Użytkownik "Rafal Franczak"
>> Takie lepsze tokeny odbezpieczane haslem
>> dawalo kiedys PKOBP ale sie wycofalo.

> Byłem kiedyś użytkownikiem tokena do eurokonta WWW w Pekało.
>
> token był zabezpieczony hasłem. i praktycznie niezniszczalny
> (...) A i raz się wykąpał. Ale to było krótkie kąpanie

i co- taki niezniszczalny, ze przeżył ?

ja pisalem o pkobp, ktore mialo jeden internetowy oddzial w Bydgoszczy
a ich token mial 2 funkcje - do internetu i do oper. telefonicznych
chyba do internetu generowal haslo sam,
a do telefonu metodą challange-response (albo odwrotnie)
*** blad ***

do góry

Użytkownik "MarcinF"
>> > No, a token to już trzeba skraść.
>>
>> ale tylko taki prymitywny token
>> jak w VW albo w Toyocie
>> Takie lepsze tokeny odbezpieczane haslem
>> dawalo kiedys PKOBP ale sie wycofalo
>
> haslo do tego "lepszego" tokena mozna wyludzic zdalnie
> podobnie jak pin czy haslo do tego "prymitywnego"

niby jak - zlodziej kradnie mi token a potem pyta mnie o haslo?
te tokeny sa tak zrobione, ze tylko ja znam haslo
po odebrani nowiutkiego tokena, przy pierwszym wejsciu
prosil o ustalenie hasla, i nikt poza mną go nie zna
*** blad ***

do góry

TZ <g...@t...cy[ROT13]> napisał(a):
>
> Np. w BZWBK przygotowane zlecenia "wysyłasz" do koszyka zleceń a następnie
> jednym SMS-kodem przekazujesz do realizacji.
>

Jedno pytanie - czy po wygenerowaniu kodu SMS mozna przelewy, ktore sa w
koszyku modyfikowac, albo np. dodac nowe i zatwierdzic wszystko otrzymanym
wczesniej SMSem? Jezeli tak to chyba cierpi na tym bezpieczenstwo. Optymalna
bylaby opcja, ze kod SMS jest przypisany do zlecen przeslanych do koszyka i
jakakolwiek ich modyfikacja powoduje niewaznosc kodu.

Moze ktos sie orientuje jak jest w BZ WBK?


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

blad wrote:

> niby jak - zlodziej kradnie mi token a potem pyta mnie o haslo?

oczywiscie bardziej sensowna jest odwrotna kolejnosc

> te tokeny sa tak zrobione, ze tylko ja znam haslo
> po odebrani nowiutkiego tokena, przy pierwszym wejsciu
> prosil o ustalenie hasla, i nikt poza mną go nie zna

te "gorsze" tokeny tak samo moga wymuszac ustalenie hasla
przy pierwszym uzyciu

no to jesli zalozymy ze hasla do tokena nie da sie wyludzic
to tymbardziej na czym polega ta lepszosc tokena odbezpieczanego haslem
?

mnie chodzilo o to ze w praktyce nie ma wielkiego znaczenia czy
haslo podawane jest razem z kodem tokena czy token jest odbezpieczany
haslem, bo w obu przypadkach jest potencjalna mozliwosc wyludzenia
go np. poprzez phishing

do góry

MarcinF napisał(a):
>
> blad wrote:
>
>> niby jak - zlodziej kradnie mi token a potem pyta mnie o haslo?
>
> oczywiscie bardziej sensowna jest odwrotna kolejnosc
>
>> te tokeny sa tak zrobione, ze tylko ja znam haslo
>> po odebrani nowiutkiego tokena, przy pierwszym wejsciu
>> prosil o ustalenie hasla, i nikt poza mną go nie zna
>
> te "gorsze" tokeny tak samo moga wymuszac ustalenie hasla
> przy pierwszym uzyciu
>
> no to jesli zalozymy ze hasla do tokena nie da sie wyludzic
> to tymbardziej na czym polega ta lepszosc tokena odbezpieczanego haslem
> ?
>
> mnie chodzilo o to ze w praktyce nie ma wielkiego znaczenia czy
> haslo podawane jest razem z kodem tokena czy token jest odbezpieczany
> haslem, bo w obu przypadkach jest potencjalna mozliwosc wyludzenia
> go np. poprzez phishing

phishing to najmniejszy problem.
Z akumulatorem na jajach każdy poda hasło do swojego tokena.

