W dniu czwartek, 24 stycznia 2019 21:44:39 UTC+1 użytkownik ń napisał:

> > A ja mam z pekao token działający na J2ME na mojej nokii E51 i jest nie do
zhackowania

> Cos podobnego do tokena EB?
> A dlaczego niby nie do zhakowania?

W eb tokena "soft" nie wypróbowałem, sprzętowego też nie miałem bo miałem tylko KK. I
nawet apki nie mogłem zainstalować, bo do aktywacji trzeba było wskazać konto do ew.
opłat...

W każdym razie token jest git i w ogóle nie potrzebuje do pracy jakiejkolwiek
łączności (potrzebna jest tylko do ściągnięcia i być może, bo nie sprawdzałem, do
aktywacji).

A nokii E51 nic mi raczej nie zhackuje, bo tylko do dzwonienia i smsów służy, no
jeszcze da się sprawdzić rozkład jazdy na m.ztm.waw.pl oraz pogodę na
http://www.if.pw.edu.pl/~meteo/index-mob.php - ograniczają zarówno ekran 240*320 jak
i przeterminowanie certyfikatów (przez te certyfikaty nie zadziałało mi też IKO w
wersji J2ME :( ).

do góry

W dniu 24.01.2019 o 20:16, Krzysztof Halasa pisze:
> g...@g...com writes:
>
>> Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
>> Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
>> autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.
>
> Tzn. hasła SMS są bezpieczniejsze w sytuacji "skompromitowanego"
> komputera używanego do przeprowadzania transakcji. W sumie jedne
> i drugie mają zapewniać dodatkową ochronę właśnie w takiej sytuacji.
> Problemem są "celowane" ataki, na takie "zwykły klient" nic nie poradzi.
>

Jak piszesz - zdrapki nie chronią przed sytuacją, że masz wirusa i
komputer prezentuje inne dane do przelewu tobie, a inne bankowi.

SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.

Jak się nie obrócić, dupa z tyłu.

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

MJ

do góry

W dniu 2019-01-25 o 11:30, gosc pisze:
> Poldek wrote:
>> Byłem parę razy w górach w pensjonacie, gdzie jest internet - z kabla
>> typu tpsa - a nie ma zasięgu żadnej sieci komórkowej. Znajomi dziwili
>> się, jak zamierzam zapłacić za pobyt przelewem ;-)
>>
>> Gdyby ktoś chciał kody, to jeszcze w Pekao SA są.
>
> A Wi-Fi Calling?
> Np. <https://www.play.pl/uslugi/wifi-calling/>.
>

Nie każdy to ma.

do góry

Michał Jankowski <m...@f...edu.pl> writes:

> Jak się nie obrócić, dupa z tyłu.

No niestety :-(

> W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
komputera, ale np. długo nie wykonujemy operacji wymagających
zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
ruch. Raczej nieistotny przypadek.
b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
(wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
ten ktoś potrafi sprawić, że dostanie).
c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
może to bardziej kwestia procedur niż techniki.

To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
pokryć statystycznie koszty całego włamania).

Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
problem).
--
Krzysztof Hałasa

do góry

On 2019-01-25, Michał Jankowski <m...@f...edu.pl> wrote:

[...]

> SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.
> Jak się nie obrócić, dupa z tyłu.

A (ostatnio modne) pushe?

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 25.01.2019 o 20:42, Krzysztof Halasa pisze:
> Michał Jankowski <m...@f...edu.pl> writes:
>
>> Jak się nie obrócić, dupa z tyłu.
>
> No niestety :-(
>
>> W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...
>
> Podejrzewam że bankowcy to ocenili i odrzucili, niestety.
>
> W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
> a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
> komputera, ale np. długo nie wykonujemy operacji wymagających
> zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
> ruch. Raczej nieistotny przypadek.
> b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
> np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
> (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
> dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
> ten ktoś potrafi sprawić, że dostanie).
> c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
> może to bardziej kwestia procedur niż techniki.
>
> To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
> chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
> telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
> tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
> jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
> pokryć statystycznie koszty całego włamania).

Wydajemisie, że połączony atak typu - podmieńmy numery kont na
ekranie komputera i równocześnie ukradnijmy komuś numer telefonu na
dowód kolekcjonerski to jednak rzadko się zdarza. A zainfekowanie
telefonu, to w ogóle nie wiem...

>
> Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
> tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
> wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
> dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
> problem).
>

Z tym, że jeszcze niedawno sporo banków przysyłało smsy, w których nie
było co czytać. Np. w citibanku jeszcze w czerwcu sms miał treść
'Autoryzacja transakcji. Kod: 123456. Citi Handlowy'.

A w ogóle, to jeśli faktycznie dowody kolekcjonerskie są nie do
odróżnienia, to bierzemy taki dowód, idziemy do banku, zmieniamy wzór
podpisu i hulaj dusza. Co prawda marmurowy PKOBP ostatnio w kasie
wypłaca też na sms, ale przecież nie muszę mieć telefonu w ogóle...

MJ

do góry

Emerytom?


-----
> marmurowy PKOBP ostatnio w kasie wypłaca też na sms

do góry

On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <k...@p...waw.pl>
wrote:
> Faktycznie token byłby lepszy, ale to musiałby być specjalny token,

mBank ma tokeny sprzętowe dla wybranej grupy klientów.

--
Marek

do góry

Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:a...@n...neos
trada.pl...
On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <k...@p...waw.pl>
>> Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
>mBank ma tokeny sprzętowe dla wybranej grupy klientów.

Duzo bankow sie wycofalo, albo zostawilo tylko wybranej grupie, widac
za drogi.

Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
albo np kamerke i czytac kody QR z ekranu,
albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
potwierdza, bez mozliwosci wciecia kogos.

J.

do góry

W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:
> Użytkownik "Marek" napisał w wiadomości grup
> dyskusyjnych:a...@n...neos
trada.pl...
> On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <k...@p...waw.pl>
> >> Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
> >mBank ma tokeny sprzętowe dla wybranej grupy klientów.
>
> Duzo bankow sie wycofalo, albo zostawilo tylko wybranej grupie, widac
> za drogi.
>
> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
> albo np kamerke i czytac kody QR z ekranu,
> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
> potwierdza, bez mozliwosci wciecia kogos.
>
>

Niekoniecznie.
Sms niech przychodzi z informacja za co sie placi.
kod niech sie wpisuje z tokena.

Te tokeny nie sa az tak drogie:
http://www.tokenguard.com/RSA-SecurID-SID700.asp

Mysle ze bank mogl by spore upusty dostac.
A i klient nieco mogl by partycypowac. Zamowienie listy hasel jednorazowych to chyba
bylo ze 20pln ostatnio.
A token 120pln.

Mysle ze mozna by tansze niz rsa znalezc.

do góry