Grupy dyskusyjne   »   pl.biznes.banki   »   Apki - bezpieczeństwo?

Apki - bezpieczeństwo?

Data: 2020-05-27 14:26:13
Autor: Piotr Gałka
Apki - bezpieczeństwo?
Wątek o DCC skłonił mnie do zapytania:

Na czym opiera się bezpieczeństwo apek?
Jak coś wykonuję w ST to potwierdzam to kodem przysłanym SMS - czyli atakujący musiałby przejąć dwa kanały.

Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem :)
P.G.

Data: 2020-05-27 15:14:26
Autor: Krzysztof Halasa
Apki - bezpieczeństwo?
Piotr Gałka <piotr.galka@cutthismicromade.pl> writes:

Na czym opiera się bezpieczeństwo apek?

Obawiam się, że nie chodzi o bezpieczeństwo, tylko po prostu o to, by
bank mógł wykonywać pożądane przez siebie operacje na telefonie klienta.

Nietrudno zauważyć, że teraz APKi są do wszystkiego - często tam, gdzie
właściwie do niczego nie służą (może poza np. uzyskaniem jakiegoś rabatu
albo innej mininagrody).
Można też porównać z "gwarantowanymi nagrodami" różnych spamerów,
"badaczy pseudomedycznych", "wygrałeś odkurzacz samochodowy" (podaj
markę samochodu, żebyśmy mogli cię ocenić) itd.

Bezpieczeństwo aplikacji jest często niższe niż byle rozwiązania sprzed
10 lat - w odpowiednich okolicznościach (np. świadomego użytkownika
komputera).
--
Krzysztof Hałasa

Data: 2020-05-27 19:07:40
Autor: Alf/red/
Apki - bezpieczeństwo?
W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem

Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe... Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji. Operacje robione w komputerze potwierdza się w aplikacji, operacje w aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.

A kody w mailu to chyba nigdy nie przychodziły nigdzie. Grupo, ktoś pamięta takie rozwiązanie?

--
Alf/red/

Data: 2020-05-27 19:59:59
Autor: Kamil Jońca
Apki - bezpieczeństwo?
Alf/red/ <alf_2005@ump.waw.pl> writes:

[...]
lub dodatkowym.

A kody w mailu to chyba nigdy nie przychodziły nigdzie. Grupo, ktoś
pamięta takie rozwiązanie?

W banku nie kojarzę. Za to w epuap kiedyś tak było.

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

Data: 2020-05-28 12:59:49
Autor: Piotr Gałka
Apki - bezpieczeństwo?
W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem

Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe...

Oczywiście, że nie o całe. Ale choćby o jedną z podstaw, że przejęcie jednego kanału (urządzenia) nie daje atakującemu dostępu.

Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
Operacje robione w komputerze potwierdza się w aplikacji, operacje w aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.

Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).

A kody w mailu to chyba nigdy nie przychodziły nigdzie.

To był żart.
P.G.

Data: 2020-05-28 04:20:20
Autor: Dawid Rutkowski
Apki - bezpieczeństwo?
W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
W dniu 2020-05-27 o 19:07, Alf/red/ pisze:

> Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla > obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
> Operacje robione w komputerze potwierdza się w aplikacji, operacje w > aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.

Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).

A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który przychodzą SMSy?

> A kody w mailu to chyba nigdy nie przychodziły nigdzie.

To był żart.

Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku, jak startował N26) przychodziły pocztą.
I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48 kodami do wykorzystania.
Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w zapasie.
Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu danej dyspozycji.
N26 na zachodzie naprawdę było objawieniem.

Data: 2020-05-28 13:30:18
Autor: Michal Jankowski
Apki - bezpieczeństwo?
W dniu 28.05.2020 o 13:20, Dawid Rutkowski pisze:
W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
W dniu 2020-05-27 o 19:07, Alf/red/ pisze:

Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
Operacje robione w komputerze potwierdza się w aplikacji, operacje w
aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.

Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za
bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).

A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który przychodzą SMSy?

