-
41. Data: 2019-02-16 13:05:31
Temat: Re: mBank wycofuje listy haseł jednorazowych
Od: Krzysztof Halasa <k...@p...waw.pl>
s...@g...com writes:
> Napisalem ci, token rsa to 200pln. za tyle kupie tradycyjnego fona bez
> androida i moge na niego wladowac apke do tokena. To nie bedzie
> drozsze. Bedzie mialo inne niewielkie wady ale drozsze nie bedzie.
Zrozum że to o czym piszesz jest możliwe w zastosowaniach
"akademickich", ale nie da się tego użyć "przemysłowo".
Cena telefonu jest tu mało istotna, główne koszty będą w innych
miejscach (chyba że chcesz tego mieć 500 tysięcy, to wtedy sprawa
wygląda inaczej, ale tak czy owak telefon nie będzie wtedy sensownym
wyjściem).
BTW:
https://pl.wikipedia.org/wiki/Security_through_obscu
rity
Główną wadą tokena RSA nie jest cena (byłaby ona istotna, gdyby nie inne
problemy).
--
Krzysztof Hałasa
-
42. Data: 2019-02-17 22:11:42
Temat: Re: mBank wycofuje listy haseł jednorazowych
Od: "J.F." <j...@p...onet.pl>
Dnia Sat, 16 Feb 2019 12:43:20 +0100, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>> Tylko musza miec narzedzia do programowania tokena.
>> A jesli on nie ma komunikacja, bo maszynka to robi to dotykajac
>> plytki, po czym skleja obudowe ?
>
> Nie widzę najmniejszego problemu - wystarczy procedura typu "wciśnij
> przycisk przez 30 sekund i przepisz kod z tokena" (każde naciśnięcie
> przycisku przewija kod do następnej części). Musi być przycisk, ale
> samym przyciskiem chyba nikt się nie włamie?
Cena rosnie :-)
Ale co ci da 1 przycisk ?
Chcemy, zeby bank sobie wpisal odpowiednie seedy/kody sam.
Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
do komputera ?
>> Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
> Historia pokazuje, że nie było to niemożliwe.
Albo tylko urban legend.
>> Przy czym pomijajac patenty i troche wiedzy, to taki token nie jest
>> zbyt skomplikowany i bank/Iran moze go zrobic samemu ...
>
> Są firmy, które tak robią. Nie żeby to było łatwe i przyjemne, lub
> całkowicie pozbawione ryzyka.
Patrz chocby telewizje kodowane.
Ile czasu im zajelo zrobienie bezpiecznego systemu ?
J.
-
43. Data: 2019-02-17 23:19:30
Temat: Re: mBank wycofuje listy haseł jednorazowych
Od: Krzysztof Halasa <k...@p...waw.pl>
"J.F." <j...@p...onet.pl> writes:
> Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
> do komputera ?
To najprostsza metoda. Można np. wymrugać diodą (wyświetlaczem), jeśli
ma być automatycznie.
>>> Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
>> Historia pokazuje, że nie było to niemożliwe.
>
> Albo tylko urban legend.
To jest raczej dość dobrze zweryfikowane.
Poza tym, coś, co jest nadrukowane na obudowie, nie może być tajne.
> Patrz chocby telewizje kodowane.
> Ile czasu im zajelo zrobienie bezpiecznego systemu ?
A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?
W przypadku bankowego tokena nie należy zakładać, że user będzie aktywnie
starał się go złamać. Natomiast stawka jest większa niż przy jakiejś
telewizji.
--
Krzysztof Hałasa
-
44. Data: 2019-02-17 23:27:54
Temat: Re: mBank wycofuje listy haseł jednorazowych
Od: "J.F." <j...@p...onet.pl>
Dnia Sun, 17 Feb 2019 23:19:30 +0100, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>
>> Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
>> do komputera ?
>
> To najprostsza metoda. Można np. wymrugać diodą (wyświetlaczem), jeśli
> ma być automatycznie.
Porzadny generator losowy ... cena dalej rosnie ..
>>>> Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
>>> Historia pokazuje, że nie było to niemożliwe.
>>
>> Albo tylko urban legend.
>
> To jest raczej dość dobrze zweryfikowane.
> Poza tym, coś, co jest nadrukowane na obudowie, nie może być tajne.
Nadrukowany jest numer, seed trzeba wykrasc.
Wykradzenie moze i udokumentowane, ale jak znalezc numery tokenow w
Iranie ...
>> Patrz chocby telewizje kodowane.
>> Ile czasu im zajelo zrobienie bezpiecznego systemu ?
>
> A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?
Chyba tak - teraz modne wspoldzielenie kart.
J.
-
45. Data: 2019-02-18 21:33:21
Temat: Re: mBank wycofuje listy haseł jednorazowych
Od: Krzysztof Halasa <k...@p...waw.pl>
"J.F." <j...@p...onet.pl> writes:
> Porzadny generator losowy ... cena dalej rosnie ..
Bez przesady, generator losowy "mierzący" szumy termiczne praktycznie
nic nie kosztuje. Kiedyś były takie w scalakach pecetowych - ciekawe
czemu je wycofano i zastąpiono np. "bezpiecznymi" PRNG (następnie
wymaganymi np. przez FIPS-140)?
> Nadrukowany jest numer, seed trzeba wykrasc.
> Wykradzenie moze i udokumentowane, ale jak znalezc numery tokenow w
> Iranie ...
Jeszcze raz - są nadrukowane na obudowach tokenów - nie mogą być
traktowane jako poufne (niezależnie od tego, co wymyślił jakiś czas temu
producent).
Listy numerów mają m.in. dostawcy.
Zależnie od zastosowania, często można próbować wiele razy.
>>> Patrz chocby telewizje kodowane.
>>> Ile czasu im zajelo zrobienie bezpiecznego systemu ?
>>
>> A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?
>
> Chyba tak - teraz modne wspoldzielenie kart.
To gdzie to bezpieczeństwo, jeśli można współdzielić karty?
Aczkolwiek takie rzeczy są z góry skazane na niepowodzenie, jeśli ktoś
może wyświetlić np. film, to równie dobrze może z nim zrobić co mu się
podoba. Jedyna nadzieja w tym, że mu się nie będzie chciało (abonament
to nie jest wielki koszt), że będzie to uciążliwe, i że nie sprzeda tego
zbyt łatwo (policja itp), a w końcu, że nie sprzeda tego masowo, tak by
przestało się opłacać działać nadawcy.
--
Krzysztof Hałasa