| poprzedni wątek | następny wątek | pl.biznes.banki |
| 2005-11-02 08:09 | Re: token w bankach | Jacek Osiecki |
| Dnia Mon, 31 Oct 2005 23:10:38 +0100, Paweł Nyczaj napisał(a): > Użytkownik "Wojciech Nawara" >> Jacek Osiecki napisał(a): >>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie? >> To token bez klawiatury nie jest prawdziwy? > Każdy token jest prawdziwy, natomiast w zależności od typu albo tylko [...] > tokena i token generuje odpowiedź). Oczywiście token z klawiatura zapewnia > wyzszy poziom ochrony, gdyż do jego uruchomienia potrzebny jest PIN. Nie tylko to: przy inteligentnie zaplanowanym systemie bankowym token z klawiaturą może dodatkowo zabezpieczyć przed atakami "Man in the middle". Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| 2005-11-02 10:45 | Re: token w bankach | Paweł Nyczaj |
| > Nie tylko to: przy inteligentnie zaplanowanym systemie bankowym token z > klawiaturą może dodatkowo zabezpieczyć przed atakami "Man in the middle". > Tu jest definicja ataku Man in the middle http://pl.wikipedia.org/wiki/Atak_man_in_the_middle |
||
| 2005-11-02 18:00 | Re: token w bankach | Michał_'Amra'_Macierzyńsk |
| Jacek Osiecki > A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie? Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z bankowosci internetowej :) -- Michał 'Amra' Macierzyński || http://PRNews.pl Banki, karty, konta oraz public relations. Szukasz pracy w banku? Zobacz http://praca.prnews.pl |
||
| 2005-11-02 20:51 | Re: token w bankach | Jacek Osiecki |
| Dnia Wed, 2 Nov 2005 10:45:03 +0100, Paweł Nyczaj napisał(a): >> Nie tylko to: przy inteligentnie zaplanowanym systemie bankowym token z >> klawiaturą może dodatkowo zabezpieczyć przed atakami "Man in the middle". > Tu jest definicja ataku Man in the middle > http://pl.wikipedia.org/wiki/Atak_man_in_the_middle No i? Właśnie przed takim atakiem może zabezpieczyć użytkownika system używający tokena z klawiaturą... Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| 2005-11-04 13:39 | Re: token w bankach | Jacek Osiecki |
| Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a): > Jacek Osiecki >> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie? > Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z > bankowosci internetowej :) Wiesz, odrobina paranoi nikomu nie zaszkodzi ;) Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :( Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| 2005-11-04 20:58 | Re: token w bankach | Jacek |
| On Fri, 4 Nov 2005 12:39:17 +0000 (UTC), Jacek Osiecki >Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a): >> Jacek Osiecki >>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie? >> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z >> bankowosci internetowej :) > >Wiesz, odrobina paranoi nikomu nie zaszkodzi ;) >Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :( Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej SecureID), dają więc taką samą jakość uwierzytelniania (aka autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN wprowadza się z klawiatury. Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych transakcji przy jednoczesnym spełnieniu następujących warunków: - token generuje odpowiedź zależną od wpisanego kodu, - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją, którą chcemy autoryzować (challenge/response). Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne. Warto pamiętać, że siłą zabezpieczenia jest cały system ochrony. Np. teoretycznie karty haseł jednorazowych też mogą zapewnić niezły poziom ochrony, choć są znacznie mniej wygodne w użyciu niż tokeny. Nie pamiętam już, gdzie schowałem kartę z Pekao24, bo jej prawie w ogóle nie muszę używać (poza zdefiniowaniem przelewów stałych lata temu). Czyli cały system jest chroniony przez jeden 4-cyfrowy PIN! To nawet w CitiOnline, gdzie cały system zabezpieczeń opiera się na jednym jedynym haśle statycznym, jest trochę lepiej, bo kod może być znacznie dłuższy. Pozdrawiam, Jacek |
||
| 2005-11-04 23:18 | Re: token w bankach | gral |