A kody w mailu to chyba nigdy nie przychodziły nigdzie.

To był żart.

Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku, jak startował N26) przychodziły pocztą.
I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48 kodami do wykorzystania.
Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w zapasie.
Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu danej dyspozycji.
N26 na zachodzie naprawdę było objawieniem.


Nie sprawdzałem ostatnio, ale jak znam życie, to w USA nadal wysyłają czeki pocztą.

   MJ

Data: 2020-05-28 04:45:06
Autor: Dawid Rutkowski
Apki - bezpieczeństwo?
W dniu czwartek, 28 maja 2020 13:30:22 UTC+2 użytkownik Michal Jankowski napisał:
W dniu 28.05.2020 o 13:20, Dawid Rutkowski pisze:
> W dniu czwartek, 28 maja 2020 12:59:47 UTC+2 użytkownik Piotr Gałka napisał:
>> W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
>>
>>> Tak, można mieć apkę i jednocześnie SMS. Jednak jest to mało korzystne (dla
>>> obu stron), więc banki naciskają, żeby mieć autoryzację w aplikacji.
>>> Operacje robione w komputerze potwierdza się w aplikacji, operacje w
>>> aplikacji potwierdza się... w aplikacji - tym samym hasłem lub dodatkowym.
>>
>> Jeśli potwierdzanie w tym samym kanale kolejnym hasłem uznawane jest za
>> bezpieczne to po co w ST wprowadzili potwierdzanie SMS-ami (drugim kanałem).
> > A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który przychodzą SMSy?
> >>> A kody w mailu to chyba nigdy nie przychodziły nigdzie.
>>
>> To był żart.
> > Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku, jak startował N26) przychodziły pocztą.
> I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48 kodami do wykorzystania.
> Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w zapasie.
> Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu danej dyspozycji.
> N26 na zachodzie naprawdę było objawieniem.
> Nie sprawdzałem ostatnio, ale jak znam życie, to w USA nadal wysyłają czeki pocztą.

Karty płatnicze też się wysyła pocztą.
Czeki to żaden problem - zamawiasz sobie z wyprzedzeniem, ZANIM skończy się poprzednia książeczka, i dostajesz na raz 50 in blanco.
Tak, jak w mBąku dostawałeś listę z 48 hasłami Z GÓRY.

To teraz sobie wyobraź, że żeby zapłacić czekiem musisz:
- iść, zadzwonić, "zainternetować" do banku, że potrzebujesz czek na 200$ (a jak trzeba, to jeszcze podać, kto ma być beneficjentem),
- poczekać, aż poczta go dostarczy.
"Bardzo praktyczne" np. na stacji benzynowej.

I tak to w tej Francji działało - zlecasz przelew i czekasz, aż pocztą przyjdzie kod - i tak po 3 dniach do tygodnia (choć może tam poczta działa lepiej - u nas uważam za dobry rezultat np. dzisiejszy list z citi - wygląda na polecony, bo ma naklejkę, na szczęście mam "polecony do skrzynki" - data pisma z 25 maja, stempel z 26, dziś rano - 28 - w skrzynce) potwierdzasz - i dopiero wtedy przelew wychodzi.

Nie wiem, czy mają/mieli tam opcję "zaufanych odbiorców" - bo chyba tylko w ten sposób dawało się francuskich banków z jakimś sensem przez net korzystać.
Choć zaufani też niewiele pomogą - bo zaufani to właściwie opłata stałych rachunków, spłata KK i ew. rodzina - więc na potwierdzenie takich przelewów w sumie tydzień poczekać można - gorzej jedynie, jak się zapomni je z tygodniowym wyprzedzeniem zlecić - i jedynie tu "zaufanie" mogłoby coś pomóc.

Data: 2020-05-28 17:22:13
Autor: ąćęłńóśźż
Apki - bezpieczeństwo?
Mnie okradziono z takiego czeku na $100 (zwrot części kwoty za zakupy, popularne rozwiązanie na obniżkę ceny w USA).


-- -- -
jak znam życie, to w USA nadal wysyłają czeki pocztą.

Data: 2020-05-28 13:34:49
Autor: Michal Jankowski
Apki - bezpieczeństwo?
W dniu 28.05.2020 o 12:59, Piotr Gałka pisze:
W dniu 2020-05-27 o 19:07, Alf/red/ pisze:
W dniu 27.05.2020 o 14:26, Piotr Gałka pisze:
Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem

Nie do końca pytasz o "bezpieczeństwo", a na pewno nie o całe...

Oczywiście, że nie o całe. Ale choćby o jedną z podstaw, że przejęcie jednego kanału (urządzenia) nie daje atakującemu dostępu.

Rozwiązanie typu przeglądarka z hasłem plus sms znalazło się na cenzurowanym w chwili, kiedy się okazało, że przejęcie numeru telefonu wystarcza do zmiany hasła przeglądarki...

Co jest potrzebne do 'odzyskania' hasła do apki?

   MJ

Data: 2020-05-28 04:47:51
Autor: Dawid Rutkowski
Apki - bezpieczeństwo?
W dniu czwartek, 28 maja 2020 13:35:03 UTC+2 użytkownik Michal Jankowski napisał:

Co jest potrzebne do 'odzyskania' hasła do apki?

Hmm, w sumie nigdy nie potrzebowałem.
Mogę się mylić, ale możliwe, że nie ma takiej opcji - pozostaje usunięcie i zainstalowanie na nowo (a dla power-userów wyczyszczenie wszystkich danych apki) i ponowne "sparowanie", czyli ustanawianie hasła-pinu do apki.
A ustanawia się to różnie w zależności od banku - od najprostszego podania loginu i hasła do ST oraz przepisania kodu SMS aż do (być może to już przeszłość, bo było za trudne) jakichś oczeń wyrafino metod.

Data: 2020-05-28 15:05:30
Autor: Krzysztof Halasa
Apki - bezpieczeństwo?
Michal Jankowski <michalj@fuw.edu.pl> writes:

Rozwiązanie typu przeglądarka z hasłem plus sms znalazło się na
cenzurowanym w chwili, kiedy się okazało, że przejęcie numeru telefonu
wystarcza do zmiany hasła przeglądarki...

Ale to jest problem banku i jego debilnych procedur, a nie ogólny.
--
Krzysztof Hałasa

Data: 2020-05-28 14:37:47
Autor: Piotr Gałka
Apki - bezpieczeństwo?
W dniu 2020-05-28 o 13:20, Dawid Rutkowski pisze:

A co powiesz na używanie ST w przeglądarce na tym samym telefonie, na który przychodzą SMSy?

Nigdy nie logowałem się do ST z przeglądarki w telefonie.
Uważam (liczę na to), że dzięki temu zapobiegam zapamiętaniu gdzieś w przeglądarce hasła do ST. Kto mi zagwarantuje, że przeglądarka jednak gdzieś go nie zapamiętuje.
Chociaż jak przeglądarka korzysta z tych samych zasobów co przeglądarka na komputerze, a ta by wbrew woli zapamiętywała (i przechowywała w chmurze) to i tak moje "liczę na to" jest przeliczeniem się :)

Żartem zaś nie jest to, że kody we Francji przychodziły (info tak sprzed 1,5 roku, jak startował N26) przychodziły pocztą.
I nie, nie było tak jak np. w dawnym mBąku, gdzie dostawałeś Z GÓRY listę z 48 kodami do wykorzystania.
Nie było nawet tak, że miałeś jeden kod przysłany Z GÓRY i mogłeś go trzymać w zapasie.
Było tak, że bank wysyłał pocztą kod do potwierdzenia operacji dopiero PO złożeniu danej dyspozycji.
N26 na zachodzie naprawdę było objawieniem.

