| poprzedni wątek | następny wątek | pl.biznes.banki |
| 2005-11-05 14:01 | Re: token w bankach | radekp |
| Sat, 5 Nov 2005 11:45:58 +0000 (UTC), w Jacek Osiecki > Każdy może go użyć, jak już tylko innymi metodami > poznał hasła dostępu do konta internetowego ofiary. A jak poznał "innymi" metodami hasło PIN do tokena? |
||
| 2005-11-05 14:02 | Re: token w bankach | Wojciech Nawara |
| Piotr Gralak napisał(a): > czy to bedzie "haslo do tokena" czy "haslo1" "haslo2" "PIN do > logowania" czy "haslo do logowania", oraz czy bedzie wpisywane w > oddzielne pole na stronie, czy w to samo co wskazanie tokena - nie > zmienia to kompletnie nic. Masz rację. Do wymienionych wyżej wariantów dodaj jeszcze jeden: "czy zostanie wpisane do tokena". Innymi słowy: o ile hasło do tokena pełni jedynie rolę "włączenia wyświetlacza", to nie jest to żadne dodatkowe zabezpieczenie w stosunku do tokenów wyświetlających ciągle wskazania na wyświetlaczu. Bo co za różnica, czy hasło wklepiesz do tokena, czy wpiszesz łącznie ze wskazaniem tokena do pola logowania? Jeżeli jednak od wpisanego hasła zależy wynik i bank w jakiś sposób jest to w stanie weryfikować - to co innego. |
||
| 2005-11-05 14:24 | Re: token w bankach | Jacek |
| On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki >... >> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej >> SecureID), dają więc taką samą jakość uwierzytelniania (aka >> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN >> wprowadza się z klawiatury. > >Nie dają. >Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł >jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami >poznał hasła dostępu do konta internetowego ofiary. > >Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować >wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz... > >Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu. >To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN >wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać >keyloggerem... Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!) przechwycił PIN. W pozostałych przypadkach oba sposoby *uwierzytelniania* są równoważne - znajomość PINu bez posiadania tokena nic nie daje. Nb serwer SecureID blokuje token w przypadku próby zgadywania PINów. >> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych >> transakcji przy jednoczesnym spełnieniu następujących warunków: >> - token generuje odpowiedź zależną od wpisanego kodu, >> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją, >> którą chcemy autoryzować (challenge/response). >> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne. > >Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie >mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8 >ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle" >będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na >taki atak odporne. Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w których mam konta, nie ma takich zabezpieczeń. > ... >W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze >na konto gazowni albo koleżanki... W Citi zrobi co zechce. Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił podatki do końca życia ;-) Pozdrawiam, Jacek |
||
| 2005-11-05 17:23 | Re: token w bankach | blad |
| Użytkownik "Jacek" >>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic >>nie >>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8 >>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the >>middle" >>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie >>było na >>taki atak odporne. > > Nie znam rozwiązania o którym wspominasz, ale hash transakcji > powinien > (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery > kont > i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w > których mam konta, nie ma takich zabezpieczeń. cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco. Token na oko taki jak ten z Nordei ale dzialal na zasadzie pytanie/odpowiedz - wprowadzalo sie chyba 6 cyfr i odpowiadal 6 cyfrowym kodem (czas tez tam gral role bo wprowadzenie za minute tych samych 6 cyfr dawalo inna odpowiedz) Jak te 6 cyfr bylu przez bank wymyslane to juz zalezy od pomyslowosci projektantow - mogl to byc skrot (hash) z numerow rachunkow i kwot *** blad *** |
||
| 2005-11-05 20:50 | Re: token w bankach | Perek |
| m@rkop napisał(a): > Wystarczyło w google wpisać, by dowiedzieć się więcej na jej temat... ;P > Pzdr > Nawet nie w google ale w pasek adresu i dopisać .pl ;P |
||
| 2005-11-07 09:07 | Re: token w bankach | Grzexs |
| > cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco. > Token na oko taki jak ten z Nordei ale dzialal na zasadzie > pytanie/odpowiedz > - wprowadzalo sie chyba 6 cyfr i odpowiadal 6 cyfrowym kodem > (czas tez tam gral role bo wprowadzenie za minute tych samych 6 cyfr > dawalo inna odpowiedz) > Jak te 6 cyfr bylu przez bank wymyslane to juz zalezy od pomyslowosci > projektantow - mogl to byc skrot (hash) z numerow rachunkow i kwot I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej dawali tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) z ekranu (do tej pory jest taka mrugająca animacja), no oczywiście odpowiedź trzeba było wklepać ręcznie. Wkurzajće jest jednak to, że token ma klawiturę w układzie "telefonicznym". Grzexs |
||
| 2005-11-07 22:50 | Re: token w bankach | blad |
