inwestowac w tokeny? Telefony tez sa male poreczne i
nosisz je ze soba zdecydowanie czesciej niz tokeny i do tego mozesz je
wykorzystac do wielu innych rzeczy. Zarowno w przypadku tokenow jak i
jednorazowych hasel musisz zbudowac system obslugi, co kosztuje. A
tokeny kosztuja dodatkowo, wiec stwierdzenie, ze lepiej zainwestowac w
tokeny troche nie trzyma sie kupy.
> Poza gadzetomania i twoim poczuciem bezpieczenstwa nie widze w tym
> momencie uzasadnienia ekonomicznego takiego rozwiazania. To nie jest
> nowy produkt, na ktorym bank moglby zarobic....
No wiesz, w Polsce jest wiele bankow o zabezpieczeniach pozostawiajacych
wiele do zyczenia i bank ofeujacy je na wyzszym poziomie teoretycznie ma
wieksze szanse na rynku, a to jest powod by wydac troche kasy. Czytasz
liste to widzisz, ze jest sporo osob narzekajacych na poziom
zabezpieczen w Citi, Pekao, Millenium (w tym wypadku to jestem m.in ja)
i innych.
Czy ktos wie jaki jest mniej wiecej koszt zbudowania systemu
generujacego hasla jednorazowe? Jesli uzywaja tego opowie komorkowi do
zabezpieczenia dostepu do eboka, to koszt ten nie moze byc duzy. ;-))))
Bartol
-
22. Data: 2003-07-08 23:38:39
Temat: Re: Zabezpieczenia bankowych serwisow internetowych
Od: Krzysztof Halasa <k...@d...pm.waw.pl>
"kashmiri" <kashmiri @ karakorum . prv . pl> writes:
> natomiast np. transmisja protokolem wap, podobnie jak http (internet), jest
> szyfrowana jednorazowymi kluczami, obecnie o sile minimum 128 bitow.
A to nie jest tak, ze ten WAP jest szyfrowany na sprzecie operatora?
Tzn. niezaleznie od szyfrowania w czesci radiowej oraz drugiego szyfrowania
w Internecie, operator widzi clear text?
HTTP oczywiscie szyfrowane jest jest, myslisz raczej o HTTPS. Klucze
tez moga byc roznej dlugosci, np. obciete do 40 bitow.
> rozszyfrowanie takiej transmisji na najlepszym sprzecie na swiecie zajeloby
> kilka-kilkanascie godzin.
Rozszyfrowanie np. 3DES (drobne 112 bitow)? Smiem watpic :-)
DES to inna bajka i to byc moze prawda.
Naturalnie istnieje takze potencjalna mozliwosc, ze ktos zna lepszy
sposob lamania takich rzeczy i moze to zrobic szybciej - ale to juz
nie kwestia sprzetu, a teorii.
--
Krzysztof Halasa
Network Administrator