Sat, 5 Nov 2005 11:45:58 +0000 (UTC), w <s...@j...home>,
Jacek Osiecki <j...@c...pl> napisał(-a):

> Każdy może go użyć, jak już tylko innymi metodami
> poznał hasła dostępu do konta internetowego ofiary.

A jak poznał "innymi" metodami hasło PIN do tokena?

do góry

Piotr Gralak napisał(a):

> czy to bedzie "haslo do tokena" czy "haslo1" "haslo2" "PIN do
> logowania" czy "haslo do logowania", oraz czy bedzie wpisywane w
> oddzielne pole na stronie, czy w to samo co wskazanie tokena - nie
> zmienia to kompletnie nic.

Masz rację. Do wymienionych wyżej wariantów dodaj jeszcze jeden: "czy
zostanie wpisane do tokena".

Innymi słowy: o ile hasło do tokena pełni jedynie rolę "włączenia
wyświetlacza", to nie jest to żadne dodatkowe zabezpieczenie w stosunku
do tokenów wyświetlających ciągle wskazania na wyświetlaczu. Bo co za
różnica, czy hasło wklepiesz do tokena, czy wpiszesz łącznie ze
wskazaniem tokena do pola logowania?

Jeżeli jednak od wpisanego hasła zależy wynik i bank w jakiś sposób jest
to w stanie weryfikować - to co innego.

do góry

On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
<j...@c...pl> wrote:

>...
>> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
>> SecureID), dają więc taką samą jakość uwierzytelniania (aka
>> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
>> wprowadza się z klawiatury.
>
>Nie dają.
>Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
>jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
>poznał hasła dostępu do konta internetowego ofiary.
>
>Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
>wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...
>
>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>keyloggerem...


Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
przechwycił PIN. W pozostałych przypadkach oba sposoby
*uwierzytelniania* są równoważne - znajomość PINu bez posiadania
tokena nic nie daje. Nb serwer SecureID blokuje token w przypadku
próby zgadywania PINów.


>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>> - token generuje odpowiedź zależną od wpisanego kodu,
>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
>> którą chcemy autoryzować (challenge/response).
>> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.
>
>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>taki atak odporne.

Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
(jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
których mam konta, nie ma takich zabezpieczeń.


> ...
>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>na konto gazowni albo koleżanki... W Citi zrobi co zechce.

Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
podatki do końca życia ;-)

Pozdrawiam,

Jacek

do góry

Użytkownik "Jacek"
>>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic
>>nie
>>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the
>>middle"
>>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie
>>było na
>>taki atak odporne.
>
> Nie znam rozwiązania o którym wspominasz, ale hash transakcji
> powinien
> (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery
> kont
> i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
> których mam konta, nie ma takich zabezpieczeń.

cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco.
Token na oko taki jak ten z Nordei ale dzialal na zasadzie
pytanie/odpowiedz
- wprowadzalo sie chyba 6 cyfr i odpowiadal 6 cyfrowym kodem
(czas tez tam gral role bo wprowadzenie za minute tych samych 6 cyfr
dawalo inna odpowiedz)
Jak te 6 cyfr bylu przez bank wymyslane to juz zalezy od pomyslowosci
projektantow - mogl to byc skrot (hash) z numerow rachunkow i kwot
*** blad ***

do góry

m@rkop napisał(a):

> Wystarczyło w google wpisać, by dowiedzieć się więcej na jej temat... ;P
> Pzdr
>
Nawet nie w google ale w pasek adresu i dopisać .pl ;P

do góry

> cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco.
> Token na oko taki jak ten z Nordei ale dzialal na zasadzie
> pytanie/odpowiedz
> - wprowadzalo sie chyba 6 cyfr i odpowiadal 6 cyfrowym kodem
> (czas tez tam gral role bo wprowadzenie za minute tych samych 6 cyfr
> dawalo inna odpowiedz)
> Jak te 6 cyfr bylu przez bank wymyslane to juz zalezy od pomyslowosci
> projektantow - mogl to byc skrot (hash) z numerow rachunkow i kwot

I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej dawali
tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) z ekranu (do tej
pory jest taka mrugająca animacja), no oczywiście odpowiedź trzeba było
wklepać ręcznie. Wkurzajće jest jednak to, że token ma klawiturę w układzie
"telefonicznym".

Grzexs

do góry

Użytkownik "Grzexs"
>> cos takiego mial BGZ-Integrum jak mialem u nich konto i token
>> Vasco.

> I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej
> dawali
> tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) z ekranu
> (do tej
> pory jest taka mrugająca animacja), no oczywiście odpowiedź trzeba
> było
> wklepać ręcznie. Wkurzajće jest jednak to, że token ma klawiturę w
> układzie
> "telefonicznym".

jesli BGZ ma takie tokeny dalej to nie widze powodu zeby nie odczytaly
sobie kodu-pytania z ekranu - na prawde to robily. Tyle ze to nie
dzialalo z ekranem LCD.
Do normalnego przykladalo sie diodki i po sekundzie odczytywal.
*** blad ***

do góry

Dnia Sat, 05 Nov 2005 14:02:28 +0100, Wojciech Nawara napisał(a):
> Piotr Gralak napisał(a):

> Innymi słowy: o ile hasło do tokena pełni jedynie rolę "włączenia
> wyświetlacza", to nie jest to żadne dodatkowe zabezpieczenie w stosunku
> do tokenów wyświetlających ciągle wskazania na wyświetlaczu. Bo co za
> różnica, czy hasło wklepiesz do tokena, czy wpiszesz łącznie ze
> wskazaniem tokena do pola logowania?

Zasadnicza.
PINu wpisywanego do tokena złodziej nie zesniffuje żadnym dziadostwem
zainstalowanym na komputerze :)

Z tego samego powodu śmieszą mnie teksty typu "bezpieczne karty
mikroprocesorowe", które są zabezpieczone PINem wpisywanym w komputerze...

> Jeżeli jednak od wpisanego hasła zależy wynik i bank w jakiś sposób jest
> to w stanie weryfikować - to co innego.

A to jest właśnie drugi atut - tyle, że zdecydowanie podpisywany powinien
być nie nic nie mówiący użytkownikowi identyfikator operacji, a np. końcówka
numeru konta.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Sat, 05 Nov 2005 14:24:12 +0100, Jacek napisał(a):
> On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
><j...@c...pl> wrote:

>>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>>keyloggerem...

> Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
> przechwycił PIN.

Ale taki przypadek wcale nie jest jakiś wielce nieprawdopodobny, jeśli tylko
złodziej zasadzi się na konkretną ofiarę - przyznasz chyba?

> W pozostałych przypadkach oba sposoby *uwierzytelniania* są równoważne
> - znajomość PINu bez posiadania tokena nic nie daje. Nb serwer SecureID
> blokuje token w przypadku próby zgadywania PINów.

Co nie zmienia faktu, że token z klawiaturą wprowadza jeszcze jeden poziom
zabezpieczeń.

>>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>>> - token generuje odpowiedź zależną od wpisanego kodu,
>>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,

>>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>>taki atak odporne.

> Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
> (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
> i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
> których mam konta, nie ma takich zabezpieczeń.

Problem w tym, że hash transakcji nic nie mówi użytkownikowi - więc jeśli
złodziej przejmie kontrolę nad komputerem ofiary to może ona nieświadomie
zatwierdzić wysłanie przelewu na jego konto. Być może dla wymagających
użytkowników można by było wprowadzić podwójne zabezpieczenie - najpierw
w tokenie wpisujemy 8 ostatnich cyfr konta, a dopiero gdy przejdziemy ten
etap - wpisujemy hash transakcji. Może uciążliwe, ale miałoby miejsce tylko
przy wpisywaniu kont do stałych przelewów i przy przelewach jednorazowych
a w zamian dawałoby 100% zabezpieczenie konta przed złodziejami.

W TelePekao24 niestety było tylko podpisywanie hasha transakcji :(

>>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>>na konto gazowni albo koleżanki... W Citi zrobi co zechce.

> Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
> tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
> podatki do końca życia ;-)

Pomyliłeś z ZUSem ;)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Mon, 7 Nov 2005 22:50:29 +0100, blad napisał(a):
> Użytkownik "Grzexs"

>>> cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco.

>> I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej
>> dawali tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr)
>> z ekranu (do tej pory jest taka mrugająca animacja), no oczywiście

> jesli BGZ ma takie tokeny dalej to nie widze powodu zeby nie odczytaly
> sobie kodu-pytania z ekranu - na prawde to robily. Tyle ze to nie
> dzialalo z ekranem LCD.

No właśnie tu chyba główny problem - obecnie popularność LCD jest na tyle
duża, że bawienie się w takie ułatwiacze za wielkiego sensu by nie miało...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry