| Data: 2009-10-20 11:00:36 | |
| Autor: xbartx | |
| Najnowocze¶niej zabezpieczone banki | |
|
Na bankier.pl pojawiło się zestawienie: http://tinyurl.com/banki-sec http://preview.tinyurl.com/banki-sec Pierwszy jest eurobank, ze swoimi tokenami Drugi Fortis Trzeci Rajfi i BZWBK Najlepiej wygląda koniec stawki: PKO BP, Inteligo, Getin, DB, DnB nord, BP Nie mam czasu zaglądnąć w metodologię i nie wiem czy brali też pod uwagę używalność. Mnie dziwi pozycja ING ze swoim esemesowy algorytmem?! -- xbartx |
|
| Data: 2009-10-20 13:03:48 | |
| Autor: MarekZ | |
| Najnowocześniej zabezpieczon e banki | |
|
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości grup dyskusyjnych:hbk58k$cqi$1@inews.gazeta.pl...
Trzeci Rajfi i BZWBK Rajfi trzeci może za długość haseł jednorazowych (sześć cyfr)? :) |
|
| Data: 2009-10-20 14:02:37 | |
| Autor: Cavea | |
| Najnowocześniej zabezpieczone banki | |
http://tinyurl.com/banki-sec Pierwszy jest eurobank, ze swoimi tokenami Ja czytając tę grupę zaczynam mieć taką konkluzję że token gsm Eurobanku jest faktycznie dość dobry, jednak aby z niego korzystać wygodnie jest mieć aktywny kanał telefoniczny, co się przydaje do zsynchronizowania tokena gsm albo zlecenia wysłania nowego. I tutaj jest problem bo kanał telefoniczny jest o wiele mniej bezpieczny. |
|
| Data: 2009-10-20 14:18:53 | |
| Autor: Robert Kois | |
| Najnowocześniej zabezpieczone banki | |
|
Dnia Tue, 20 Oct 2009 14:02:37 +0200, Cavea napisał(a):
Ja czytaj±c tę grupę zaczynam mieć tak± konkluzję że token gsm Eurobanku jest faktycznie do¶ć dobry, jednak aby z niego korzystać wygodnie jest mieć aktywny kanał telefoniczny, co się przydaje do zsynchronizowania tokena gsm albo zlecenia wysłania nowego. I tutaj jest problem bo kanał telefoniczny jest o wiele mniej bezpieczny. W normalnych przypadkach nie ma potrzeby synchronizowania tokena. Jak się bawisz tokenem i generujesz hasła na pusto to sam jeste¶ sobie winien. Problem jest przy zmianie telefonu, ale tu można się przej¶ć do placówki. -- Kojer |
|
| Data: 2009-10-22 21:04:02 | |
| Autor: Michał | |
| Najnowocześniej zabezpieczone banki | |
|
Dnia Tue, 20 Oct 2009 14:02:37 +0200, Cavea napisał(a):
http://tinyurl.com/banki-sec Używam tokena ponad rok i nigdy nie miałem potrzeby synchronizowania (EB mam jako podstawowy rachunek do obracania pieniędzmi). Faktycznie raz była potrzeba wysłania nowego ale w tym nic dziwnego, bo zmieniłem telefon (fizycznie - urz±dzenie, nie nr). ....ale ja to może masochist± jestem, bo wszyscy w kółko, ze beee, że się nie nadaje, ze pasee a ja uważam za rewelacyjne rozwi±zanie :-). -- Pozdrawiam, Michał |
|
| Data: 2009-10-23 12:04:01 | |
| Autor: witrak() | |
| Najnowocze¶niej zabezpieczone banki | |
|
On 2009-10-22 21:04, Michał wrote:
Dnia Tue, 20 Oct 2009 14:02:37 +0200, Cavea napisał(a):.... Ja czytaj±c tę grupę zaczynam mieć tak± konkluzję że token Potwierdzam, używam intensywnie od ponad pół roku i nawet jak zmarnowałem (naciskaj±c w telefonie nie to, co trzeba) jeden kod na logowanie - nic się nie stało. My¶lę, że jaki¶ algorytm autosynchronizacji jest wbudowany w mechanizm autoryzacji - skoro może być dla tokenów sprzętowych to i dla takich nie powinno to byc problemem. Natomiast co innego mnie wkurza: token nie przyjmuje hasła przy wprowadzaniu z klawiatury zewnętrznej (mam SE z klapk±). Stwierdza od razu, że niedozwolony znak (wiadomo, że z klawiatury zewnętrznej wprowadzany znak zmienia się kilka razy - cyfry pojawiaj± się jako ostatnie). Nie narzekałbym, gdyby nie to, że cyfry z klawiatury generalnie akceptuje - gdy wprowadza się kod dla funkcji "operacja" - więc można, tylko kto¶ nie pomy¶lał. Ponadto, żeby wybrać funkcję nie można użyć przycisku select. Studenci oprogramowaliby to lepiej... witrak() |
|
| Data: 2009-10-20 14:26:15 | |
| Autor: Paweł | |
| Najnowocześniej zabezpieczone banki | |
|
xbartx wrote:
i oczywiscie pan analityk napisal glupote przy bzwbk, wybral autoryzacje sms-em a przeciez do konta indywidualnego mozna miec token z pinem i {time,challange}-response. |
|
| Data: 2009-10-20 14:52:09 | |
| Autor: pmlb | |
| Najnowocześniej zabezpieczon e banki | |
Na bankier.pl pojawiło się zestawienie: Ile jest osob na swiecie potrafiacych "podsuchac" transmisje miedzy toba a bankiem bez tokenow, hasel... przy zwyklym 128bitowym szyfrowaniu? |
|
| Data: 2009-10-20 17:23:11 | |
| Autor: MattS | |
| Najnowocze¶niej zabezpieczone banki | |
|
pmlb wrote:
Przecież nie tu jest słabe ogniwo. Ile osób jest w stanie poznać to co użytkownik wpisuje do przegl±darki w pola typu hasło? W zależno¶ci od stanu systemu operacyjnego, od zera do wielu. Wracaj±c do testów systemów transakcyjnych. Dobry system to taki, z którego w sytuacji podbramkowej da się skorzystać nawet z niezaufanego komputera. Np. taki, w którym każd± niezdefiniowan± transakcję trzeba potwierdzić hasłem sms-owym zawieraj±cym zarówno numer rachunku docelowego jak i kwotę. ING słabo wypada ze swoim algorytmem, w którym przelewy na niskie kwoty nie s± weryfikowane kodem autoryzacyjnym. Matt |
|
| Data: 2009-10-20 18:54:34 | |
| Autor: MarcinF | |
| Najnowocześniej zabezpieczone banki | |
|
xbartx wrote:
Na bankier.pl pojawiło się zestawienie: jak ktos juz skomentowal na stronie bankiera, w tym raporcie zalozono ze token sprzetowy w trybie challenge response nie chroni przez atakami man-in-the-middle/browser, w przeciwienstwie do tokena software dzialajacego w tym trybie jesli juz rozrozniac ich stopien bezpieczenstwa, to raczej softwareowy moze byc bardziej narazony, bo na sprzetowym tokenie raczej nie da sie zainstalowac trojana, a tymbardziej wyslac z niego dane przez internet... |
|