Data: 2020-05-27 14:26:13 | |
Autor: Piotr Gałka | |
Apki - bezpieczeństwo? | |
Wątek o DCC skłonił mnie do zapytania:
Na czym opiera się bezpieczeństwo apek? Jak coś wykonuję w ST to potwierdzam to kodem przysłanym SMS - czyli atakujący musiałby przejąć dwa kanały. Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem :) P.G. |
|
Data: 2020-05-27 15:14:26 | |
Autor: Krzysztof Halasa | |
Apki - bezpieczeństwo? | |
Piotr Gałka <piotr.galka@cutthismicromade.pl> writes:
Na czym opiera się bezpieczeństwo apek? Obawiam się, że nie chodzi o bezpieczeństwo, tylko po prostu o to, by bank mógł wykonywać pożądane przez siebie operacje na telefonie klienta. Nietrudno zauważyć, że teraz APKi są do wszystkiego - często tam, gdzie właściwie do niczego nie służą (może poza np. uzyskaniem jakiegoś rabatu albo innej mininagrody). Można też porównać z "gwarantowanymi nagrodami" różnych spamerów, "badaczy pseudomedycznych", "wygrałeś odkurzacz samochodowy" (podaj markę samochodu, żebyśmy mogli cię ocenić) itd. Bezpieczeństwo aplikacji jest często niższe niż byle rozwiązania sprzed 10 lat - w odpowiednich okolicznościach (np. świadomego użytkownika komputera). -- Krzysztof Hałasa |
|
Data: 2020-05-27 19:07:40 | |
Autor: Alf/red/ | |
Apki - bezpieczeństwo? | |
W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe... Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji. Operacje robione w komputerze potwierdza się w aplikacji, operacje w aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym. A kody w mailu to chyba nigdy nie przychodziły nigdzie. Grupo, ktoś pamięta takie rozwiązanie? -- Alf/red/ |
|
Data: 2020-05-27 19:59:59 | |
Autor: Kamil Jońca | |
Apki - bezpieczeństwo? | |
Alf/red/ <alf_2005@ump.waw.pl> writes:
[...] lub dodatkowym. W banku nie kojarzę. Za to w epuap kiedyś tak było. KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html |
|
Data: 2020-05-28 12:59:49 | |
Autor: Piotr Gałka | |
Apki - bezpieczeństwo? | |
W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
W dniu 27.05.2020 o 14:26, Piotr Gałka pisze: Oczywiście, że nie o całe. Ale choćby o jedną z podstaw, że przejęcie jednego kanału (urządzenia) nie daje atakującemu dostępu. Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji. Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem). A kody w mailu to chyba nigdy nie przychodziły nigdzie. To był żart. P.G. |
|
Data: 2020-05-28 04:20:20 | |
Autor: Dawid Rutkowski | |
Apki - bezpieczeĹstwo? | |
W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
W dniu 2020-05-27 o 19:07, Alf/red/ pisze: A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który przychodzą SMSy? > A kody w mailu to chyba nigdy nie przychodziły nigdzie. Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku, jak startował N26) przychodziły pocztą. I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48 kodami do wykorzystania. Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w zapasie. Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu danej dyspozycji. N26 na zachodzie naprawdę było objawieniem. |
|
Data: 2020-05-28 13:30:18 | |
Autor: Michal Jankowski | |
Apki - bezpieczeństwo? | |
W dniu 28.05.2020 o 13:20, Dawid Rutkowski pisze:
W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał: Nie sprawdzałem ostatnio, ale jak znam życie, to w USA nadal wysyłają czeki pocztą. MJ |
|
Data: 2020-05-28 04:45:06 | |
Autor: Dawid Rutkowski | |
Apki - bezpieczeĹstwo? | |
W dniu czwartek, 28 maja 2020 13:30:22 UTC+2 użytkownik Michal Jankowski napisał:
W dniu 28.05.2020 o 13:20, Dawid Rutkowski pisze: Karty płatnicze też się wysyła pocztą. Czeki to żaden problem - zamawiasz sobie z wyprzedzeniem, ZANIM skończy się poprzednia książeczka, i dostajesz na raz 50 in blanco. Tak, jak w mBąku dostawałeś listę z 48 hasłami Z GÓRY. To teraz sobie wyobraź, że żeby zapłacić czekiem musisz: - iść, zadzwonić, "zainternetować" do banku, że potrzebujesz czek na 200$ (a jak trzeba, to jeszcze podać, kto ma być beneficjentem), - poczekać, aż poczta go dostarczy. "Bardzo praktyczne" np. na stacji benzynowej. I tak to w tej Francji działało - zlecasz przelew i czekasz, aż pocztą przyjdzie kod - i tak po 3 dniach do tygodnia (choć może tam poczta działa lepiej - u nas uważam za dobry rezultat np. dzisiejszy list z citi - wygląda na polecony, bo ma naklejkę, na szczęście mam "polecony do skrzynki" - data pisma z 25 maja, stempel z 26, dziś rano - 28 - w skrzynce) potwierdzasz - i dopiero wtedy przelew wychodzi. Nie wiem, czy mają/mieli tam opcję "zaufanych odbiorców" - bo chyba tylko w ten sposób dawało się francuskich banków z jakimś sensem przez net korzystać. Choć zaufani też niewiele pomogą - bo zaufani to właściwie opłata stałych rachunków, spłata KK i ew. rodzina - więc na potwierdzenie takich przelewów w sumie tydzień poczekać można - gorzej jedynie, jak się zapomni je z tygodniowym wyprzedzeniem zlecić - i jedynie tu "zaufanie" mogłoby coś pomóc. |
|
Data: 2020-05-28 17:22:13 | |
Autor: Ä ÄÄĹĹóşş | |
Apki - bezpieczeństwo? | |
Mnie okradziono z takiego czeku na $100 (zwrot części kwoty za zakupy, popularne rozwiązanie na obniżkę ceny w USA).
-- -- - jak znam życie, to w USA nadal wysyłają czeki pocztą. |
|
Data: 2020-05-28 13:34:49 | |
Autor: Michal Jankowski | |
Apki - bezpieczeństwo? | |
W dniu 28.05.2020 o 12:59, Piotr Gałka pisze:
W dniu 2020-05-27 o 19:07, Alf/red/ pisze: Rozwiązanie typu przeglądarka z hasłem plus sms znalazło się na cenzurowanym w chwili, kiedy się okazało, że przejęcie numeru telefonu wystarcza do zmiany hasła przeglądarki... Co jest potrzebne do 'odzyskania' hasła do apki? MJ |
|
Data: 2020-05-28 04:47:51 | |
Autor: Dawid Rutkowski | |
Apki - bezpieczeĹstwo? | |
W dniu czwartek, 28 maja 2020 13:35:03 UTC+2 użytkownik Michal Jankowski napisał:
Co jest potrzebne do 'odzyskania' hasła do apki? Hmm, w sumie nigdy nie potrzebowałem. Mogę się mylić, ale możliwe, że nie ma takiej opcji - pozostaje usunięcie i zainstalowanie na nowo (a dla power-userów wyczyszczenie wszystkich danych apki) i ponowne "sparowanie", czyli ustanawianie hasła-pinu do apki. A ustanawia się to różnie w zależności od banku - od najprostszego podania loginu i hasła do ST oraz przepisania kodu SMS aż do (być może to już przeszłość, bo było za trudne) jakichś oczeń wyrafino metod. |
|
Data: 2020-05-28 15:05:30 | |
Autor: Krzysztof Halasa | |
Apki - bezpieczeństwo? | |
Michal Jankowski <michalj@fuw.edu.pl> writes:
Rozwiązanie typu przeglądarka z hasłem plus sms znalazło się na Ale to jest problem banku i jego debilnych procedur, a nie ogólny. -- Krzysztof Hałasa |
|
Data: 2020-05-28 14:37:47 | |
Autor: Piotr Gałka | |
Apki - bezpieczeństwo? | |
W dniu 2020-05-28 o 13:20, Dawid Rutkowski pisze:
A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który przychodzą SMSy? Nigdy nie logowałem się do ST z przeglądarki w telefonie. Uważam (liczę na to), że dzięki temu zapobiegam zapamiętaniu gdzieś w przeglądarce hasła do ST. Kto mi zagwarantuje, że przeglądarka jednak gdzieś go nie zapamiętuje. Chociaż jak przeglądarka korzysta z tych samych zasobów co przeglądarka na komputerze, a ta by wbrew woli zapamiętywała (i przechowywała w chmurze) to i tak moje "liczę na to" jest przeliczeniem się :) Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku, jak startował N26) przychodziły pocztą. To był chyba 2007. Mieliśmy ze sobą 4 karty (wszystkie debetowe mBanku) i nie dało się w Etab hotelu zapłacić. Dopiero następnego dnia rano się zorientowaliśmy, że to była akurat nocna konserwacja systemu. Przy tamtej okazji (w Niemczech) obsługa hotelu się zdziwiła słysząc ode mnie, że u nas przelew idzie jeden dzień, a ja się zdziwiłem, że u nich idzie od 3 dni w górę. To mnie skłoniło do znalezienie p.b.b i ogólnie trochę zorientowania się. P.G. |
|
Data: 2020-05-28 21:15:59 | |
Autor: Wojciech Bancer | |
Apki - bezpieczeństwo? | |
On 2020-05-27, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:
[...] Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem :) Telefon jest uznawany za bardziej osobisty, bardziej chroniony, więc aplikacje autoryzują się albo nadanym (w apce) pinem, albo biometryką. Albo jednym i drugim (czyli np. biometryka do odblokowania apki, pin do potwierdzenia operacji). -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
Data: 2020-05-28 12:40:18 | |
Autor: Dawid Rutkowski | |
Apki - bezpieczeĹstwo? | |
W dniu czwartek, 28 maja 2020 21:16:16 UTC+2 użytkownik Wojciech Bancer napisał:
On 2020-05-27, Piotr Gałka wrote: Generalizujecie towarzyszu. W apce citka podaje się hasło do ST (tzn. podobno jest możliwość odcisku palca, ale podobno słabo działa). To już trzecie wcielenie ich apki, pokolenia różniły się od siebie diametralnie. W trzecim można powiedzieć, że pojawiła się "osobistość" - login jest chyba zafixowany, w poprzednich wersjach również login można było podać. |
|
Data: 2020-05-29 10:56:40 | |
Autor: Wojciech Bancer | |
Apki - bezpieczeństwo? | |
On 2020-05-28, Dawid Rutkowski <drutkow1@wp.pl> wrote:
[...] Telefon jest uznawany za bardziej osobisty, bardziej chroniony, więc Ja się autoryzuję paszczowo, a do ichniego Mobile Tokenu mam PIN. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
Data: 2020-05-29 11:33:26 | |
Autor: Michal Jankowski | |
Apki - bezpieczeństwo? | |
W dniu 28.05.2020 o 21:40, Dawid Rutkowski pisze:
W dniu czwartek, 28 maja 2020 21:16:16 UTC+2 użytkownik Wojciech Bancer napisał: Poprzednia wersja apki miała logowanie na odcisk, nowa nie ma. Przynajmniej u mnie. Nie ma w menu nic o palcu. MJ |