| Użytkownik "Grzexs" >> cos takiego mial BGZ-Integrum jak mialem u nich konto i token >> Vasco. > I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej > dawali > tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) z ekranu > (do tej > pory jest taka mrugająca animacja), no oczywiście odpowiedź trzeba > było > wklepać ręcznie. Wkurzajće jest jednak to, że token ma klawiturę w > układzie > "telefonicznym". jesli BGZ ma takie tokeny dalej to nie widze powodu zeby nie odczytaly sobie kodu-pytania z ekranu - na prawde to robily. Tyle ze to nie dzialalo z ekranem LCD. Do normalnego przykladalo sie diodki i po sekundzie odczytywal. *** blad *** |
||
| 2005-11-08 09:36 | Re: token w bankach | Jacek Osiecki |
| Dnia Sat, 05 Nov 2005 14:02:28 +0100, Wojciech Nawara napisał(a): > Piotr Gralak napisał(a): > Innymi słowy: o ile hasło do tokena pełni jedynie rolę "włączenia > wyświetlacza", to nie jest to żadne dodatkowe zabezpieczenie w stosunku > do tokenów wyświetlających ciągle wskazania na wyświetlaczu. Bo co za > różnica, czy hasło wklepiesz do tokena, czy wpiszesz łącznie ze > wskazaniem tokena do pola logowania? Zasadnicza. PINu wpisywanego do tokena złodziej nie zesniffuje żadnym dziadostwem zainstalowanym na komputerze :) Z tego samego powodu śmieszą mnie teksty typu "bezpieczne karty mikroprocesorowe", które są zabezpieczone PINem wpisywanym w komputerze... > Jeżeli jednak od wpisanego hasła zależy wynik i bank w jakiś sposób jest > to w stanie weryfikować - to co innego. A to jest właśnie drugi atut - tyle, że zdecydowanie podpisywany powinien być nie nic nie mówiący użytkownikowi identyfikator operacji, a np. końcówka numeru konta. Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| 2005-11-08 09:36 | Re: token w bankach | Jacek Osiecki |
| Dnia Sat, 05 Nov 2005 14:24:12 +0100, Jacek napisał(a): > On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki > >>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu. >>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN >>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać >>keyloggerem... > Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!) > przechwycił PIN. Ale taki przypadek wcale nie jest jakiś wielce nieprawdopodobny, jeśli tylko złodziej zasadzi się na konkretną ofiarę - przyznasz chyba? > W pozostałych przypadkach oba sposoby *uwierzytelniania* są równoważne > - znajomość PINu bez posiadania tokena nic nie daje. Nb serwer SecureID > blokuje token w przypadku próby zgadywania PINów. Co nie zmienia faktu, że token z klawiaturą wprowadza jeszcze jeden poziom zabezpieczeń. >>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych >>> transakcji przy jednoczesnym spełnieniu następujących warunków: >>> - token generuje odpowiedź zależną od wpisanego kodu, >>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją, >>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie >>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8 >>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle" >>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na >>taki atak odporne. > Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien > (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont > i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w > których mam konta, nie ma takich zabezpieczeń. Problem w tym, że hash transakcji nic nie mówi użytkownikowi - więc jeśli złodziej przejmie kontrolę nad komputerem ofiary to może ona nieświadomie zatwierdzić wysłanie przelewu na jego konto. Być może dla wymagających użytkowników można by było wprowadzić podwójne zabezpieczenie - najpierw w tokenie wpisujemy 8 ostatnich cyfr konta, a dopiero gdy przejdziemy ten etap - wpisujemy hash transakcji. Może uciążliwe, ale miałoby miejsce tylko przy wpisywaniu kont do stałych przelewów i przy przelewach jednorazowych a w zamian dawałoby 100% zabezpieczenie konta przed złodziejami. W TelePekao24 niestety było tylko podpisywanie hasha transakcji :( >>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze >>na konto gazowni albo koleżanki... W Citi zrobi co zechce. > Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje > tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił > podatki do końca życia ;-) Pomyliłeś z ZUSem ;) Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| 2005-11-08 09:36 | Re: token w bankach | Jacek Osiecki |
| Dnia Mon, 7 Nov 2005 22:50:29 +0100, blad napisał(a): > Użytkownik "Grzexs" >>> cos takiego mial BGZ-Integrum jak mialem u nich konto i token Vasco. >> I ma dalej, choć trzeba dość słono za to zapłacić. Podobno wcześniej >> dawali tokeny, które odczytywały "zapytanie" (czyli ciąg 6 cyfr) >> z ekranu (do tej pory jest taka mrugająca animacja), no oczywiście > jesli BGZ ma takie tokeny dalej to nie widze powodu zeby nie odczytaly > sobie kodu-pytania z ekranu - na prawde to robily. Tyle ze to nie > dzialalo z ekranem LCD. No właśnie tu chyba główny problem - obecnie popularność LCD jest na tyle duża, że bawienie się w takie ułatwiacze za wielkiego sensu by nie miało... Pozdrawiam, -- Jacek Osiecki joshua@ceti.pl GG:3828944 "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla" (c) Tomasz Olbratowski 2004 |
||
| nowsze | 1 2 3 4 5 | starsze |
| Tytuł | Autor | Data |
|---|---|---|
token w bzwbk |
mierzwoj | 2005-11-10 11:55 |
zgubiony token - na przykladzie VW |
Wlodzimierz | 2005-11-16 00:03 |
kiedy sa eliksiry w bankach? |
| | 2006-01-20 12:19 |
VWBank - token |
Marek | 2006-02-06 17:41 |
KREDYTY/UBEZPIECZENIA/E-KONTA/W BANKACH |
systempartnerski | 2006-03-07 12:07 |
Godziny sesji w bankach. Gdzie? |
jareka | 2006-03-15 13:50 |
Idealne zabezpieczenie w bankach internetowych |
Rafal M | 2006-10-01 17:04 |
vwbank firmowe i prywatne jeden token ? |
....co to... | 2006-11-30 00:11 |
Prawdziwy koszt kredytu w bankach |
aland7 | 2006-12-16 14:24 |
Toyota Bank - token i jego koszt |
miecznik | 2007-04-02 18:50 |