To był chyba 2007. Mieliśmy ze sobą 4 karty (wszystkie debetowe mBanku) i nie dało się w Etab hotelu zapłacić. Dopiero następnego dnia rano się zorientowaliśmy, że to była akurat nocna konserwacja systemu.
Przy tamtej okazji (w Niemczech) obsługa hotelu się zdziwiła słysząc ode mnie, że u nas przelew idzie jeden dzień, a ja się zdziwiłem, że u nich idzie od 3 dni w górę.

To mnie skłoniło do znalezienie p.b.b i ogólnie trochę zorientowania się.
P.G.

Data: 2020-05-28 21:15:59
Autor: Wojciech Bancer
Apki - bezpieczeństwo?
On 2020-05-27, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:

[...]

Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi telefon, czy kody przychodzą mailem :)

Telefon jest uznawany za bardziej osobisty, bardziej chroniony, więc
aplikacje autoryzują się albo nadanym (w apce) pinem, albo biometryką.
Albo jednym i drugim (czyli np. biometryka do odblokowania apki, pin do potwierdzenia operacji).

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Data: 2020-05-28 12:40:18
Autor: Dawid Rutkowski
Apki - bezpieczeństwo?
W dniu czwartek, 28 maja 2020 21:16:16 UTC+2 użytkownik Wojciech Bancer napisał:
On 2020-05-27, Piotr Gałka wrote:

[...]

> Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi > telefon, czy kody przychodzą mailem :)

Telefon jest uznawany za bardziej osobisty, bardziej chroniony, więc
aplikacje autoryzują się albo nadanym (w apce) pinem, albo biometryką.
Albo jednym i drugim (czyli np. biometryka do odblokowania apki, pin do potwierdzenia operacji).

Generalizujecie towarzyszu.
W apce citka podaje się hasło do ST (tzn. podobno jest możliwość odcisku palca, ale podobno słabo działa).

To już trzecie wcielenie ich apki, pokolenia różniły się od siebie diametralnie. W trzecim można powiedzieć, że pojawiła się "osobistość" - login jest chyba zafixowany, w poprzednich wersjach również login można było podać.

Data: 2020-05-29 10:56:40
Autor: Wojciech Bancer
Apki - bezpieczeństwo?
On 2020-05-28, Dawid Rutkowski <drutkow1@wp.pl> wrote:

[...]

Telefon jest uznawany za bardziej osobisty, bardziej chroniony, więc
aplikacje autoryzują się albo nadanym (w apce) pinem, albo biometryką.
Albo jednym i drugim (czyli np. biometryka do odblokowania apki, pin do potwierdzenia operacji).

Generalizujecie towarzyszu.
W apce citka podaje się hasło do ST (tzn. podobno jest możliwość odcisku palca, ale podobno słabo działa).

Ja się autoryzuję paszczowo, a do ichniego Mobile Tokenu mam PIN.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Data: 2020-05-29 11:33:26
Autor: Michal Jankowski
Apki - bezpieczeństwo?
W dniu 28.05.2020 o 21:40, Dawid Rutkowski pisze:
W dniu czwartek, 28 maja 2020 21:16:16 UTC+2 użytkownik Wojciech Bancer napisał:
On 2020-05-27, Piotr Gałka wrote:

[...]

Jak się używa apki (nigdy nie miałem) to co dla SMS-ów ma się drugi
telefon, czy kody przychodzą mailem :)

Telefon jest uznawany za bardziej osobisty, bardziej chroniony, więc
aplikacje autoryzują się albo nadanym (w apce) pinem, albo biometryką.
Albo jednym i drugim (czyli np. biometryka do odblokowania apki, pin
do potwierdzenia operacji).

Generalizujecie towarzyszu.
W apce citka podaje się hasło do ST (tzn. podobno jest możliwość odcisku palca, ale podobno słabo działa).

Poprzednia wersja apki miała logowanie na  odcisk, nowa nie ma. Przynajmniej u mnie. Nie ma w menu nic o palcu.

   MJ

Apki - bezpieczeństwo?

Nowy film z video.banzaj.pl więcej »
Redmi 9A - recenzja budżetowego smartfona