| On Fri, 04 Nov 2005 20:58:13 +0100, Jacek wrote: >Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej >SecureID), dają więc taką samą jakość uwierzytelniania (aka >autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN >wprowadza się z klawiatury. He? Mowa była o PINie do tokenu. W przypadku tokenu z klawiaturą żeby go włączyć i użyć trzeba wprowadzić PIN. SecureID jest włączony i gotowy do użytku cały czas. PG |
||
| 2005-11-05 08:41 | Re: token w bankach | Wojciech Nawara |
| Piotr Gralak napisał(a): > He? > Mowa była o PINie do tokenu. W przypadku tokenu z klawiaturą żeby go > włączyć i użyć trzeba wprowadzić PIN. SecureID jest włączony i gotowy > do użytku cały czas. I co Ci po wskazaniu tokena, nie znając "hasła do tokena", które należy wprowadzać razem ze wskazaniem tokena do logowania? Przeczytaj jeszcze raz post Jacka, bo dobrze mówi. |
||
| 2005-11-05 12:45 | Re: token w bankach | Jacek Osiecki |
| Dnia Fri, 04 Nov 2005 20:58:13 +0100, Jacek napisał(a): > On Fri, 4 Nov 2005 12:39:17 +0000 (UTC), Jacek Osiecki > >>Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a): >>> Jacek Osiecki >>>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie? >>> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z >>> bankowosci internetowej :) >>Wiesz, odrobina paranoi nikomu nie zaszkodzi ;) >>Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :( > Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej > SecureID), dają więc taką samą jakość uwierzytelniania (aka > autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN > wprowadza się z klawiatury. Nie dają. Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami poznał hasła dostępu do konta internetowego ofiary. Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz... Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu. To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać keyloggerem... > Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych > transakcji przy jednoczesnym spełnieniu następujących warunków: > - token generuje odpowiedź zależną od wpisanego kodu, > - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją, > którą chcemy autoryzować (challenge/response). > Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne. Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8 ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle" będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na taki atak odporne. [...] > teoretycznie karty haseł jednorazowych też mogą zapewnić niezły poziom > ochrony, choć są znacznie mniej wygodne w użyciu niż tokeny. Nie > pamiętam już, gdzie schowałem kartę z Pekao24, bo jej prawie w ogóle > nie muszę używać (poza zdefiniowaniem przelewów stałych lata temu). > Czyli cały system jest chroniony przez jeden 4-cyfrowy PIN! To nawet w > CitiOnline, gdzie cały system zabezpieczeń opiera się na jednym > jedynym haśle statycznym, jest trochę lepiej, bo kod może być znacznie > dłuższy. No bez przesady - CitiOnline z legendarnym "numer karty + pin" jest nie do pobicia jeśli chodzi o głupotę ;) W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze na konto gazowni albo koleżanki... W Citi zrobi co zechce. Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| 2005-11-05 13:42 | Re: token w bankach | gral |
| On Sat, 05 Nov 2005 08:41:27 +0100, Wojciech Nawara >I co Ci po wskazaniu tokena, nie znając "hasła do tokena", które należy >wprowadzać razem ze wskazaniem tokena do logowania? > >Przeczytaj jeszcze raz post Jacka, bo dobrze mówi. czy to bedzie "haslo do tokena" czy "haslo1" "haslo2" "PIN do logowania" czy "haslo do logowania", oraz czy bedzie wpisywane w oddzielne pole na stronie, czy w to samo co wskazanie tokena - nie zmienia to kompletnie nic. |
||
| nowsze | 1 2 3 4 5 | starsze |
| Tytuł | Autor | Data |
|---|---|---|
token w bzwbk |
mierzwoj | 2005-11-10 11:55 |
zgubiony token - na przykladzie VW |
Wlodzimierz | 2005-11-16 00:03 |
kiedy sa eliksiry w bankach? |
| | 2006-01-20 12:19 |
VWBank - token |
Marek | 2006-02-06 17:41 |
KREDYTY/UBEZPIECZENIA/E-KONTA/W BANKACH |
systempartnerski | 2006-03-07 12:07 |
Godziny sesji w bankach. Gdzie? |
jareka | 2006-03-15 13:50 |
Idealne zabezpieczenie w bankach internetowych |
Rafal M | 2006-10-01 17:04 |
vwbank firmowe i prywatne jeden token ? |
....co to... | 2006-11-30 00:11 |
Prawdziwy koszt kredytu w bankach |
aland7 | 2006-12-16 14:24 |
Toyota Bank - token i jego koszt |
miecznik | 2007-04-02 18:50 |