Grupy dyskusyjne   »   pl.biznes.banki   »   Wynalazek Aliora

Wynalazek Aliora

Data: 2017-11-05 23:20:46
Autor: Marek
Wynalazek Aliora
https://www.spidersweb.pl/2017/11/alior-bank-bezpieczne-urzadzenie-kryptograficzne.html

Serio trzeba wymyślać takie rzeczy zamiast użyć sprzętowy token do logowania i do autoryzowania przelewów (jak jest np. w company.mbank)?

--
Marek

Data: 2017-11-06 00:07:23
Autor: J.F.
Wynalazek Aliora
Dnia Sun, 05 Nov 2017 23:20:46 +0100, Marek napisał(a):
https://www.spidersweb.pl/2017/11/alior-bank-bezpieczne-urzadzenie-kryptograficzne.html

Serio trzeba wymyślać takie rzeczy zamiast użyć sprzętowy token do logowania i do autoryzowania przelewów (jak jest np. w company.mbank)?


"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Musi miec wlasny wyswietlacz i lacznosc z bankiem, aby ten mogl
bezpiecznym kanalem przekaz "przelew do cioci Jadzi 100 zl".

J.

Data: 2017-11-06 08:21:12
Autor: Marek
Wynalazek Aliora
On Mon, 6 Nov 2017 00:07:23 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Ale to urządzenie nie jest niczym innym jak dedykowanym komputerem do robienia przelewów. Nie potrzeba tak kombinować, każdy w miarę ogarnięty może sobie zbudować bezpieczny komputer bez windows do takich celów.

--
Marek

Data: 2017-11-06 22:42:51
Autor: J.F.
Wynalazek Aliora
Dnia Mon, 06 Nov 2017 08:21:12 +0100, Marek napisał(a):
On Mon, 6 Nov 2017 00:07:23 +0100, "J.F."  <jfox_xnospamx@poczta.onet.pl> wrote:
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Ale to urządzenie nie jest niczym innym jak dedykowanym komputerem do robienia przelewów. Nie potrzeba tak kombinować, każdy w miarę ogarnięty może sobie zbudować bezpieczny komputer bez windows do takich celów.


Bezpieczny procesor, bezpieczny system, bezpieczny kompilator,
bezpieczny system developerski ... to se ne da :-)

J.

Data: 2017-11-06 23:54:40
Autor: MarcinF
Wynalazek Aliora
W dniu 2017-11-06 o 00:07, J.F. pisze:

"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Sprzętowy, a nie zwykły. Klasyczny przykład zastosowania tokenów
challenge-response to podpisywanie przelewów.

Musi miec wlasny wyswietlacz i lacznosc z bankiem

I nie musi mieć łączności z czymkolwiek.

Data: 2017-11-07 02:05:57
Autor: J.F.
Wynalazek Aliora
Dnia Mon, 6 Nov 2017 23:54:40 +0100, MarcinF napisał(a):
W dniu 2017-11-06 o 00:07, J.F. pisze:
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Sprzętowy, a nie zwykły. Klasyczny przykład zastosowania tokenów
challenge-response to podpisywanie przelewów.

Jakis przyklad co dokladnie masz ma mysli ?

Bo na razie to jak rozumiem ... wsadzisz w zainfekowany konputer i
automatycznie podpisze za Ciebie przelew, albo i kilka :-)

Musi miec wlasny wyswietlacz i lacznosc z bankiem
I nie musi mieć łączności z czymkolwiek.

No to nie bedziesz wiedzial co tak naprawde podpisujesz :-)

J.

Data: 2017-11-08 00:47:14
Autor: MarcinF
Wynalazek Aliora
W dniu 2017-11-07 o 02:05, J.F. pisze:
Dnia Mon, 6 Nov 2017 23:54:40 +0100, MarcinF napisał(a):
W dniu 2017-11-06 o 00:07, J.F. pisze:
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Sprzętowy, a nie zwykły. Klasyczny przykład zastosowania tokenów
challenge-response to podpisywanie przelewów.

Jakis przyklad co dokladnie masz ma mysli ?

