Data: 2016-02-24 17:53:27 | |
Autor: Krzysztof | |
token sprzętowy dla klienta indywidualnego | |
Użytkownik "BQB" napisał w wiadomości grup dyskusyjnych:56cd9c2c$0$22826$65785112@news.neostrada.pl... Witam, w jakim banku można jeszcze otrzymać token sprzętowy dla klienta indywidualnego nawet za opłatą? Jestem jeszcze w BZWBK, token ma już swoje lata, z tego banku chcę zrezygnować i szukam alternatywy. -- -- -- -- -- -- -- -- -- -- -- -- - Token GSM ma Eurobank, ktory zrezygnowal niedawno z tokena sprzetowego uznajac go za slabo chroniacy. Problem jest taki, ze tokeny sprzetowe nie wyswietlaja opisu transakcji jakiej dotycza. Wirusy moga podmieniac nr konta na przelew a na ekranie pokazywac nr wlasciwy i zatwierdzajac takim tokenem potwierdzasz transakcje dla oszusta nie bedac tego swiadomym. Stad moim zdaniem bedzie nastepowalo wycofywanie takich tokenow podajacych tylko kod do wpisania. Krytykowane zabezpieczenie kodami SMS, szczegolnie na starym telefonie jest duzo bezpieczniejsze od tokena sprzetowego, ktory nie wyswietla opisu transakcji. |
|
Data: 2016-02-24 18:08:58 | |
Autor: Kamil Jońca | |
token sprzętowy dla klienta indywidualnego | |
"Krzysztof" <onkris2@poczta.onet.pl> writes:
[...] Problem jest taki, ze tokeny sprzetowe nie wyswietlaja opisu Sa rózne tokeny. W szczególno¶ci taki jaki miała optima, czy wła¶nie bzwbk. Gdzie można zdefiniować "pytanie-odpowiedĽ"[1]. Więc to co napisałe¶ o podmianie konta jest nieprawdziwe. (A przynajmniej nie dla wszystkich tokenów) Prawdziwym powodem wycofywania tokenów s± a) koszty b) wpadki producentów KJ [1] na ekranie wy¶wietlał się "kod" transakcji, ten kod wpisywałe¶ do tokena, który ci odpowiadał kodem do wpisania w przegl±darce -- http://wolnelektury.pl/wesprzyj/teraz/ Television has proved that people will look at anything rather than each other. -- Ann Landers |
|
Data: 2016-02-25 08:43:25 | |
Autor: jureq | |
token sprzętowy dla klienta indywidualnego | |
Dnia Wed, 24 Feb 2016 18:08:58 +0100, Kamil Jońca napisał(a):
[1] na ekranie wyświetlał się "kod" transakcji, ten kod wpisywałeś do Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic lepszy od typowego RSA zależnego tylko od zegara. |
|
Data: 2016-02-25 10:00:41 | |
Autor: Kamil Jońca | |
token sprzętowy dla klienta indywidualnego | |
jureq <jureq@Xusun.to.z.adresu.Xop.pl> writes:
Dnia Wed, 24 Feb 2016 18:08:58 +0100, Kamil Jońca napisał(a): Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech transakcji (tak jak to było w np. tokenie gsm eurobanu) KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html "Your attitude determines your attitude." -- Zig Ziglar, self-improvement doofus |
|
Data: 2016-02-25 09:27:54 | |
Autor: jureq | |
token sprzętowy dla klienta indywidualnego | |
Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):
Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą "coś" ci wyświetliło na ekranie komputera? |
|
Data: 2016-02-25 10:41:31 | |
Autor: J.F. | |
token sprzętowy dla klienta indywidualnego | |
Użytkownik "jureq" napisał w wiadomości grup dyskusyjnych:56cec91a$0$22844$65785112@news.neostrada.pl...
Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a): Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej, którą Dawniej niewatpliwie tej rzeczywistej. Serwer wyliczal skrot operacji, wyswietlal, kazal wprowadzic odpowiedz, przeliczal czy sie zgadza. Teraz to juz w niewatpliwosc watpie :-) Ale czy dawniej bylo bezpieczniej ? Jak ci cos opanuje przegladarke, pokaze ze przelewasz na konto1, a serwerowi przekaze konto2, serwer policzy skrot operacji, wyswietli, poczeka na odpowiedz, zweryfikuje, i wykona ... oczywiscie operacje przekazana mu przez przegladarke, a nie te, ktora zostala wprowadzona i pokazana na ekranie. Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie ukradna/przejma i ich :-) Musialby byc token z lacznoscia, chocby w formie kamery i QR kodu. wpisujesz operacje, serwer szyfruje, przekazuje tokenowi, ten wyswietla szczegoly, prosi o potwierdzenie, kod autoryzacyjny przekazuje sam lub przepisujesz ... J. |
|
Data: 2016-02-25 10:39:32 | |
Autor: jureq | |
token sprzętowy dla klienta indywidualnego | |
Dnia Thu, 25 Feb 2016 10:41:31 +0100, J.F. napisał(a):
Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie Wypada chyba mieć 2 sztuki. Jeden do aplikacji bankowej, drugi do SMS. |
|
Data: 2016-02-25 10:55:45 | |
Autor: Kamil Jońca | |
token sprzętowy dla klienta indywidualnego | |
jureq <jureq@Xusun.to.z.adresu.Xop.pl> writes:
Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a): Erm. Zakładam, że ten "kod" jest jak±¶ form± podpisu cyfrowego generowan± przez bank. Wykładu na temat podpisu cyfrowego nie mam zamiaru tu robić. KJ -- http://wolnelektury.pl/wesprzyj/teraz/ |
|
Data: 2016-02-25 10:37:59 | |
Autor: jureq | |
token sprzętowy dla klienta indywidualnego | |
Dnia Thu, 25 Feb 2016 10:55:45 +0100, Kamil Jońca napisał(a):
Nie. Ale zakładam, że był genereowany przezb bank, na podstawie cech Chyba nie wiesz jak działają najnowsze wirusy. One podmieniają numer rachunku a czasami także kwotę wprowadzaną z klawiatury (lub schowka....) i wyświetlaną na ekranie komputera. Wpisujesz i widzisz jedno, a bank dostaje co innego. Na to żaden podpis cyfrowy nie pomoże. Musi być drugie bezpieczne (niezależne od komputera) urządzenie, które przed zatwierdzeniem operacji wyświetli ci te same dane. Wykładu na temat podpisu cyfrowego nie mam zamiaru tu robić. I słusznie. |
|
Data: 2016-02-25 11:44:12 | |
Autor: Kamil Jońca | |
token sprzętowy dla klienta indywidualnego | |
jureq <jureq@Xusun.to.z.adresu.Xop.pl> writes:
Dnia Thu, 25 Feb 2016 10:55:45 +0100, Kamil Jońca napisał(a):Pomoże, je¶li oprócz podpisu dostaniemy też podpisan± wiadomo¶ć. (I wtedy ten podpis zweryfikujemy). I TEGO elementu nie było. Z smsami jest podobnie - mog± opisywać transakcję (np. mbank) ale nie musz± (iirc idea) KJ -- http://wolnelektury.pl/wesprzyj/teraz/ Linux! Guerrilla UNIX Development Venimus, Vidimus, Dolavimus. -- Mark A. Horton KA4YBR, mah@ka4ybr.com |
|
Data: 2016-02-25 11:52:53 | |
Autor: J.F. | |
token sprzętowy dla klienta indywidualnego | |
Użytkownik "Kamil "Jońca"" napisał w wiadomo¶ci grup dyskusyjnych:87povl5atf.fsf@alfa.kjonca...
Chyba nie wiesz jak działaj± najnowsze wirusy. Pomoże, je¶li oprócz podpisu dostaniemy też podpisan± wiadomo¶ć. (I Idea opisuje. J. |
|