Wiadomość w sumie dla dinozaurów ;) ale może oprócz mnie jeszcze jakiś
się uchował.
Informacja z systemu transakcyjnego.

Wycofujemy listy haseł jednorazowych

Stopniowo rezygnujemy z list haseł jednorazowych:
- od 28 lutego 2019 r. nie aktywujesz listy i nie zamówisz nowej w serwisie transakcyjnym, nadal zrobisz to na mLinii i w naszej placówce
- od 14 września 2019 r. nie potwierdzisz żadnej operacji hasłem z listy papierowej
Zmiany wynikają z PSD2, unijnej dyrektywy o usługach płatniczych.

--
Imka

W dniu czwartek, 24 stycznia 2019 15:58:09 UTC+1 użytkownik Imka napisał:

Wiadomość w sumie dla dinozaurów ;) ale może oprócz mnie jeszcze jakiś
się uchował.
Informacja z systemu transakcyjnego.

> Wycofujemy listy haseł jednorazowych

Bardzo zle !
Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.
A poza tym wychodze z mbanku, choc jedno konto zostawiam.

gtoni13@gmail.com writes:

Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.

Tzn. hasła SMS są bezpieczniejsze w sytuacji "skompromitowanego"
komputera używanego do przeprowadzania transakcji. W sumie jedne
i drugie mają zapewniać dodatkową ochronę właśnie w takiej sytuacji.
Problemem są "celowane" ataki, na takie "zwykły klient" nic nie poradzi.

Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
taki, który przy wyliczaniu wyniku bierze pod uwagę szczegóły operacji.
Jeśli już taki token, to dlaczego nie miałby po prostu podpisywać
cyfrowo zleceń. Wtedy ekran, pewnie 320x240, jakiś interface do
pobierania danych (kamera + kod QAR itp.), coś do wysyłania wyników
(bez podpisu wystarczy wyświetlić kod wyjściowy).

No i zaraz mogłoby się okazać, że klienci woleliby soft-token, co dla
jednych byłoby absolutnie sensowne (wydzielone pomieszczenie i stacja
spełniająca surowe warunki), a w przypadku innych sprowadzałoby się do
uruchomienia malware na zainfekowanym komputerze albo innym telefonie.
Nieautoryzowana ingerencja w tokeny, dziury umieszczone na etapie
produkcji, itd. - bezpieczeństwo to nie jest prosta i tania sprawa :-(
--
Krzysztof Hałasa

On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <khc@pm.waw.pl> wrote:

Faktycznie token byłby lepszy, ale to musiałby być specjalny token,

mBank ma tokeny sprzętowe dla wybranej grupy klientów.

--
Marek

Użytkownik "Marek"  napisał w wiadomości grup dyskusyjnych:almarsoft.5818976881289223773@news.neostrada.pl...
On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <khc@pm.waw.pl>

Faktycznie token byłby lepszy, ale to musiałby być specjalny token,

mBank ma tokeny sprzętowe dla wybranej grupy klientów.

Duzo bankow sie wycofalo, albo zostawilo tylko wybranej grupie, widac za drogi.

Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
albo np kamerke i czytac kody QR z ekranu,
albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie potwierdza, bez mozliwosci wciecia kogos.

J.

W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:

Użytkownik "Marek"  napisał w wiadomości grup dyskusyjnych:almarsoft.5818976881289223773@news.neostrada.pl...
On Thu, 24 Jan 2019 20:16:48 +0100, Krzysztof Halasa <khc@pm.waw.pl>
>> Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
>mBank ma tokeny sprzętowe dla wybranej grupy klientów.

Duzo bankow sie wycofalo, albo zostawilo tylko wybranej grupie, widac za drogi.

Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
albo np kamerke i czytac kody QR z ekranu,
albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie potwierdza, bez mozliwosci wciecia kogos.

Niekoniecznie.
Sms niech przychodzi z informacja za co sie placi.
kod niech sie wpisuje z tokena.

Te tokeny nie sa az tak drogie:
http://www.tokenguard.com/RSA-SecurID-SID700.asp

Mysle ze bank mogl by spore upusty dostac.
A i klient nieco mogl by partycypowac. Zamowienie listy hasel jednorazowych to chyba bylo ze 20pln ostatnio.
A token 120pln.

Mysle ze mozna by tansze niz rsa znalezc.

sczygiel@gmail.com writes:

Niekoniecznie.
Sms niech przychodzi z informacja za co sie placi.
kod niech sie wpisuje z tokena.

To samo można zrobić z listą papierową.
Ale SMS może być podrobiony. Taki token tego nie stwierdzi.

Te tokeny nie sa az tak drogie:
http://www.tokenguard.com/RSA-SecurID-SID700.asp

Mysle ze bank mogl by spore upusty dostac.

Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
od nich dostać listy seedów nowych tokenów?

Kody papierowe nie mają listy seedów u wielkiego brata.
--
Krzysztof Hałasa

W dniu niedziela, 10 lutego 2019 15:46:48 UTC-6 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

> Niekoniecznie.
> Sms niech przychodzi z informacja za co sie placi.
> kod niech sie wpisuje z tokena.

To samo można zrobić z listą papierową.

No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
A w sms widzisz za co placisz.

Szansa na to ze ci kompa shackuja/sphisinguja + na telefon wysla sms + zrobia zeby poprawny sms z banku nie przyszedl jako drugi  jest minimalna.

A jak juz tyle by ktos ogarnal to nijak sie nie uchronisz, niezywy w butach..

Ale SMS może być podrobiony. Taki token tego nie stwierdzi.

Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego numer jak do czego innego nie uzywamy.

BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.

Jedyny feler to rozmiar i potrzeba ladowania. No, dwa felery. Ale jak ktos chce bezpiecznie to nie jest to az takie upierdliwe.

> Te tokeny nie sa az tak drogie:
> http://www.tokenguard.com/RSA-SecurID-SID700.asp
>
> Mysle ze bank mogl by spore upusty dostac.

Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
od nich dostać listy seedów nowych tokenów?

Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz. Zawsze cie przekreca, zrobia dowod kolekcjonerski i pojda do banku wybrac kase z okienka. Gdzies tam sie uda jakas kasjerke przekonac ze reka byla zlamana i dlatego podpis koslawy ostatnio...

Kody papierowe nie mają listy seedów u wielkiego brata.

Ale sa w bazie. Zawsze mozna ukrasc baze.
Nie brnijmy az tak daleko w paranoje.

Juz tu kiedys dyskutowalismy i temacie. Jak cos zabezpieczone to i odbezpieczyc mozna.
Skupmy sie na tym aby byle zlodziej sie do kowalskich i malinowskich masowo  dobrac nie mogl.

sczygiel@gmail.com writes:

> Niekoniecznie.
> Sms niech przychodzi z informacja za co sie placi.
> kod niech sie wpisuje z tokena.

To samo można zrobić z listą papierową.

No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
A w sms widzisz za co placisz.

Ale tak samo można wpisać kod z listy jak i kod z tokena. SMS można
wykorzystać tak samo w obu przypadkach. Tyle że (w obu przypadkach) to
zwiększa komplikację.

Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego
numer jak do czego innego nie uzywamy.

BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.

Owszem. Ale ilu klientów robiłoby coś takiego? Klient nie może "wybrać"
bezpieczeństwa, jego trzeba zmusić do bezpiecznych zachowań (co
udowodniono w ciągu przynajmniej ostatnich kilkudziesięciu lat).

Typowy klient użyje telefonu z Androidem oraz przeglądarki/aplikacji na
tym samym telefonie, a o bezpieczeństwie ew. będzie myślał "po
szkodzie". Nie żeby to nie dotyczyło specjalistów - tak samo dotyczy
zarówno speców od bezpieczeństwa, jak i np. od statystyki :-)

Podobnie np. z backupem, z tym że tu groźba awarii dysku jest bardziej
namacalna i dlatego niektórzy jednak mają backup.

Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
od nich dostać listy seedów nowych tokenów?

Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz.

Tzn. jaki "sceptyczny"? Przecież to się wydarzyło. W zaufaniu nie ma
"do trzech razy sztuka". Inna sprawa, że wiele osób (ja zresztą także)
przewidywało, że coś takiego zapewne działa - nie myślałem tylko, że
dostęp do takich informacji uzyskają tak łatwo ludzie spoza 3-literowych
firm (pamiętam, że często powtarzanym argumentem było to, że przecież
używają tego banki oraz inne "pentagony").
--
Krzysztof Hałasa

W dniu środa, 13 lutego 2019 11:10:22 UTC-6 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

>> > Niekoniecznie.
>> > Sms niech przychodzi z informacja za co sie placi.
>> > kod niech sie wpisuje z tokena.
>> >> To samo można zrobić z listą papierową.
> No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
> A w sms widzisz za co placisz.

Ale tak samo można wpisać kod z listy jak i kod z tokena. SMS można
wykorzystać tak samo w obu przypadkach. Tyle że (w obu przypadkach) to
zwiększa komplikację.

Oczywiscei ze zwieksza. Bo taka natura utrudniania zlodziejom zycia. Tyle ze przy kodzie z kartki nie masz informacji zwrotnej za co placisz bo bank sie z toba komunikuje tylko stronka a ta moze byc podstawiona.
A podstawic stronke i oszukac sms trudniej niz sama stronke podstawic.

> Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
> Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego
> numer jak do czego innego nie uzywamy.
>
> BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
> Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.

Owszem. Ale ilu klientów robiłoby coś takiego? Klient nie może "wybrać"
bezpieczeństwa, jego trzeba zmusić do bezpiecznych zachowań (co
udowodniono w ciągu przynajmniej ostatnich kilkudziesięciu lat)..

To juz inna sprawa. Rownie dobrze mozesz zapytac ilu ludzi zgodzi sie nosic pek kluczy wazacy pol kilo. Albo te pol kilo miec rozlazone na 3-5 pekow kluczy (auto, garaz, dom, praca, piwnica, furtka). Gdzies granica upierdliwosci jest.
Przy dodatkowym fonie zamiast listy jednorazowej nie jest to masakryczne.

Typowy klient użyje telefonu z Androidem oraz przeglądarki/aplikacji na
tym samym telefonie, a o bezpieczeństwie ew. będzie myślał "po
szkodzie". Nie żeby to nie dotyczyło specjalistów - tak samo dotyczy
zarówno speców od bezpieczeństwa, jak i np. od statystyki :-)

No nie, Bank nie napisze wersji na smartfona. W etapie przejsciowym bedzie to apka na "stara jave" ze starego fona. Potem na nowszy model ale nadal "dumbphone"

Zanadto komplikujesz temat. Klientowi nie dajemy wyboru. Dajemy rozwiazanie.. Dobre. Nieco upierdliwe ale dobre. Tak jak z noszeniem kluczy.

>> Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
>> od nich dostać listy seedów nowych tokenów?
>> >
> Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz.

Tzn. jaki "sceptyczny"? Przecież to się wydarzyło. W zaufaniu nie ma
"do trzech razy sztuka". Inna sprawa, że wiele osób (ja zresztą także)
przewidywało, że coś takiego zapewne działa - nie myślałem tylko, że
dostęp do takich informacji uzyskają tak łatwo ludzie spoza 3-literowych
firm (pamiętam, że często powtarzanym argumentem było to, że przecież
używają tego banki oraz inne "pentagony").

Sceptyczny bo jak zakladamy ze wlamywacze wejda w posiadanie bazy danych banku czy tokenow to zadne rozwiazanie nie pomoze (w zaleznosci od tego co ukradna ale zakladamy ze ukradna to po czym bank rozpoznaje klienta).

sczygiel@gmail.com writes:

Tyle ze przy kodzie z kartki nie masz informacji zwrotnej za co
placisz bo bank sie z toba komunikuje tylko stronka a ta moze byc
podstawiona.

Uparcie porównujesz SMS do kodu papierowego. Przecież napisałem, że
jedno nie wyklucza drugiego. Dokładnie tak samo, jak SMS nie wyklucza
kodu z tokena. Kwestia uciążliwości.

No nie, Bank nie napisze wersji na smartfona. W etapie przejsciowym
bedzie to apka na "stara jave" ze starego fona. Potem na nowszy model
ale nadal "dumbphone"

Daj spokój, coś takiego jest możliwe w jednostkowych, "akademickich"
przypadkach, ale nie na masową skalę.

Sceptyczny bo jak zakladamy ze wlamywacze wejda w posiadanie bazy
danych banku czy tokenow to zadne rozwiazanie nie pomoze (w zaleznosci
od tego co ukradna ale zakladamy ze ukradna to po czym bank rozpoznaje
klienta).

Nie zakładamy niczego takiego. Zakładamy, że włamywacze (lub
"włamywacze") wejdą w posiadanie bazy danych producenta tokenów
(są w posiadaniu takiej bazy).
Przy czym to wcale nie jest pesymistyczne założenie. Każde inne byłoby
naiwnością.

Niby dlaczego użytkownik (np. firma) nie mógłby sam inicjalizować seedów
swoich tokenów (nowych lub używanych)? Wystarczy generator losowy
i odpowiednia procedura. Aaa, tylko wtedy agencje nie miałyby
łatwiejszego dostępu do np. jakiegoś tam "irańskiego programu
atomowego", albo np. do grup niezadowolonych z działań rządów.

Z tym że oczywiście podobne tokeny są kiepskim rozwiązaniem w kontekście
bankowości, lepsze byłyby takie, które podpisywałyby zlecenia.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3r2caw16z.fsf@pm.waw.pl...
sczygiel@gmail.com writes:

Sceptyczny bo jak zakladamy ze wlamywacze wejda w posiadanie bazy
danych banku czy tokenow to zadne rozwiazanie nie pomoze (w zaleznosci
od tego co ukradna ale zakladamy ze ukradna to po czym bank rozpoznaje
klienta).

Nie zakładamy niczego takiego. Zakładamy, że włamywacze (lub
"włamywacze") wejdą w posiadanie bazy danych producenta tokenów
(są w posiadaniu takiej bazy).
Przy czym to wcale nie jest pesymistyczne założenie. Każde inne byłoby
naiwnością.

Niby dlaczego użytkownik (np. firma) nie mógłby sam inicjalizować seedów
swoich tokenów (nowych lub używanych)? Wystarczy generator losowy
i odpowiednia procedura.

Tylko musza miec narzedzia do programowania tokena.
A jesli on nie ma komunikacja, bo maszynka to robi to dotykajac plytki, po czym skleja obudowe ?

Aaa, tylko wtedy agencje nie miałyby
łatwiejszego dostępu do np. jakiegoś tam "irańskiego programu
atomowego", albo np. do grup niezadowolonych z działań rządów.

Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
No, mozna podsunac jakiegos przemytnika, ktory im sprzeda tysiac :-)

Przy czym pomijajac patenty i troche wiedzy, to taki token nie jest zbyt skomplikowany i bank/Iran moze go zrobic samemu ...

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Tylko musza miec narzedzia do programowania tokena.
A jesli on nie ma komunikacja, bo maszynka to robi to dotykajac
plytki, po czym skleja obudowe ?

Nie widzę najmniejszego problemu - wystarczy procedura typu "wciśnij
przycisk przez 30 sekund i przepisz kod z tokena" (każde naciśnięcie
przycisku przewija kod do następnej części). Musi być przycisk, ale
samym przyciskiem chyba nikt się nie włamie?

Jeśli ktoś sobie przypadkowo wygeneruje nowy seed, to nie jest wielki
problem. Równie dobrze token mógł wpaść do pieca.

Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?

Historia pokazuje, że nie było to niemożliwe.

Przy czym pomijajac patenty i troche wiedzy, to taki token nie jest
zbyt skomplikowany i bank/Iran moze go zrobic samemu ...

Są firmy, które tak robią. Nie żeby to było łatwe i przyjemne, lub
całkowicie pozbawione ryzyka.
--
Krzysztof Hałasa

Dnia Sat, 16 Feb 2019 12:43:20 +0100, Krzysztof Halasa napisał(a):

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Tylko musza miec narzedzia do programowania tokena.
A jesli on nie ma komunikacja, bo maszynka to robi to dotykajac
plytki, po czym skleja obudowe ?

Nie widzę najmniejszego problemu - wystarczy procedura typu "wciśnij
przycisk przez 30 sekund i przepisz kod z tokena" (każde naciśnięcie
przycisku przewija kod do następnej części). Musi być przycisk, ale
samym przyciskiem chyba nikt się nie włamie?

Cena rosnie :-)

Ale co ci da 1 przycisk ?
Chcemy, zeby bank sobie wpisal odpowiednie seedy/kody sam.

Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
do komputera ?

Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?

Historia pokazuje, że nie było to niemożliwe.

Albo tylko urban legend.

Przy czym pomijajac patenty i troche wiedzy, to taki token nie jest
zbyt skomplikowany i bank/Iran moze go zrobic samemu ...

Są firmy, które tak robią. Nie żeby to było łatwe i przyjemne, lub
całkowicie pozbawione ryzyka.

Patrz chocby telewizje kodowane.
Ile czasu im zajelo zrobienie bezpiecznego systemu ?

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
do komputera ?

To najprostsza metoda. Można np. wymrugać diodą (wyświetlaczem), jeśli
ma być automatycznie.

Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?

Historia pokazuje, że nie było to niemożliwe.

Albo tylko urban legend.

To jest raczej dość dobrze zweryfikowane.
Poza tym, coś, co jest nadrukowane na obudowie, nie może być tajne.

Patrz chocby telewizje kodowane.
Ile czasu im zajelo zrobienie bezpiecznego systemu ?

A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?
W przypadku bankowego tokena nie należy zakładać, że user będzie aktywnie
starał się go złamać. Natomiast stawka jest większa niż przy jakiejś
telewizji.
--
Krzysztof Hałasa

Dnia Sun, 17 Feb 2019 23:19:30 +0100, Krzysztof Halasa napisał(a):

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
do komputera ?

To najprostsza metoda. Można np. wymrugać diodą (wyświetlaczem), jeśli
ma być automatycznie.

Porzadny generator losowy ... cena dalej rosnie ..

Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?

Historia pokazuje, że nie było to niemożliwe.

Albo tylko urban legend.

To jest raczej dość dobrze zweryfikowane.
Poza tym, coś, co jest nadrukowane na obudowie, nie może być tajne.

Nadrukowany jest numer, seed trzeba wykrasc.
Wykradzenie moze i udokumentowane, ale jak znalezc numery tokenow w
Iranie ...

Patrz chocby telewizje kodowane.
Ile czasu im zajelo zrobienie bezpiecznego systemu ?

A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?

Chyba tak - teraz modne wspoldzielenie kart.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Porzadny generator losowy ... cena dalej rosnie ..

Bez przesady, generator losowy "mierzący" szumy termiczne praktycznie
nic nie kosztuje. Kiedyś były takie w scalakach pecetowych - ciekawe
czemu je wycofano i zastąpiono np. "bezpiecznymi" PRNG (następnie
wymaganymi np. przez FIPS-140)?

Nadrukowany jest numer, seed trzeba wykrasc.
Wykradzenie moze i udokumentowane, ale jak znalezc numery tokenow w
Iranie ...

Jeszcze raz - są nadrukowane na obudowach tokenów - nie mogą być
traktowane jako poufne (niezależnie od tego, co wymyślił jakiś czas temu
producent).
Listy numerów mają m.in. dostawcy.
Zależnie od zastosowania, często można próbować wiele razy.

Patrz chocby telewizje kodowane.
Ile czasu im zajelo zrobienie bezpiecznego systemu ?

A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?

Chyba tak - teraz modne wspoldzielenie kart.

To gdzie to bezpieczeństwo, jeśli można współdzielić karty?
Aczkolwiek takie rzeczy są z góry skazane na niepowodzenie, jeśli ktoś
może wyświetlić np. film, to równie dobrze może z nim zrobić co mu się
podoba. Jedyna nadzieja w tym, że mu się nie będzie chciało (abonament
to nie jest wielki koszt), że będzie to uciążliwe, i że nie sprzeda tego
zbyt łatwo (policja itp), a w końcu, że nie sprzeda tego masowo, tak by
przestało się opłacać działać nadawcy.
--
Krzysztof Hałasa

Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), sczygiel@gmail.com
napisał(a):

W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:

Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
albo np kamerke i czytac kody QR z ekranu,
albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie potwierdza, bez mozliwosci wciecia kogos.

Niekoniecznie.
Sms niech przychodzi z informacja za co sie placi.
kod niech sie wpisuje z tokena.

Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie pomoze.
A jak sie nie boisz, to po co token :-)

Te tokeny nie sa az tak drogie:
http://www.tokenguard.com/RSA-SecurID-SID700.asp
Mysle ze bank mogl by spore upusty dostac.
A i klient nieco mogl by partycypowac.

Tak calkiem tanio to to nie jest.

Lukas kiedys uzywal, o ile pamietam klient partycypowal, w razie
zgubienia musial doplacic duzo wiecej.

No i to na 3 lata, bo potem tokeny sie wylaczaja.

Zamowienie listy hasel jednorazowych to chyba bylo ze 20pln ostatnio.

To w mbanku.
Pytanie ile ich tak naprawde kosztuje. 5 czy 10zl z wysylka ?

A token 120pln.

I niewiele lepiej zabezpiecza.

J.

W dniu niedziela, 10 lutego 2019 17:09:01 UTC-6 użytkownik J.F. napisał:

Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), sczygiel@gmail.com
napisał(a):
> W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. napisał:
>> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
>> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
>> albo np kamerke i czytac kody QR z ekranu,
>> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie >> potwierdza, bez mozliwosci wciecia kogos.
>> > Niekoniecznie.
> Sms niech przychodzi z informacja za co sie placi.
> kod niech sie wpisuje z tokena.

Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie pomoze.
A jak sie nie boisz, to po co token :-)

Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna kontrole nad sms-ami. Starczy miec staromodnego fona tylko do tokenowania i smsow.
To tez sie da obejsc ale trzeba indywidualnie atakowac. Metody masowe odpadaja.
No, zakladam ze nie da sie zawirusowac starego fona. Mysle ze nie ejst to zbyt optymistyczne.

Jesli zalozymy ze skompromitowanie fona bez smart os-u jest mozliwe latwo (sms-em, BT czy po usb niepostrzezenie) to w sumie nie ma nadziei na pewne zabezpieczenie.

> Te tokeny nie sa az tak drogie:
> http://www.tokenguard.com/RSA-SecurID-SID700.asp
> Mysle ze bank mogl by spore upusty dostac.
> A i klient nieco mogl by partycypowac. Tak calkiem tanio to to nie jest.

Lukas kiedys uzywal, o ile pamietam klient partycypowal, w razie
zgubienia musial doplacic duzo wiecej.

No i to na 3 lata, bo potem tokeny sie wylaczaja.

>Zamowienie listy hasel jednorazowych to chyba bylo ze 20pln ostatnio.

To w mbanku.
Pytanie ile ich tak naprawde kosztuje. 5 czy 10zl z wysylka ?

> A token 120pln.

I niewiele lepiej zabezpiecza.

Jak pokazuje doswiadczenie google zabezpiecza wystarczajaco.
Nie moge znalezc linki ale wychodzi ze troj drozna autentykacja jest wystarczajaco dobra.

Token+pin+cos tam jeszcze (nie pamietam teraz a szukac mi sie nie chce).
Czytalem artykul ze jak wdrozyli ten schemat to liczba naduzyc spadla prawie do zera.

Użytkownik sczygiel napisał w wiadomości grup dyskusyjnych:1a571662-cd05-4494-909b-037d5f5e77df@googlegroups.com...
W dniu niedziela, 10 lutego 2019 17:09:01 UTC-6 użytkownik J.F. napisał:

Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), sczygiel@gmail.com napisał(a):
> W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. > napisał:

>> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
>> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
>> albo np kamerke i czytac kody QR z ekranu,
>> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
>> potwierdza, bez mozliwosci wciecia kogos.

>>

> Niekoniecznie.
> Sms niech przychodzi z informacja za co sie placi.
> kod niech sie wpisuje z tokena.

Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie pomoze.
A jak sie nie boisz, to po co token :-)

Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna kontrole nad sms-ami.
Starczy miec staromodnego fona tylko do tokenowania i smsow.

A masz takowy ? Wiekszosc nie ma.

A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.

Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.

Zawsze to jakies wieksze bezpieczenstwo, ale trzeba miec smartfona.
No i niech ktos straci telefon za granica ...

> A token 120pln.
I niewiele lepiej zabezpiecza.

Jak pokazuje doswiadczenie google zabezpiecza wystarczajaco.
Nie moge znalezc linki ale wychodzi ze troj drozna autentykacja jest wystarczajaco dobra.

Token+pin+cos tam jeszcze (nie pamietam teraz a szukac mi sie nie chce).
Czytalem artykul ze jak wdrozyli ten schemat to liczba naduzyc spadla prawie do zera.

Nie wiem co czytales, ale jak sie hackerzy wlamuja gdzies w srodek komunikacji, to przydalby sie token, ktory wyswietla co sie naprawde autoryzuje ...

J.

W dniu poniedziałek, 11 lutego 2019 04:26:58 UTC-6 użytkownik J.F.. napisał:

Użytkownik sczygiel napisał w wiadomości grup dyskusyjnych:1a571662-cd05-4494-909b-037d5f5e77df@googlegroups.com...
W dniu niedziela, 10 lutego 2019 17:09:01 UTC-6 użytkownik J.F. napisał:
> Dnia Fri, 8 Feb 2019 11:19:08 -0800 (PST), sczygiel@gmail.com > napisał(a):
> > W dniu piątek, 8 lutego 2019 11:02:25 UTC-6 użytkownik J.F. > > napisał:
>> >> Ale ten sprzetowy tez sprawy nie zalatwia calkowicie.
>> >> Musialby miec karte SIM i niezalezny kanal lacznosci z bankiem,
>> >> albo np kamerke i czytac kody QR z ekranu,
>> >> albo mikrofon i modem - zeby mogl wyswietlic jaka operacje sie
>> >> potwierdza, bez mozliwosci wciecia kogos.
> >>
>> > Niekoniecznie.
>> > Sms niech przychodzi z informacja za co sie placi.
>> > kod niech sie wpisuje z tokena.
>
>> Jak sie boisz, ze hacker przejmie kontrole nad SMS, to to nie >> pomoze.
>> A jak sie nie boisz, to po co token :-)

>Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna >kontrole nad sms-ami.
>Starczy miec staromodnego fona tylko do tokenowania i smsow.

A masz takowy ? Wiekszosc nie ma.

Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby bylo bezpieczniej.
A nalezy kupic druga karte sim, tylko do sms i danych. I prosty fon. Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo bezpiecznie (to juz inny temat ale tu wazny). I zmienic nieco nawyki.
Bedzie bezpiecznie.

A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.

Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to jest szansa ze tokena z fona nie wyjmie.

Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.

Co moim zdaniem jest tak durne ze az nie do uwierzenia.
Bo z zalozenia smartfon jest niezaufany.

Zawsze to jakies wieksze bezpieczenstwo, ale trzeba miec smartfona.
No i niech ktos straci telefon za granica ...

Ano.

>> > A token 120pln.
>> I niewiele lepiej zabezpiecza.

>Jak pokazuje doswiadczenie google zabezpiecza wystarczajaco.
>Nie moge znalezc linki ale wychodzi ze troj drozna autentykacja jest >wystarczajaco dobra.

>Token+pin+cos tam jeszcze (nie pamietam teraz a szukac mi sie nie >chce).
>Czytalem artykul ze jak wdrozyli ten schemat to liczba naduzyc spadla >prawie do zera.

Nie wiem co czytales, ale jak sie hackerzy wlamuja gdzies w srodek komunikacji, to przydalby sie token, ktory wyswietla co sie naprawde autoryzuje ...

J.

Tak, mozliwosci jest pare innych ale skupilem sie na tych ktore sa relatywnie proste i skuteczne.

Użytkownik  sczygiel napisał w wiadomości grup dyskusyjnych:8578030a-8e9a-4f82-a981-16321b7ae2dc@googlegroups.com...
W dniu poniedziałek, 11 lutego 2019 04:26:58 UTC-6 użytkownik J.F. napisał:

>Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna
>kontrole nad sms-ami.
>Starczy miec staromodnego fona tylko do tokenowania i smsow.

A masz takowy ? Wiekszosc nie ma.

Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby bylo bezpieczniej.
A nalezy kupic druga karte sim, tylko do sms i danych. I prosty fon. Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco nawyki.
Bedzie bezpiecznie.

Ale czy bank znajdzie jeszcze speca, co w starej Javie apke napisze :-)

I ile go to bedzie kosztowalo, bo Oracle cos zmienia w licencjach Javy :-)

A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.

Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to jest szansa ze tokena z fona nie wyjmie.

A jak jest spec i sie zna ? :-)

Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.

Co moim zdaniem jest tak durne ze az nie do uwierzenia.
Bo z zalozenia smartfon jest niezaufany.

Smartfon nie, ale apka bankowa ... byc moze tak.

Zawsze to jakies wieksze bezpieczenstwo, ale trzeba miec smartfona.
No i niech ktos straci telefon za granica ...

Ano.

To i tokena nie zainstaluje na zastepczym fonie, nie mowiac o znalezieniu odpowiedniego modelu - takich juz nie robia :)

J.

W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J.F.. napisał:

Użytkownik  sczygiel napisał w wiadomości grup dyskusyjnych:8578030a-8e9a-4f82-a981-16321b7ae2dc@googlegroups.com...
W dniu poniedziałek, 11 lutego 2019 04:26:58 UTC-6 użytkownik J..F. napisał:
>> >Pomoze. No, zakladam ze nie shackuje calego fona aby miec totalna
>> >kontrole nad sms-ami.
>> >Starczy miec staromodnego fona tylko do tokenowania i smsow.
>
>> A masz takowy ? Wiekszosc nie ma.
>
>Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby >bylo bezpieczniej.
>A nalezy kupic druga karte sim, tylko do sms i danych. I prosty fon. >Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo >bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco >nawyki.
>Bedzie bezpiecznie.

Ale czy bank znajdzie jeszcze speca, co w starej Javie apke napisze :-)

Znajdzie. Bo tamta java to nie taka jak cobol...

I ile go to bedzie kosztowalo, bo Oracle cos zmienia w licencjach Javy :-)

Nadal mozna uzywac openjdk. Z tym oraklem to taki nieco FUD.
Jak ktos kumaty to spoko na darmowej javie pojedzie.

>> A jesli masz ... po co token, skoro sms sa calkowicie bezpieczne.
>Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to >jest szansa ze tokena z fona nie wyjmie.

A jak jest spec i sie zna ? :-)

Ale mala. Masowo klientow mbanku nie skroi na kase.
A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki wezma jak ofiara po pigulce gwaltu lezy obok, a fona odblokuja jej palcem i sms przepisza.

Albo nawet nie tyle musza. Starczy robic to co cocomo.

My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.

>> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.

>Co moim zdaniem jest tak durne ze az nie do uwierzenia.
>Bo z zalozenia smartfon jest niezaufany.

Smartfon nie, ale apka bankowa ... byc moze tak.

Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny (nie zrootowany, nie mam kontroli co gdzie sie laczy, jakie pliki otwiera itp.) to calosc jest niewarta zaufania.

I tak na koniec:
Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych czasow".
Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo wsliznieciu sie do domu jak nikt nie patrzyl bo sianokosy robili.
Zreszta to wcale nie musial byc obcy.

Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.

I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych finansow od lokacyjnych.
Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie ukradnie latwo.
A taka codzienna jak ukradna to tragedii nie ma...

Ale to juz inna historia.

Użytkownik  sczygiel napisał w wiadomości grup dyskusyjnych:f91fef5a-6a56-4f89-a844-67421eb26de4@googlegroups.com...
W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J.F. napisał:

Użytkownik  sczygiel napisał w wiadomości grup
>Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
>bylo bezpieczniej.
>A nalezy kupic druga karte sim, tylko do sms i danych. I prosty >fon.
>Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
>bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
>nawyki.
>Bedzie bezpiecznie.

>> A jesli masz ... po co token, skoro sms sa calkowicie >> bezpieczne.
>Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
>jest szansa ze tokena z fona nie wyjmie.

A jak jest spec i sie zna ? :-)

Ale mala. Masowo klientow mbanku nie skroi na kase.
A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki wezma jak ofiara po pigulce gwaltu lezy obok, a fona odblokuja jej palcem i sms przepisza.

Ale token powinen byc odblokowywany pinem, a nie palcem.

Albo nawet nie tyle musza. Starczy robic to co cocomo.
My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.

mbank idzie do przodu - teraz zamierza wykorzystac ... nie wiadomo co

https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/

Ciekawe, czy wystarczyloby na cocomo :-)

>> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
>Co moim zdaniem jest tak durne ze az nie do uwierzenia.
>Bo z zalozenia smartfon jest niezaufany.
Smartfon nie, ale apka bankowa ... byc moze tak.

Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny (nie zrootowany, nie mam kontroli co gdzie sie laczy, jakie pliki otwiera itp.) to calosc jest niewarta zaufania.

Ale to apka ma sprawdzic, czy sie z wlasciwym serwerem laczy.

I tak na koniec:
Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych czasow".
Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo wsliznieciu sie do domu jak nikt nie patrzyl bo sianokosy robili.
Zreszta to wcale nie musial byc obcy.
Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.

Ale kiedys wystarczyly kraty w oknie i solidne zamki.
Dzis nie masz sie jak zabezpieczyc :-)

I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych finansow od lokacyjnych.

No ba - bank moglby rozdawac tablety do obslugi konta, czy tokeny w formie telefonow.
Tylko musialyby byc zabezpieczone i oczywiscie - zadnej instalacji dodatkowych programow.

Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie ukradnie latwo.
A taka codzienna jak ukradna to tragedii nie ma...
Ale to juz inna historia.

Czyli po prostu nie miec kasy, a miec dlugi, wtedy nie ukradna :-)

J.

W dniu wtorek, 12 lutego 2019 13:45:00 UTC-6 użytkownik J.F. napisał:

Użytkownik  sczygiel napisał w wiadomości grup dyskusyjnych:f91fef5a-6a56-4f89-a844-67421eb26de4@googlegroups.com...
W dniu poniedziałek, 11 lutego 2019 09:13:23 UTC-6 użytkownik J..F. napisał:
> Użytkownik  sczygiel napisał w wiadomości grup
> >Ja nie pisze z punktu widzenia dzis. Ja pisze co nalezy uczynic aby
> >bylo bezpieczniej.
> >A nalezy kupic druga karte sim, tylko do sms i danych. I prosty > >fon.
> >Byle te jave mial w rom i dawal se apke wgrywac tak aby bylo
> >bezpiecznie (to juz inny temat ale tu >wazny). I zmienic nieco
> >nawyki.
> >Bedzie bezpiecznie.
>
>> >> A jesli masz ... po co token, skoro sms sa calkowicie >> >> bezpieczne.
>> >Token z apki z fona. Bo jak ktos skosi fona i se karte przelozy to
>> >jest szansa ze tokena z fona nie wyjmie.
>
>> A jak jest spec i sie zna ? :-)
>>

>Ale mala. Masowo klientow mbanku nie skroi na kase.
>A na specyficzny atak nie ma mocnych. Pin podpatrza, token z torebki >wezma jak ofiara po pigulce gwaltu lezy obok, a fona odblokuja jej >palcem i sms przepisza.

Ale token powinen byc odblokowywany pinem, a nie palcem.

No toc napisalem ze podpatrza pina.
A palec to do odblokowania fona. A jak fon sie odblokowuje twarza to delikwent jest na miejscu. Tylko spi. A jak odblokowac trzeba z otwartymi oczami to wydrukuja i wytna takie z papieru. Takie te zabezpieczenia sa dobre...

>Albo nawet nie tyle musza. Starczy robic to co cocomo.
>My tu o normalnych sytuacjach mowimy. Na abnormalne nie ma rady.

mbank idzie do przodu - teraz zamierza wykorzystac ... nie wiadomo co

https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/

Ciekawe, czy wystarczyloby na cocomo :-)

Mysle ze nie. Kiedys mi zablokowali konto i nie powiedzieli czemu. Stwierdzili ze mam wirusa. Nie mialem. Taka standardowa gadka helplinii. Od tego czasu ten sam komputer dzialal dobrze i nic z konta nie zniklo.

