Data: 2017-11-05 23:20:46 | |
Autor: Marek | |
Wynalazek Aliora | |
https://www.spidersweb.pl/2017/11/alior-bank-bezpieczne-urzadzenie-kryptograficzne.html
Serio trzeba wymyślać takie rzeczy zamiast użyć sprzętowy token do logowania i do autoryzowania przelewów (jak jest np. w company.mbank)? -- Marek |
|
Data: 2017-11-06 00:07:23 | |
Autor: J.F. | |
Wynalazek Aliora | |
Dnia Sun, 05 Nov 2017 23:20:46 +0100, Marek napisał(a):
https://www.spidersweb.pl/2017/11/alior-bank-bezpieczne-urzadzenie-kryptograficzne.html "zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz. Musi miec wlasny wyswietlacz i lacznosc z bankiem, aby ten mogl bezpiecznym kanalem przekaz "przelew do cioci Jadzi 100 zl". J. |
|
Data: 2017-11-06 08:21:12 | |
Autor: Marek | |
Wynalazek Aliora | |
On Mon, 6 Nov 2017 00:07:23 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz. Ale to urządzenie nie jest niczym innym jak dedykowanym komputerem do robienia przelewów. Nie potrzeba tak kombinować, każdy w miarę ogarnięty może sobie zbudować bezpieczny komputer bez windows do takich celów. -- Marek |
|
Data: 2017-11-06 22:42:51 | |
Autor: J.F. | |
Wynalazek Aliora | |
Dnia Mon, 06 Nov 2017 08:21:12 +0100, Marek napisał(a):
On Mon, 6 Nov 2017 00:07:23 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote: Bezpieczny procesor, bezpieczny system, bezpieczny kompilator, bezpieczny system developerski ... to se ne da :-) J. |
|
Data: 2017-11-06 23:54:40 | |
Autor: MarcinF | |
Wynalazek Aliora | |
W dniu 2017-11-06 o 00:07, J.F. pisze:
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz. Sprzętowy, a nie zwykły. Klasyczny przykład zastosowania tokenów challenge-response to podpisywanie przelewów. Musi miec wlasny wyswietlacz i lacznosc z bankiem I nie musi mieć łączności z czymkolwiek. |
|
Data: 2017-11-07 02:05:57 | |
Autor: J.F. | |
Wynalazek Aliora | |
Dnia Mon, 6 Nov 2017 23:54:40 +0100, MarcinF napisał(a):
W dniu 2017-11-06 o 00:07, J.F. pisze: Jakis przyklad co dokladnie masz ma mysli ? Bo na razie to jak rozumiem ... wsadzisz w zainfekowany konputer i automatycznie podpisze za Ciebie przelew, albo i kilka :-) Musi miec wlasny wyswietlacz i lacznosc z bankiemI nie musi mieć łączności z czymkolwiek. No to nie bedziesz wiedzial co tak naprawde podpisujesz :-) J. |
|
Data: 2017-11-08 00:47:14 | |
Autor: MarcinF | |
Wynalazek Aliora | |
W dniu 2017-11-07 o 02:05, J.F. pisze:
Dnia Mon, 6 Nov 2017 23:54:40 +0100, MarcinF napisał(a): Sprzętowy token wyświetlający cyfrowy podpis wprowadzonych przez klawiaturę danych transakcji (np. fragmentu numeru rachunku, kwoty). Może to nie jest "zwykły token", ale założyciel wątku wcale nie użył takiego terminu. Tego rodzaju tokeny są powszechnie stosowane w bankowości. Bo na razie to jak rozumiem ... wsadzisz w zainfekowany konputer i Wystarczy zmysłowa łączność z użytkownikiem (wzroku z wyświetlaczem i dotyku z klawiaturą). |
|
Data: 2017-11-08 12:48:39 | |
Autor: J.F. | |
Wynalazek Aliora | |
Użytkownik "MarcinF" napisał w wiadomości grup dyskusyjnych:ottgm9$r9u$1@node1.news.atman.pl...
W dniu 2017-11-07 o 02:05, J.F. pisze: Dnia Mon, 6 Nov 2017 23:54:40 +0100, MarcinF napisał(a): Sprzętowy token wyświetlający cyfrowy podpis wprowadzonych przez A kto taki w pl oferuje ? Pomysl w miare dobry, dopoki sie nie okaze, ze zhackowana przegladarka wyswietlila dobra nazwe, ale inny numer konta. Musi miec wlasny wyswietlacz i lacznosc z bankiemI nie musi mieć łączności z czymkolwiek. Wystarczy zmysłowa łączność z użytkownikiem (wzroku z wyświetlaczem i dotyku z klawiaturą). W pomysle powyzej role lacznosci pelni czlowiek. A to troche uciazliwe jest, jak trzeba za duzo danych przepisywac. J. |
|
Data: 2017-11-08 21:44:40 | |
Autor: MarcinF | |
Wynalazek Aliora | |
W dniu 2017-11-08 o 12:48, J.F. pisze:
A kto taki w pl oferuje ? Dla klientów indywidualnych np. Pekao, w bankowości korporacyjnej są spotykane znacznie częściej. Pomysl w miare dobry, dopoki sie nie okaze, ze zhackowana przegladarka Takie tokeny służą właśnie do zabezpieczenia m.in. przed atakiem na przeglądarkę. |
|
Data: 2017-11-08 20:07:52 | |
Autor: FeliksB | |
Wynalazek Eurobanku. | |
Użytkownik "J.F." <jfox_xnospamx@poczta.onet.pl> napisał w wiadomości
news:4tyexjlo75li$.1khuw32mglu5i.dlg40tude.net... Dnia Sun, 05 Nov 2017 23:20:46 +0100, Marek napisał(a): Z Eurobanku mam token na telefonie komórkowym. Taki token nie potrzebuje łączności radiowej z bankiem. Do zatwierdzenia operacji bank podaje kod na ekranie, wpisuję kod do tokena i token wyświetla jaka to operacja, jednocześnie wyswietla kod do zatwierdzenia operacji, który wpisuję na ekranie. Jeżeli się zgadza to bank wykonuje zleconą operację. |
|
Data: 2017-11-08 20:57:24 | |
Autor: Wojciech Bancer | |
Wynalazek Aliora | |
On 2017-11-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] "zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz. Póki co najlepiej chyba zagrał mBank - przelewy możesz autoryzować z aplikacji mobilnej, przychodzi odpowiedni push, a w apce widisz detale operacji i możesz ją potwierdzić, albo odrzucić. Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
Data: 2017-11-09 16:05:34 | |
Autor: Liwiusz | |
Wynalazek Aliora | |
W dniu 2017-11-08 o 20:57, Wojciech Bancer pisze:
On 2017-11-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Co w tym najlepszego? Znajomość PIN + dostęp do telefonu - i robi się co chce (w granicach limitów). -- Liwiusz |
|
Data: 2017-11-09 16:11:43 | |
Autor: Wojciech Bancer | |
Wynalazek Aliora | |
On 2017-11-09, Liwiusz <lmalin@bez.tego.poczta.onet.pl> wrote:
[...] Póki co najlepiej chyba zagrał mBank - przelewy możesz autoryzować Mówimy o atakach online, a nie face-to-face. Bo face-to-face, to jak masz "dostęp do telefonu", to SMS jest gorszym zabezpieczeniem (nie musisz nawet odblokować telefonu). Ze sprzętowym tokenem to samo (nie wszystkie mają blokady na PIN). -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
Data: 2017-11-09 00:37:41 | |
Autor: J.F. | |
Wynalazek Aliora | |
Dnia Wed, 8 Nov 2017 20:57:24 +0100, Wojciech Bancer napisał(a):
On 2017-11-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: I byloby to swietne, gdyby nie ten otwarty system w telefonie, na ktorym nie wiadomo co sie zalegnie i jak zmieni dzialanie operacji :-) J. |
|
Data: 2017-11-09 10:56:00 | |
Autor: Wojciech Bancer | |
Wynalazek Aliora | |
On 2017-11-08, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :) Android? Może. Ja mam iOS i nie mam tego problemu :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|