Sprzętowy token wyświetlający cyfrowy podpis wprowadzonych przez
klawiaturę danych transakcji (np. fragmentu numeru rachunku, kwoty).
Może to nie jest "zwykły token", ale założyciel wątku wcale nie użył
takiego terminu. Tego rodzaju tokeny są powszechnie stosowane
w bankowości.

Bo na razie to jak rozumiem ... wsadzisz w zainfekowany konputer i
automatycznie podpisze za Ciebie przelew, albo i kilka :-)

Musi miec wlasny wyswietlacz i lacznosc z bankiem
I nie musi mieć łączności z czymkolwiek.

No to nie bedziesz wiedzial co tak naprawde podpisujesz :-)

Wystarczy zmysłowa łączność z użytkownikiem (wzroku z wyświetlaczem i dotyku z klawiaturą).

Data: 2017-11-08 12:48:39
Autor: J.F.
Wynalazek Aliora
Użytkownik "MarcinF"  napisał w wiadomości grup dyskusyjnych:ottgm9$r9u$1@node1.news.atman.pl...
W dniu 2017-11-07 o 02:05, J.F. pisze:
Dnia Mon, 6 Nov 2017 23:54:40 +0100, MarcinF napisał(a):
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.
Sprzętowy, a nie zwykły. Klasyczny przykład zastosowania tokenów
challenge-response to podpisywanie przelewów.
Jakis przyklad co dokladnie masz ma mysli ?

Sprzętowy token wyświetlający cyfrowy podpis wprowadzonych przez
klawiaturę danych transakcji (np. fragmentu numeru rachunku, kwoty).
Może to nie jest "zwykły token", ale założyciel wątku wcale nie użył
takiego terminu. Tego rodzaju tokeny są powszechnie stosowane
w bankowości.

A kto taki w pl oferuje ?

Pomysl w miare dobry, dopoki sie nie okaze, ze zhackowana przegladarka wyswietlila dobra nazwe, ale inny numer konta.

Musi miec wlasny wyswietlacz i lacznosc z bankiem
I nie musi mieć łączności z czymkolwiek.

No to nie bedziesz wiedzial co tak naprawde podpisujesz :-)

Wystarczy zmysłowa łączność z użytkownikiem (wzroku z wyświetlaczem i dotyku z klawiaturą).

W pomysle powyzej role lacznosci pelni czlowiek.
A to troche uciazliwe jest, jak trzeba za duzo danych przepisywac.

J.

Data: 2017-11-08 21:44:40
Autor: MarcinF
Wynalazek Aliora
W dniu 2017-11-08 o 12:48, J.F. pisze:

A kto taki w pl oferuje ?

Dla klientów indywidualnych np. Pekao, w bankowości korporacyjnej
są spotykane znacznie częściej.

Pomysl w miare dobry, dopoki sie nie okaze, ze zhackowana przegladarka
wyswietlila dobra nazwe, ale inny numer konta.

Takie tokeny służą właśnie do zabezpieczenia m.in. przed atakiem na przeglądarkę.

Data: 2017-11-08 20:07:52
Autor: FeliksB
Wynalazek Eurobanku.
Użytkownik "J.F." <jfox_xnospamx@poczta.onet.pl> napisał w wiadomości
news:4tyexjlo75li$.1khuw32mglu5i.dlg40tude.net...
Dnia Sun, 05 Nov 2017 23:20:46 +0100, Marek napisał(a):
https://www.spidersweb.pl/2017/11/alior-bank-bezpieczne-urzadzenie-kryptograficzne.html

Serio trzeba wymyślać takie rzeczy zamiast użyć sprzętowy token do
logowania i do autoryzowania przelewów (jak jest np. w
company.mbank)?


"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Musi miec wlasny wyswietlacz i lacznosc z bankiem, aby ten mogl
bezpiecznym kanalem przekaz "przelew do cioci Jadzi 100 zl".

J.


Z Eurobanku mam token na telefonie komórkowym.
Taki token nie potrzebuje łączności radiowej z bankiem.
Do zatwierdzenia operacji bank podaje kod na ekranie,
wpisuję kod do tokena i token wyświetla jaka to operacja,
jednocześnie wyswietla kod do zatwierdzenia operacji,
który wpisuję na ekranie. Jeżeli się zgadza to bank wykonuje
zleconą operację.

Data: 2017-11-08 20:57:24
Autor: Wojciech Bancer
Wynalazek Aliora
On 2017-11-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

[...]

"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Musi miec wlasny wyswietlacz i lacznosc z bankiem, aby ten mogl
bezpiecznym kanalem przekaz "przelew do cioci Jadzi 100 zl".

Póki co najlepiej chyba zagrał mBank - przelewy możesz autoryzować
z aplikacji mobilnej, przychodzi odpowiedni push, a w apce widisz
detale operacji i możesz ją potwierdzić, albo odrzucić.

Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Data: 2017-11-09 16:05:34
Autor: Liwiusz
Wynalazek Aliora
W dniu 2017-11-08 o 20:57, Wojciech Bancer pisze:
On 2017-11-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

[...]

"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Musi miec wlasny wyswietlacz i lacznosc z bankiem, aby ten mogl
bezpiecznym kanalem przekaz "przelew do cioci Jadzi 100 zl".

Póki co najlepiej chyba zagrał mBank - przelewy możesz autoryzować
z aplikacji mobilnej, przychodzi odpowiedni push, a w apce widisz
detale operacji i możesz ją potwierdzić, albo odrzucić.

Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :)

Co w tym najlepszego? Znajomość PIN + dostęp do telefonu - i robi się co chce (w granicach limitów).

--
Liwiusz

Data: 2017-11-09 16:11:43
Autor: Wojciech Bancer
Wynalazek Aliora
On 2017-11-09, Liwiusz <lmalin@bez.tego.poczta.onet.pl> wrote:

[...]

Póki co najlepiej chyba zagrał mBank - przelewy możesz autoryzować
z aplikacji mobilnej, przychodzi odpowiedni push, a w apce widisz
detale operacji i możesz ją potwierdzić, albo odrzucić.

Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :)

Co w tym najlepszego? Znajomość PIN + dostęp do telefonu - i robi się co chce (w granicach limitów).

Mówimy o atakach online, a nie face-to-face.

Bo face-to-face, to jak masz "dostęp do telefonu", to SMS jest gorszym zabezpieczeniem (nie musisz nawet odblokować telefonu). Ze sprzętowym
tokenem to samo (nie wszystkie mają blokady na PIN).

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Data: 2017-11-09 00:37:41
Autor: J.F.
Wynalazek Aliora
Dnia Wed, 8 Nov 2017 20:57:24 +0100, Wojciech Bancer napisał(a):
On 2017-11-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...]
"zwykly token" nie jest wystarczajacy, bo nie wiesz co autoryzujesz.

Musi miec wlasny wyswietlacz i lacznosc z bankiem, aby ten mogl
bezpiecznym kanalem przekaz "przelew do cioci Jadzi 100 zl".

Póki co najlepiej chyba zagrał mBank - przelewy możesz autoryzować
z aplikacji mobilnej, przychodzi odpowiedni push, a w apce widisz
detale operacji i możesz ją potwierdzić, albo odrzucić.

Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :)

I byloby to swietne, gdyby nie ten otwarty system w telefonie, na
ktorym nie wiadomo co sie zalegnie i jak zmieni dzialanie operacji :-)

J.

Data: 2017-11-09 10:56:00
Autor: Wojciech Bancer
Wynalazek Aliora
On 2017-11-08, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

[...]

Wygodniejsze od SMSów, tańsze i bezpieczniejsze. :)

I byloby to swietne, gdyby nie ten otwarty system w telefonie, na
ktorym nie wiadomo co sie zalegnie i jak zmieni dzialanie operacji :-)

Android? Może. Ja mam iOS i nie mam tego problemu :)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Wynalazek Aliora

Nowy film z video.banzaj.pl więcej »
Redmi 9A - recenzja budżetowego smartfona