Zastanawiam sie nad zabezpieczeniami stosowanymi w bankowsci internetowej. W
Polsce standardem staja sie kody SMS (czy to osobne dla kazdej transakcji jak
w mbanku czy jeden na cala sesje jak w Fortisie). Natomiast nie zauwazylem
zeby zagraniczne banki przesiadaly sie na kody SMS, tam nadal kroluja tokeny,
wiekszosc bankow nie ma hasla maskowanego nie mowiac juz o klawiaturze
ekranowej (ktore u nas tez sa juz standardem).
Co na ten temat sadzicie? Jakie metody zabezpieczen stosowane w bankach
preferujecie, jak powinien byc zabezpieczony idealny e-bank?

Rozne banki stosuja diametralnie rozne zabezpieczenia, zawsze twierdzac ze ich
model jest idealny - a jak jest w rzeczywistosci, jaki wybrac bank, zeby byl
odpowiednio zabezpieczony a przy tym przyjadny i wygodny - czy moze taki
kompromis nie istnieje?

Mam nadzieje ze uda nam sie powymieniac opiniami i wybrac idealnie
zabezpieczony e-bank :-)

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

piotr wrote:
> Mam nadzieje ze uda nam sie powymieniac opiniami i wybrac idealnie
> zabezpieczony e-bank :-)

Witam,

Wydaje mi się, że te wszystkie kody, kombinowane hasła (hasło + kod z
tokena) itd itd to wstawianie krat do domu bez zamka w drzwiach - by
uspokoić 'lud'. Jeśli można obciążyć konto na kilka tysięcy PLN tylko na
podstawie numeru karty i nazwiska (nawet bez tego dod. kodu), to te
upierdliwe kody sms nie na wiele się zdadzą. A poza podstawianiem
fałszywych stron banków, nie słyszałem o sytuacji aby ktoś został
okradziony od strony dostępu on-line. A o fraudach na karcie - dość
często słychać...

P.

do góry

Piotr wrote:

>
> Wydaje mi się, że te wszystkie kody, kombinowane hasła (hasło + kod z
> tokena) itd itd to wstawianie krat do domu bez zamka w drzwiach - by
> uspokoić 'lud'. Jeśli można obciążyć konto na kilka tysięcy PLN tylko na
> podstawie numeru karty i nazwiska (nawet bez tego dod. kodu), to te
> upierdliwe kody sms nie na wiele się zdadzą. A poza podstawianiem
> fałszywych stron banków, nie słyszałem o sytuacji aby ktoś został
> okradziony od strony dostępu on-line. A o fraudach na karcie - dość
> często słychać...

Od przekrętu na karcie jesteś chroniony ustawą a od fałszywego przelewu
nie masz żadnej ochrony. Z tego też powodu transakcje kartowe są
monitorowane i sprawdzane a przelewy banki mają głęboko w czterech
literach, bo nic im nie zrobisz jak z konta ci wypłynie 100k PLN (pokażą
ci logi, że "sam" dokonałeś przelewu)
Dlatego zabezpieczenie transakcji online jest wielokrotnie ważniejsze
niż transakcji kartowych. Fraudy kartowe popełniane są w skali masowej,
ale mało kto z posiadaczy kart na nich naprawdę ucierpi. Natomiast jak
ci podstawią stronę banku np. poprzez "DNS poisoning" to nie masz
żadnych szans na odzyskanie kasy od banku.

--
-=Darek=-

do góry

Piotr wrote:

> Wydaje mi się, że te wszystkie kody, kombinowane hasła (hasło + kod z
> tokena) itd itd to wstawianie krat do domu bez zamka w drzwiach - by
> uspokoić 'lud'.

nie do konca, gdyby zrezygnowac z hasel jednorazowych i uzywac
hasel stalych to tak jakby w ogole nie bylo drzwi, musi byc
jakas obrona przed trojanami i phishingiem

> A poza podstawianiem
> fałszywych stron banków, nie słyszałem o sytuacji aby ktoś został
> okradziony od strony dostępu on-line.

falszywa strona sama w sobie moze posluzyc do wyludzenia hasla,
tyle ze prawdopodobienstwo jego uzycia drastycznie maleje
jesli elementem tego hasla jest kod z tokena ktory za moment
straci waznosc

a poza tym to najwazniejsza jest swiadmosc klientow, bo przed
podstawiona strona zabezpiecza certyfikat

do góry

nie wiem czy hasla maskowane i klawiatura ekranowa to nie jest taka sztuka dla
sztuki - dwa najwieksze polskie banki nie wprowadzily takiego zabezpieczenia i
nie widac zadnych informacji zeby mialy taki zamiar.

Co do tokenow to nie wiem czy to nie przezytek, z ktorego banki powoli sie
wycofuja.


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Darek wrote:
> Od przekrętu na karcie jesteś chroniony ustawą a od fałszywego przelewu
> nie masz żadnej ochrony.

No tu masz racje.
Z drugiej jednak strony niektórzy przeginają. Np. system w BPH to jest
konspiracja jak za czasów Solidarności w stanie wojennym. Bardzo silne
hasła, klucze na dysku, osobne hasło do klucza. Uruchomienie dostępu to
droga przez męke. A nie daj Boże zapomnieć haseł - właśnie próbujemy
przywrócić dostęp do konta mojej narzeczonej. Zaraz mnie kur..ca weźmie,
za chwile składam wniosek o Toyote.

P.

do góry

Możesz sprawdzić dane w certyfikacie strony czy się zgadzają. Transmisja
zwrotna do banku jest zaszyfrowana kluczem banku i kto ją przechwyci i tak
nie odszyfruje.

do góry

tomasz malina <t...@g...SKASUJ-TO.pl> napisał(a):

> nie wiem czy hasla maskowane i klawiatura ekranowa to nie jest taka sztuka
dla
> sztuki - dwa najwieksze polskie banki nie wprowadzily takiego
zabezpieczenia i
> nie widac zadnych informacji zeby mialy taki zamiar.
>
> Co do tokenow to nie wiem czy to nie przezytek, z ktorego banki powoli sie
> wycofuja.
>
tokeny to nie przezytek, tylko za duzy koszt dla banku, zeby wydawac kazdemu
jak leci. Tak naprawde to jedno z najlepszych zabezpieczen


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Mon, 19 Nov 2007 23:52:35 +0100, Darek napisał(a):

> Od przekrętu na karcie jesteś chroniony ustawą

Powiedz to mojemu znajomemu, na którego kartę ktoś narobił zakupów za
ponad 11 tys USD! A wystawca karty, bank Pekao SA nabrał w wody w usta i
milczy od 7 miesiecy.

--
Pozdrowienia,
Krzysztof

do góry

tomasz malina wrote:

> Co do tokenow to nie wiem czy to nie przezytek, z ktorego banki powoli sie
> wycofuja.

mozesz przytoczyc przyklady bankow ktore wycofaly tokeny ?

do góry