Rafał

do góry

Seba napisał(a):
> Np. w citi tokeny wydawane są tylko dla klientow korporacyjnych
> korzystających z systemu citidirect. Gdyby wydanie tokena bylo tak tanie jak
> np wydanie karty z paskiem magn. uzywane bylyby przez wszystkie banki dla
> wszystkich klientow

Na co mi token ? Dla mnie najwygodniejsze sa hasla sms. Tel. mam przy
sobie praktycznie 24h.


--
Mithos

do góry

Mithos napisał(a):
> Seba napisał(a):
>> Np. w citi tokeny wydawane są tylko dla klientow korporacyjnych
>> korzystających z systemu citidirect. Gdyby wydanie tokena bylo tak
>> tanie jak np wydanie karty z paskiem magn. uzywane bylyby przez
>> wszystkie banki dla wszystkich klientow
>
> Na co mi token ? Dla mnie najwygodniejsze sa hasla sms.
________^^_____________^^^^
> Tel. mam przy sobie praktycznie 24h.
_______^^^

I to jest chyba dobre podsumowanie. Jednym pasują hasła SMS,
innym tokeny a jeszcze innym papierowe listy haseł.
A jeszcze inni to tylko marmurki.

I to jest fajne, że możesz sobie wybrać.

Rafał

do góry

Użytkownik "Rafal Franczak"
> phishing to najmniejszy problem.
> Z akumulatorem na jajach każdy poda hasło do swojego tokena.

phishing to moze byc do lipnej strony bnankowej jak ktos nie zauwazy
podrobki
ale wyciaganie ode mnie hasla tak, zebym tego nie zauwazyl jest
niemozliwe

a co do hasel - niektore tokeny mają haslo awaryjne
to dziala np przy metodzie challange-response
Token odbezpieczony PINem awaryjnym podaje inna odpowiedz
i bank rozpoznaje ze ta odpowiedz jest lewa, ale nie powinien pisac,
ze
jest bledna tylko cos pokazac lipnego, albo odmowic z powodu
chwilowych klopotow
tak zeby napastnik dal ci spokoj

Takie cos wymyslili juz ze 20 lat temu przy zdalnym logowaniu sie do
sieci firmy
- po awaryjnym hasle pokazywane bylo srodowisko "honey-pot" - lipne
i alarm dla administratora ze wlasciciel zostal zmuszony sila do
ujawnienia hasla
i podal awaryjne

Moja komorka SE K750i tez ma haslo do miejsca gdzie mozna trzymac
szyfrowane PINy
i jak sie poda bledne to podaje tekst i PIN ale PIN jest falszywy (a
tekst poprawny)
odczytujac to, nie wiemy czy odbezpieczylismy dobrym haslem - trzeba
by zrobic
dopiero jakies doswiadczenie z karta i PINem, zeby sie przekonac
*** blad ***

do góry

blad wrote:

> phishing to moze byc do lipnej strony bnankowej jak ktos nie zauwazy
> podrobki
> ale wyciaganie ode mnie hasla tak, zebym tego nie zauwazyl jest
> niemozliwe

phishing to tylko przyklad, nie trzeba logowac sie do lipnej
strony, wystarczy trojan w systemie z ktorego korzystasz,
i daleki bylbym od twierdzenia ze to niemozliwe

do góry

Mithos <f...@a...pl> napisał(a):

> Na co mi token ? Dla mnie najwygodniejsze sa hasla sms. Tel. mam przy
> sobie praktycznie 24h.


A moze by pojsc troche dalej - dlaczego zaden polski bank nie zdecydowal sie
na biometrie, np. odcisk palca - palcem mam przeciez przy sobie 24 godziny :)

I nie sa to jakies bajki, widzialem czytniki linii papilarnych wygladajace jak
male pen drive i podlaczane poprzez USB. To chyba nie jest juz science
fiction, tylko rzeczywistos. Nie wiem czy problemem sa koszty czy brak
swiadomosci klientow?
Korzystalibyscie z czegos takego?


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry