UĹźytkownik "BQB"  napisał w wiadomości grup dyskusyjnych:56cd9c2c$0$22826$65785112@news.neostrada.pl...

Witam, w jakim banku można jeszcze otrzymać token sprzętowy dla klienta
indywidualnego nawet za opłatą?

Jestem jeszcze w BZWBK, token ma już swoje lata, z tego banku chcę
zrezygnować i szukam alternatywy.
-- -- -- -- -- -- -- -- -- -- -- -- -
Token GSM ma Eurobank, ktory zrezygnowal niedawno z tokena sprzetowego uznajac go za slabo chroniacy.
Problem jest taki, ze tokeny sprzetowe nie wyswietlaja opisu transakcji jakiej dotycza. Wirusy moga podmieniac nr konta na przelew a na ekranie pokazywac nr wlasciwy i zatwierdzajac takim tokenem potwierdzasz transakcje dla oszusta nie bedac tego swiadomym.
Stad moim zdaniem bedzie nastepowalo wycofywanie takich tokenow podajacych tylko kod do wpisania.
Krytykowane zabezpieczenie kodami SMS, szczegolnie na starym telefonie jest duzo bezpieczniejsze od tokena sprzetowego, ktory nie wyswietla opisu transakcji.

"Krzysztof" <onkris2@poczta.onet.pl> writes:
[...]

Problem jest taki, ze tokeny sprzetowe nie wyswietlaja opisu
transakcji jakiej dotycza. Wirusy moga podmieniac nr konta na przelew
a na ekranie pokazywac nr wlasciwy i zatwierdzajac takim tokenem
potwierdzasz transakcje dla oszusta nie bedac tego swiadomym.
Stad moim zdaniem bedzie nastepowalo wycofywanie takich tokenow
podajacych tylko kod do wpisania.
Krytykowane zabezpieczenie kodami SMS, szczegolnie na starym telefonie
jest duzo bezpieczniejsze od tokena sprzetowego, ktory nie wyswietla
opisu transakcji.

Sa rózne tokeny. W szczególności taki jaki miała optima, czy właśnie
bzwbk. Gdzie można zdefiniować "pytanie-odpowiedź"[1]. Więc to co napisałeś
o podmianie konta jest nieprawdziwe. (A przynajmniej nie dla wszystkich
tokenów)

Prawdziwym powodem wycofywania tokenów są
a) koszty
b) wpadki producentów


KJ

[1] na ekranie wyświetlał się "kod" transakcji, ten kod wpisywałeś do
tokena, który ci odpowiadał kodem do wpisania w przeglądarce
--
http://wolnelektury.pl/wesprzyj/teraz/
Television has proved that people will look at anything rather than each other.
-- Ann Landers

Dnia Wed, 24 Feb 2016 18:08:58 +0100, Kamil Jońca napisał(a):

[1] na ekranie wyświetlał się "kod" transakcji, ten kod wpisywałeś do
tokena, który ci odpowiadał kodem do wpisania w przeglądarce

Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic lepszy od typowego RSA zależnego tylko od zegara.

jureq <jureq@Xusun.to.z.adresu.Xop.pl> writes:

Dnia Wed, 24 Feb 2016 18:08:58 +0100, Kamil Jońca napisał(a):

[1] na ekranie wyświetlał się "kod" transakcji, ten kod wpisywałeś do
tokena, który ci odpowiadał kodem do wpisania w przeglądarce

Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic lepszy od typowego RSA zależnego tylko od zegara.

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
"Your attitude determines your attitude."
-- Zig Ziglar, self-improvement doofus

Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):

Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
lepszy od typowego RSA zaleĹźnego tylko od zegara.

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą "coś" ci wyświetliło na ekranie komputera?

UĹźytkownik "jureq"  napisał w wiadomości grup dyskusyjnych:56cec91a$0$22844$65785112@news.neostrada.pl...
Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):

Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
lepszy od typowego RSA zaleĹźnego tylko od zegara.

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
"coś" ci wyświetliło na ekranie komputera?

Dawniej niewatpliwie  tej rzeczywistej.  Serwer wyliczal skrot operacji, wyswietlal, kazal wprowadzic odpowiedz, przeliczal czy sie zgadza.
Teraz to juz w niewatpliwosc watpie :-)

Ale czy dawniej bylo bezpieczniej ?
Jak ci cos opanuje przegladarke, pokaze ze przelewasz na konto1, a serwerowi przekaze konto2, serwer policzy skrot operacji, wyswietli, poczeka na odpowiedz, zweryfikuje, i wykona ... oczywiscie operacje przekazana mu przez przegladarke, a nie te, ktora zostala wprowadzona i pokazana na ekranie.

Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie ukradna/przejma i ich :-)

Musialby byc token z lacznoscia, chocby w formie kamery i QR kodu.
wpisujesz operacje, serwer szyfruje, przekazuje tokenowi, ten wyswietla szczegoly, prosi o potwierdzenie, kod autoryzacyjny przekazuje sam lub przepisujesz ...


J.

Dnia Thu, 25 Feb 2016 10:41:31 +0100, J.F. napisał(a):

Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie
ukradna/przejma i ich :-)

Wypada chyba mieć 2 sztuki. Jeden do aplikacji bankowej, drugi do SMS.

jureq <jureq@Xusun.to.z.adresu.Xop.pl> writes:

Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):

Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
lepszy od typowego RSA zależnego tylko od zegara.

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą "coś" ci wyświetliło na ekranie komputera?

Erm.
Zakładam, że ten "kod" jest jakąś formą podpisu cyfrowego generowaną
przez bank.

Wykładu na temat podpisu cyfrowego nie mam zamiaru tu robić.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

Dnia Thu, 25 Feb 2016 10:55:45 +0100, Kamil Jońca napisał(a):

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
"coś" ci wyświetliło na ekranie komputera?

Erm.
Zakładam, że ten "kod" jest jakąś formą podpisu cyfrowego generowaną
przez bank.

Chyba nie wiesz jak działają najnowsze wirusy.
One podmieniają numer rachunku a czasami także kwotę wprowadzaną z klawiatury (lub schowka....) i wyświetlaną na ekranie komputera. Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden podpis cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od komputera) urządzenie, które przed zatwierdzeniem operacji wyświetli ci te same dane.

Wykładu na temat podpisu cyfrowego nie mam zamiaru tu robić.

I słusznie.

jureq <jureq@Xusun.to.z.adresu.Xop.pl> writes:

Dnia Thu, 25 Feb 2016 10:55:45 +0100, Kamil Jońca napisał(a):

Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech
transakcji (tak jak to było w np. tokenie gsm eurobanu)

Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą
"coś" ci wyświetliło na ekranie komputera?

Erm.
Zakładam, że ten "kod" jest jakąś formą podpisu cyfrowego generowaną
przez bank.

Chyba nie wiesz jak działają najnowsze wirusy.
One podmieniają numer rachunku a czasami także kwotę wprowadzaną z klawiatury (lub schowka....) i wyświetlaną na ekranie komputera. Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden podpis cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od komputera)

Pomoże, jeśli oprócz podpisu dostaniemy też podpisaną wiadomość. (I
wtedy ten podpis zweryfikujemy). I TEGO elementu nie było.

Z smsami jest podobnie - mogą opisywać transakcję (np. mbank) ale nie
muszą (iirc idea)
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Linux!  Guerrilla UNIX Development     Venimus, Vidimus, Dolavimus.
-- Mark A. Horton KA4YBR, mah@ka4ybr.com

Użytkownik "Kamil "Jońca""  napisał w wiadomości grup dyskusyjnych:87povl5atf.fsf@alfa.kjonca...

Chyba nie wiesz jak działają najnowsze wirusy.
One podmieniają numer rachunku a czasami także kwotę wprowadzaną z
klawiatury (lub schowka....) i wyświetlaną na ekranie komputera.
Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden podpis
cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od komputera)

Pomoże, jeśli oprócz podpisu dostaniemy też podpisaną wiadomość. (I
wtedy ten podpis zweryfikujemy). I TEGO elementu nie było.
Z smsami jest podobnie - mogą opisywać transakcję (np. mbank) ale nie
muszą (iirc idea)

Idea opisuje.

J.