eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankitoken w bankach
Ilość wypowiedzi w tym wątku: 41

  • 31. Data: 2005-11-05 13:01:23
    Temat: Re: token w bankach
    Od: "r...@a...net.pl" <r...@a...net.pl>

    Sat, 5 Nov 2005 11:45:58 +0000 (UTC), w <s...@j...home>,
    Jacek Osiecki <j...@c...pl> napisał(-a):

    > Każdy może go użyć, jak już tylko innymi metodami
    > poznał hasła dostępu do konta internetowego ofiary.

    A jak poznał "innymi" metodami hasło PIN do tokena?


  • 32. Data: 2005-11-05 13:02:28
    Temat: Re: token w bankach
    Od: Wojciech Nawara <u...@n...WYTNIJ.info>

    Piotr Gralak napisał(a):

    > czy to bedzie "haslo do tokena" czy "haslo1" "haslo2" "PIN do
    > logowania" czy "haslo do logowania", oraz czy bedzie wpisywane w
    > oddzielne pole na stronie, czy w to samo co wskazanie tokena - nie
    > zmienia to kompletnie nic.

    Masz rację. Do wymienionych wyżej wariantów dodaj jeszcze jeden: "czy
    zostanie wpisane do tokena".

    Innymi słowy: o ile hasło do tokena pełni jedynie rolę "włączenia
    wyświetlacza", to nie jest to żadne dodatkowe zabezpieczenie w stosunku
    do tokenów wyświetlających ciągle wskazania na wyświetlaczu. Bo co za
    różnica, czy hasło wklepiesz do tokena, czy wpiszesz łącznie ze
    wskazaniem tokena do pola logowania?

    Jeżeli jednak od wpisanego hasła zależy wynik i bank w jakiś sposób jest
    to w stanie weryfikować - to co innego.


  • 33. Data: 2005-11-05 13:24:12
    Temat: Re: token w bankach
    Od: Jacek <k...@n...gazeta.pl>

    On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
    <j...@c...pl> wrote:

    >...
    >> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
    >> SecureID), dają więc taką samą jakość uwierzytelniania (aka
    >> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
    >> wprowadza się z klawiatury.
    >
    >Nie dają.
    >Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
    >jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
    >poznał hasła dostępu do konta internetowego ofiary.
    >
    >Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
    >wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...
    >
    >Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
    >To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
    >wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
    >keyloggerem...


    Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
    przechwycił PIN. W pozostałych przypadkach oba sposoby
    *uwierzytelniania* są równoważne - znajomość PINu bez posiadania
    tokena nic nie daje. Nb serwer SecureID blokuje token w przypadku
    próby zgadywania PINów.


    >> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
    >> transakcji przy jednoczesnym spełnieniu następujących warunków:
    >> - token generuje odpowiedź zależną od wpisanego kodu,
    >> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
    >> którą chcemy autoryzować (challenge/response).
    >> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.
    >
    >Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
    >mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
    >ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
    >będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
    >taki atak odporne.

    Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
    (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
    i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
    których mam konta, nie ma takich zabezpieczeń.


    > ...
    >W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
    >na konto gazowni albo koleżanki... W Citi zrobi co zechce.

    Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
    tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
    podatki do końca życia ;-)

    Pozdrawiam,

    Jacek


  • 34. Data: 2005-11-05 16:23:41
    Temat: Re: token w bankach
    Od: "blad" <blad201@_W_Y_T_N_I_J_sezam.pl>

    Użytkownik "Jacek"
    >>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic
    >>nie
    >>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
    >>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the
    >>middle"
    >>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie
    >>było na
    >>taki atak odporne.
    >
    > Nie znam rozwiązania o którym wspominasz, ale hash transakcji
    > powinien
    > (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery
    > kont
    > i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
    > których mam konta, nie ma takich zabezpieczeń.

    cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco.
    Token na oko taki jak ten z Nordei ale dzialal na zasadzie
    pytanie/odpowiedz
    - wprowadzalo sie chyba 6 cyfr i odpowiadal 6 cyfrowym kodem
    (czas tez tam gral role bo wprowadzenie za minute tych samych 6 cyfr
    dawalo inna odpowiedz)
    Jak te 6 cyfr bylu przez bank wymyslane to juz zalezy od pomyslowosci
    projektantow - mogl to byc skrot (hash) z numerow rachunkow i kwot
    *** blad ***


  • 35. Data: 2005-11-05 19:50:49
    Temat: Re: token w bankach
    Od: Perek <p...@p...neostrada.pl>

    m@rkop napisał(a):

    > Wystarczyło w google wpisać, by dowiedzieć się więcej na jej temat... ;P
    > Pzdr
    >
    Nawet nie w google ale w pasek adresu i dopisać .pl ;P


  • 36. Data: 2005-11-07 08:07:47
    Temat: Re: token w bankach
    Od: "Grzexs" <grzexs@usun_ten_fragment.go2.pl>

    > cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco.
    > Token na oko taki jak ten z Nordei ale dzialal na zasadzie
    > pytanie/odpowiedz
    > - wprowadzalo sie chyba 6 cyfr i odpowiadal 6 cyfrowym kodem
    > (czas tez tam gral role bo wprowadzenie za minute tych samych 6 cyfr
    > dawalo inna odpowiedz)
    > Jak te 6 cyfr bylu przez bank wymyslane to juz zalezy od pomyslowosci
    > projektantow - mogl to byc skrot (hash) z numerow rachunkow i kwot

    I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej dawali
    tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) z ekranu (do tej
    pory jest taka mrugająca animacja), no oczywiście odpowiedź trzeba było
    wklepać ręcznie. Wkurzajće jest jednak to, że token ma klawiturę w układzie
    "telefonicznym".

    Grzexs


  • 37. Data: 2005-11-07 21:50:29
    Temat: Re: token w bankach
    Od: "blad" <blad201@_W_Y_T_N_I_J_sezam.pl>

    Użytkownik "Grzexs"
    >> cos takiego mial BGZ-Integrum jak mialem u nich konto i token
    >> Vasco.

    > I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej
    > dawali
    > tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) z ekranu
    > (do tej
    > pory jest taka mrugająca animacja), no oczywiście odpowiedź trzeba
    > było
    > wklepać ręcznie. Wkurzajće jest jednak to, że token ma klawiturę w
    > układzie
    > "telefonicznym".

    jesli BGZ ma takie tokeny dalej to nie widze powodu zeby nie odczytaly
    sobie kodu-pytania z ekranu - na prawde to robily. Tyle ze to nie
    dzialalo z ekranem LCD.
    Do normalnego przykladalo sie diodki i po sekundzie odczytywal.
    *** blad ***


  • 39. Data: 2005-11-08 08:36:36
    Temat: Re: token w bankach
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Sat, 05 Nov 2005 14:02:28 +0100, Wojciech Nawara napisał(a):
    > Piotr Gralak napisał(a):

    > Innymi słowy: o ile hasło do tokena pełni jedynie rolę "włączenia
    > wyświetlacza", to nie jest to żadne dodatkowe zabezpieczenie w stosunku
    > do tokenów wyświetlających ciągle wskazania na wyświetlaczu. Bo co za
    > różnica, czy hasło wklepiesz do tokena, czy wpiszesz łącznie ze
    > wskazaniem tokena do pola logowania?

    Zasadnicza.
    PINu wpisywanego do tokena złodziej nie zesniffuje żadnym dziadostwem
    zainstalowanym na komputerze :)

    Z tego samego powodu śmieszą mnie teksty typu "bezpieczne karty
    mikroprocesorowe", które są zabezpieczone PINem wpisywanym w komputerze...

    > Jeżeli jednak od wpisanego hasła zależy wynik i bank w jakiś sposób jest
    > to w stanie weryfikować - to co innego.

    A to jest właśnie drugi atut - tyle, że zdecydowanie podpisywany powinien
    być nie nic nie mówiący użytkownikowi identyfikator operacji, a np. końcówka
    numeru konta.

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004


  • 38. Data: 2005-11-08 08:36:36
    Temat: Re: token w bankach
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Sat, 05 Nov 2005 14:24:12 +0100, Jacek napisał(a):
    > On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
    ><j...@c...pl> wrote:

    >>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
    >>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
    >>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
    >>keyloggerem...

    > Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
    > przechwycił PIN.

    Ale taki przypadek wcale nie jest jakiś wielce nieprawdopodobny, jeśli tylko
    złodziej zasadzi się na konkretną ofiarę - przyznasz chyba?

    > W pozostałych przypadkach oba sposoby *uwierzytelniania* są równoważne
    > - znajomość PINu bez posiadania tokena nic nie daje. Nb serwer SecureID
    > blokuje token w przypadku próby zgadywania PINów.

    Co nie zmienia faktu, że token z klawiaturą wprowadza jeszcze jeden poziom
    zabezpieczeń.

    >>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
    >>> transakcji przy jednoczesnym spełnieniu następujących warunków:
    >>> - token generuje odpowiedź zależną od wpisanego kodu,
    >>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,

    >>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
    >>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
    >>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
    >>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
    >>taki atak odporne.

    > Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
    > (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
    > i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
    > których mam konta, nie ma takich zabezpieczeń.

    Problem w tym, że hash transakcji nic nie mówi użytkownikowi - więc jeśli
    złodziej przejmie kontrolę nad komputerem ofiary to może ona nieświadomie
    zatwierdzić wysłanie przelewu na jego konto. Być może dla wymagających
    użytkowników można by było wprowadzić podwójne zabezpieczenie - najpierw
    w tokenie wpisujemy 8 ostatnich cyfr konta, a dopiero gdy przejdziemy ten
    etap - wpisujemy hash transakcji. Może uciążliwe, ale miałoby miejsce tylko
    przy wpisywaniu kont do stałych przelewów i przy przelewach jednorazowych
    a w zamian dawałoby 100% zabezpieczenie konta przed złodziejami.

    W TelePekao24 niestety było tylko podpisywanie hasha transakcji :(

    >>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
    >>na konto gazowni albo koleżanki... W Citi zrobi co zechce.

    > Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
    > tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
    > podatki do końca życia ;-)

    Pomyliłeś z ZUSem ;)

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004


  • 40. Data: 2005-11-08 08:36:37
    Temat: Re: token w bankach
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Mon, 7 Nov 2005 22:50:29 +0100, blad napisał(a):
    > Użytkownik "Grzexs"

    >>> cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco.

    >> I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej
    >> dawali tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr)
    >> z ekranu (do tej pory jest taka mrugająca animacja), no oczywiście

    > jesli BGZ ma takie tokeny dalej to nie widze powodu zeby nie odczytaly
    > sobie kodu-pytania z ekranu - na prawde to robily. Tyle ze to nie
    > dzialalo z ekranem LCD.

    No właśnie tu chyba główny problem - obecnie popularność LCD jest na tyle
    duża, że bawienie się w takie ułatwiacze za wielkiego sensu by nie miało...

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004

strony : 1 ... 3 . [ 4 ] . 5


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1