Ale cos tam pewnie maja bo zanim mi zablokowalo mialem problemy z siecia i chyba odswierzalem strone. Moze ichni system zakwalifikowal to jako nienormalne zachowanie...

>> >> Mbank poszedl inna droga - chce przerzucic autoryzacje do apki.
>> >Co moim zdaniem jest tak durne ze az nie do uwierzenia.
>> >Bo z zalozenia smartfon jest niezaufany.
>> Smartfon nie, ale apka bankowa ... byc moze tak.
>

>Oczywiscie ze nie. Jesli smartfon jest dla mnie w czesci niedostepny >(nie zrootowany, nie mam kontroli co gdzie sie laczy, jakie pliki >otwiera itp.) to calosc jest niewarta zaufania.

Ale to apka ma sprawdzic, czy sie z wlasciwym serwerem laczy.

Ale jak apka jest shackowana to niech se sprawdza co chce. Hacker uzytkownikowi pokaze obrazek z symulowana apka a pod spodem "obklika" prawdziwa. User widzi przelew do zony a apka wykona do zlodzieja...

>I tak na koniec:
>Sytuacja moze nie jest rozowa ale nie taka gorsza od "starych >czasow".
>Kiedys kasa w skarpecie byla do ukradzenia po wybiciu okna albo >wsliznieciu sie do domu jak nikt nie patrzyl bo sianokosy robili.
>Zreszta to wcale nie musial byc obcy.
>Dzis jednak ryzyko ulotnienia sie kasy z konta jest mniejsze.

Ale kiedys wystarczyly kraty w oknie i solidne zamki.
Dzis nie masz sie jak zabezpieczyc :-)

No nie. Nawet bank slaski mial basen pod skarbcem. A slaskie zloto i tak gdzies wcielo.
Az tak fajnie to nie bylo.

Ale byla wersja lepsza od krat. Jeden sasiad kiedys kupowal slupy energetyczne i te betonowe plyty drogowe.
Inna sasiadka kupowala rowery i trzymala na sianie. Jakies zabezpieczenie to bylo...

>I jakby przeocza sie fakt ze jest sporo metod na izolacje ROR-owatych >finansow od lokacyjnych.

No ba - bank moglby rozdawac tablety do obslugi konta, czy tokeny w formie telefonow.
Tylko musialyby byc zabezpieczone i oczywiscie - zadnej instalacji dodatkowych programow.

No moglby. Tylko wiesz. Im prostsze urzadzenie tym lepiej. A skoro iosowy tablet/telefon mozna bylo sms-em uszkodzic/zmanipulowac to i lepsze akcje sie ustruga.

Caly meltdown/spectre zaczelo sie od sandsiftera i ataku na ten komputerek zarzadzajacy w pececie. Jest video o tym jak malo mozliwosci mieli:

https://www.youtube.com/watch?v=lR0nh-TdpVg

A mimo to sie udalo wejsc tam gleboko.

Dlatego to urzadzenie powinno byc prymitywne. Zadnego ios-a/androida/bada/windowsa czy co tam jeszcze jest. Starczy zwykly dedykowany minisystem i tyle. Wspomnialem o starym fonie bo po prostu sa tanie i malo popularne i jest wiele rodzajow. Wiec trudno zbudowac jeden hack ktory da sie na slepo zastosowac skutecznie na wielu ofiarach.

>Duza kase mozna spokojnie umiescic w formie takiej ze sie jej nie >ukradnie latwo.
>A taka codzienna jak ukradna to tragedii nie ma...
>Ale to juz inna historia.

Czyli po prostu nie miec kasy, a miec dlugi, wtedy nie ukradna :-)

No troche tak :)

sczygiel@gmail.com writes:

Dlatego to urzadzenie powinno byc prymitywne. Zadnego
ios-a/androida/bada/windowsa czy co tam jeszcze jest. Starczy zwykly
dedykowany minisystem i tyle. Wspomnialem o starym fonie bo po prostu
sa tanie i malo popularne i jest wiele rodzajow. Wiec trudno zbudowac
jeden hack ktory da sie na slepo zastosowac skutecznie na wielu
ofiarach.

Ale da się zbudować kilka, może kilkanaście takich hacków, to niewielka
różnica dla budującego. Stary, niewspierany system - bez żartów.

Natomiast zbudowanie małego, nowoczesnego i specjalizowanego komputerka
bez łatwej możliwości ingerencji w niego (tylko kamera i wyświetlacz,
ew. pinpad) to zupełnie inna sprawa. To taki token, tyle że potrafiący
pobrać (np. w formie kodu QR), wyświetlić i ew. podpisać dane.
--
Krzysztof Hałasa

W dniu środa, 13 lutego 2019 11:21:47 UTC-6 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

> Dlatego to urzadzenie powinno byc prymitywne. Zadnego
> ios-a/androida/bada/windowsa czy co tam jeszcze jest. Starczy zwykly
> dedykowany minisystem i tyle. Wspomnialem o starym fonie bo po prostu
> sa tanie i malo popularne i jest wiele rodzajow. Wiec trudno zbudowac
> jeden hack ktory da sie na slepo zastosowac skutecznie na wielu
> ofiarach.

Ale da się zbudować kilka, może kilkanaście takich hacków, to niewielka
różnica dla budującego. Stary, niewspierany system - bez żartów.

Roznica jest spora. Bo jak trzeba hackowac kazdy model fona osobno to sa koszty czas i umiejetnosci. I nie da sie krasc masowo. A jak pisalem wyzej, na chcacego nie ma rady i jak napoi klienta ghb to kasa z konta wyjdzie i tyle. Ale calego autobusu ludzi sie nie da ghb napoic i okrasc.

Natomiast zbudowanie małego, nowoczesnego i specjalizowanego komputerka
bez łatwej możliwości ingerencji w niego (tylko kamera i wyświetlacz,
ew. pinpad) to zupełnie inna sprawa. To taki token, tyle że potrafiący
pobrać (np. w formie kodu QR), wyświetlić i ew. podpisać dane.

Ale nie sadze aby bylo tansze od tokena rsa. A to juz ustalilismy ze za drogie.

sczygiel@gmail.com writes:

Roznica jest spora. Bo jak trzeba hackowac kazdy model fona osobno to
sa koszty czas i umiejetnosci. I nie da sie krasc masowo.

Ależ da się. Koszt przygotowania rozwiązania dla konkretnego telefonu
nie jest decydujący. Ile chcesz mieć tych modeli telefonów, 10? Większe
koszty będą po stronie przygotowującego aplikację niż po stronie
przestępców.

Pomyśl jak chciałbyś wspierać te aplikacje na tych starych telefonach.
To jest kompletnie nierealistyczne.

Natomiast zbudowanie małego, nowoczesnego i specjalizowanego komputerka
bez łatwej możliwości ingerencji w niego (tylko kamera i wyświetlacz,
ew. pinpad) to zupełnie inna sprawa. To taki token, tyle że potrafiący
pobrać (np. w formie kodu QR), wyświetlić i ew. podpisać dane.

Ale nie sadze aby bylo tansze od tokena rsa. A to juz ustalilismy ze za drogie.

No pewnie że nie będzie tańsze. Będzie przynajmniej kilka razy droższe.
Zwłaszcza w stosunkowo małych seriach. Ale będzie istotnie
bezpieczniejsze od obecnie używanych rozwiązań. Nie chodzi przecież
o to, by zrobić rozwiązanie, które tak naprawdę nic nie daje (pomijam
nawet kwestię tych seedów).
--
Krzysztof Hałasa

W dniu czwartek, 14 lutego 2019 14:55:25 UTC-6 użytkownik Krzysztof Halasa napisał:

sczygiel@gmail.com writes:

> Roznica jest spora. Bo jak trzeba hackowac kazdy model fona osobno to
> sa koszty czas i umiejetnosci. I nie da sie krasc masowo.

Ależ da się. Koszt przygotowania rozwiązania dla konkretnego telefonu
nie jest decydujący. Ile chcesz mieć tych modeli telefonów, 10? Większe
koszty będą po stronie przygotowującego aplikację niż po stronie
przestępców.

Nie czytasz uwaznie co pisze. Wczesniej napisalem ze apka jest dla javy j2me. Starczy ja napisac raz.
A zlamac fona trzeba kazdego bo jak zabezpieczony pinem czy inna blokada to kazdy model indywidualnie trzeba atakowac zeby do apki tokenowej sie dobrac. I to trzeba zaatakowac sam mechanizm blokady (pin/kod) albo zlamac telefon za pomoca wysylanych na niego sms-ow). A i wtedy trzeba poznac piersze cyferki kodu ktore sa swego rodzaju pinem dla tokena tylko zazwyczaj nie sa zapisywane w tym telefonie.

Tego sie nie da zrobic masowo. Da sie w pojedynczych przypadkach ale to juz wyjasnialem wyzej.

Prosze czytaj uwaznie bo dyskusja kreci sie w kolko.

Pomyśl jak chciałbyś wspierać te aplikacje na tych starych telefonach.
To jest kompletnie nierealistyczne.

>> Natomiast zbudowanie małego, nowoczesnego i specjalizowanego komputerka
>> bez łatwej możliwości ingerencji w niego (tylko kamera i wyświetlacz,
>> ew. pinpad) to zupełnie inna sprawa. To taki token, tyle że potrafiący
>> pobrać (np. w formie kodu QR), wyświetlić i ew. podpisać dane.
>>
>
> Ale nie sadze aby bylo tansze od tokena rsa. A to juz ustalilismy ze za drogie.

No pewnie że nie będzie tańsze. Będzie przynajmniej kilka razy droższe.
Zwłaszcza w stosunkowo małych seriach. Ale będzie istotnie
bezpieczniejsze od obecnie używanych rozwiązań. Nie chodzi przecież
o to, by zrobić rozwiązanie, które tak naprawdę nic nie daje (pomijam
nawet kwestię tych seedów).

Napisalem ci, token rsa to 200pln. za tyle kupie tradycyjnego fona bez androida i moge na niego wladowac apke do tokena. To nie bedzie drozsze. Bedzie mialo inne niewielkie wady ale drozsze nie bedzie.

sczygiel@gmail.com writes:

Napisalem ci, token rsa to 200pln. za tyle kupie tradycyjnego fona bez
androida i moge na niego wladowac apke do tokena. To nie bedzie
drozsze. Bedzie mialo inne niewielkie wady ale drozsze nie bedzie.

Zrozum że to o czym piszesz jest możliwe w zastosowaniach
"akademickich", ale nie da się tego użyć "przemysłowo".
Cena telefonu jest tu mało istotna, główne koszty będą w innych
miejscach (chyba że chcesz tego mieć 500 tysięcy, to wtedy sprawa
wygląda inaczej, ale tak czy owak telefon nie będzie wtedy sensownym
wyjściem).

BTW:
https://pl.wikipedia.org/wiki/Security_through_obscurity

Główną wadą tokena RSA nie jest cena (byłaby ona istotna, gdyby nie inne
problemy).
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3mumyw0na.fsf@pm.waw.pl...
sczygiel@gmail.com writes:

Roznica jest spora. Bo jak trzeba hackowac kazdy model fona osobno to
sa koszty czas i umiejetnosci. I nie da sie krasc masowo.

Ależ da się. Koszt przygotowania rozwiązania dla konkretnego telefonu
nie jest decydujący. Ile chcesz mieć tych modeli telefonów, 10? Większe
koszty będą po stronie przygotowującego aplikację niż po stronie
przestępców.

Pomyśl jak chciałbyś wspierać te aplikacje na tych starych telefonach.
To jest kompletnie nierealistyczne.

Ale moze nie trzeba - dobrze napisana bedzie dzialac dlugo.

Tylko ... kto bedzie do nich baterie produkowal :-)

Natomiast zbudowanie małego, nowoczesnego i specjalizowanego komputerka
bez łatwej możliwości ingerencji w niego (tylko kamera i wyświetlacz,
ew. pinpad) to zupełnie inna sprawa. To taki token, tyle że potrafiący
pobrać (np. w formie kodu QR), wyświetlić i ew. podpisać dane.

Ale nie sadze aby bylo tansze od tokena rsa. A to juz ustalilismy ze za drogie.

No pewnie że nie będzie tańsze. Będzie przynajmniej kilka razy droższe.

Najtansze telefony w biedronce po chyba 50 zl.

Tylko do tego dochodzi koszt transmisji danych - na ile sie moze bank umowic z operatorem ... 1zl/mc ?

J.

W dniu czwartek, 24 stycznia 2019 08:58:09 UTC-6 użytkownik Imka napisał:

Wiadomość w sumie dla dinozaurów ;) ale może oprócz mnie jeszcze jakiś
się uchował.
Informacja z systemu transakcyjnego.

> Wycofujemy listy haseł jednorazowych
> > Stopniowo rezygnujemy z list haseł jednorazowych:
> - od 28 lutego 2019 r. nie aktywujesz listy i nie zamówisz nowej w serwisie transakcyjnym, nadal zrobisz to na mLinii i w naszej placówce
> - od 14 września 2019 r. nie potwierdzisz żadnej operacji hasłem z listy papierowej
> Zmiany wynikają z PSD2, unijnej dyrektywy o usługach płatniczych.

Chwile poczytalem o tej dyrektywie i nie widze powodu aby listy jednorazowe byly jakkolwiek przez nia wykluczane.

Mysle ze to jakas sciema.

Zamiast listy przydal by sie token.
Przypiecie konta do telefonu mi nie pasuje.

W dniu czwartek, 24 stycznia 2019 12:34:30 UTC-6 użytkownik sczy...@gmail.com napisał:

W dniu czwartek, 24 stycznia 2019 08:58:09 UTC-6 użytkownik Imka napisał:
> Wiadomość w sumie dla dinozaurów ;) ale może oprócz mnie jeszcze jakiś
> się uchował.
> Informacja z systemu transakcyjnego.
> > > Wycofujemy listy haseł jednorazowych
> > > > Stopniowo rezygnujemy z list haseł jednorazowych:
> > - od 28 lutego 2019 r. nie aktywujesz listy i nie zamówisz nowej w serwisie transakcyjnym, nadal zrobisz to na mLinii i w naszej placówce
> > - od 14 września 2019 r. nie potwierdzisz żadnej operacji hasłem z listy papierowej
> > Zmiany wynikają z PSD2, unijnej dyrektywy o usługach płatniczych.
> > Chwile poczytalem o tej dyrektywie i nie widze powodu aby listy jednorazowe byly jakkolwiek przez nia wykluczane.

Mysle ze to jakas sciema.

Mam na mysli to wytlumaczenie a nie sam fakt likwidacji list.

A ja mam z pekao token działający na J2ME na mojej nokii E51 i jest nie do zhackowania ;) Ma też tryb challenge.
I lepiej działa od androidowego - ten rozsychronizował mi się przy trzeciej operacji.
I jest za darmo - a hasła sms po 20gr ;P

Cos podobnego do tokena EB?
A dlaczego niby nie do zhakowania?


-- -- -

A ja mam z pekao token działający na J2ME na mojej nokii E51 i jest nie do zhackowania

W dniu czwartek, 24 stycznia 2019 21:44:39 UTC+1 użytkownik ń napisał:

> A ja mam z pekao token działający na J2ME na mojej nokii E51 i jest nie do zhackowania

Cos podobnego do tokena EB?
A dlaczego niby nie do zhakowania?

W eb tokena "soft" nie wypróbowałem, sprzętowego też nie miałem bo miałem tylko KK. I nawet apki nie mogłem zainstalować, bo do aktywacji trzeba było wskazać konto do ew. opłat...

W każdym razie token jest git i w ogóle nie potrzebuje do pracy jakiejkolwiek łączności (potrzebna jest tylko do ściągnięcia i być może, bo nie sprawdzałem, do aktywacji).

A nokii E51 nic mi raczej nie zhackuje, bo tylko do dzwonienia i smsów służy, no jeszcze da się sprawdzić rozkład jazdy na m.ztm.waw.pl oraz pogodę na http://www.if.pw.edu.pl/~meteo/index-mob.php - ograniczają zarówno ekran 240*320 jak i przeterminowanie certyfikatów (przez te certyfikaty nie zadziałało mi też IKO w wersji J2ME :( ).

W dniu 2019-01-24 o 15:58, Imka pisze:

Wiadomość w sumie dla dinozaurów ;) ale może oprócz mnie jeszcze jakiś
się uchował.
Informacja z systemu transakcyjnego.

Wycofujemy listy haseł jednorazowych

Stopniowo rezygnujemy z list haseł jednorazowych:
- od 28 lutego 2019 r. nie aktywujesz listy i nie zamówisz nowej w serwisie transakcyjnym, nadal zrobisz to na mLinii i w naszej placówce
- od 14 września 2019 r. nie potwierdzisz żadnej operacji hasłem z listy papierowej
Zmiany wynikają z PSD2, unijnej dyrektywy o usługach płatniczych.

Byłem parę razy w górach w pensjonacie, gdzie jest internet - z kabla typu tpsa - a nie ma zasięgu żadnej sieci komórkowej. Znajomi dziwili się, jak zamierzam zapłacić za pobyt przelewem ;-)

Gdyby ktoś chciał kody, to jeszcze w Pekao SA są.

W dniu czwartek, 24 stycznia 2019 23:47:07 UTC+1 użytkownik Poldek napisał:

Byłem parę razy w górach w pensjonacie, gdzie jest internet - z kabla typu tpsa - a nie ma zasięgu żadnej sieci komórkowej. Znajomi dziwili się, jak zamierzam zapłacić za pobyt przelewem ;-)

W mbanku tez byś chyba zapłacił bo teraz operacje można potwierdzać w aplikacji mobilnej
Ale to nie zweryfikowane info bo nie korzystam z żadnych aplikacji w telefonie

Poldek wrote:

Byłem parę razy w górach w pensjonacie, gdzie jest internet - z kabla
typu tpsa - a nie ma zasięgu żadnej sieci komórkowej. Znajomi dziwili
się, jak zamierzam zapłacić za pobyt przelewem ;-)

Gdyby ktoś chciał kody, to jeszcze w Pekao SA są.

A Wi-Fi Calling?
Np. <https://www.play.pl/uslugi/wifi-calling/>.

W dniu 2019-01-25 o 11:30, gosc pisze:

Poldek wrote:

Byłem parę razy w górach w pensjonacie, gdzie jest internet - z kabla
typu tpsa - a nie ma zasięgu żadnej sieci komórkowej. Znajomi dziwili
się, jak zamierzam zapłacić za pobyt przelewem ;-)

Gdyby ktoś chciał kody, to jeszcze w Pekao SA są.

A Wi-Fi Calling?
Np. <https://www.play.pl/uslugi/wifi-calling/>.

Nie każdy to ma.

W dniu 24.01.2019 o 20:16, Krzysztof Halasa pisze:

gtoni13@gmail.com writes:

Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.

Tzn. hasła SMS są bezpieczniejsze w sytuacji "skompromitowanego"
komputera używanego do przeprowadzania transakcji. W sumie jedne
i drugie mają zapewniać dodatkową ochronę właśnie w takiej sytuacji.
Problemem są "celowane" ataki, na takie "zwykły klient" nic nie poradzi.

Jak piszesz - zdrapki nie chronią przed sytuacją, że masz wirusa i komputer prezentuje inne dane do przelewu tobie, a inne bankowi.

SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.

Jak się nie obrócić, dupa z tyłu.

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

   MJ

Michał Jankowski <michalj@fuw.edu.pl> writes:

Jak się nie obrócić, dupa z tyłu.

No niestety :-(

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
   komputera, ale np. długo nie wykonujemy operacji wymagających
   zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
   ruch. Raczej nieistotny przypadek.
b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
   np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
   (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
   dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
   ten ktoś potrafi sprawić, że dostanie).
c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
   może to bardziej kwestia procedur niż techniki.

To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
pokryć statystycznie koszty całego włamania).

Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
problem).
--
Krzysztof Hałasa

W dniu 25.01.2019 o 20:42, Krzysztof Halasa pisze:

Michał Jankowski <michalj@fuw.edu.pl> writes:

Jak się nie obrócić, dupa z tyłu.

No niestety :-(

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
    komputera, ale np. długo nie wykonujemy operacji wymagających
    zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
    ruch. Raczej nieistotny przypadek.
b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
    np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
    (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
    dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
    ten ktoś potrafi sprawić, że dostanie).
c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
    może to bardziej kwestia procedur niż techniki.

To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
pokryć statystycznie koszty całego włamania).

Wydajemisie, że połączony atak typu - podmieńmy numery kont na
ekranie komputera i równocześnie ukradnijmy komuś numer telefonu na dowód kolekcjonerski to jednak rzadko się zdarza. A zainfekowanie telefonu, to w ogóle nie wiem...

Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
problem).

Z tym, że jeszcze niedawno sporo banków przysyłało smsy, w których nie było co czytać. Np. w citibanku jeszcze w czerwcu sms miał treść 'Autoryzacja transakcji. Kod: 123456. Citi Handlowy'.

A w ogóle, to jeśli faktycznie dowody kolekcjonerskie są nie do odróżnienia, to bierzemy taki dowód, idziemy do banku, zmieniamy wzór podpisu i hulaj dusza. Co prawda marmurowy PKOBP ostatnio w kasie wypłaca też na sms, ale przecież nie muszę mieć telefonu w ogóle...

   MJ

Emerytom?


-- -- -

marmurowy PKOBP ostatnio w kasie wypłaca też na sms

On 2019-01-25, Michał Jankowski <michalj@fuw.edu.pl> wrote:

[...]

SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.
Jak się nie obrócić, dupa z tyłu.

A (ostatnio modne) pushe?

--
Wojciech Bańcer
wojciech.bancer@gmail.com