znaczacy > biznes.* > biznes.banki

Imka (24.01.2019, 16:58)
Wiadomosc w sumie dla dinozaurów ;) ale moze oprócz mnie jeszcze jakis
sie uchowal.
Informacja z systemu transakcyjnego.
[..]
gtoni13 (24.01.2019, 19:47)
W dniu czwartek, 24 stycznia 2019 15:58:09 UTC+1 uzytkownik Imka napisal:
> Wiadomosc w sumie dla dinozaurów ;) ale moze oprócz mnie jeszcze jakis
> sie uchowal.
> Informacja z systemu transakcyjnego.
> > Wycofujemy listy hasel jednorazowych

Bardzo zle !
Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.
A poza tym wychodze z mbanku, choc jedno konto zostawiam.
sczygiel (24.01.2019, 20:34)
W dniu czwartek, 24 stycznia 2019 08:58:09 UTC-6 uzytkownik Imka napisal:
> Wiadomosc w sumie dla dinozaurów ;) ale moze oprócz mnie jeszcze jakis
> sie uchowal.
> Informacja z systemu transakcyjnego.


Chwile poczytalem o tej dyrektywie i nie widze powodu aby listy jednorazowebyly jakkolwiek przez nia wykluczane.

Mysle ze to jakas sciema.

Zamiast listy przydal by sie token.
Przypiecie konta do telefonu mi nie pasuje.
sczygiel (24.01.2019, 20:35)
W dniu czwartek, 24 stycznia 2019 12:34:30 UTC-6 uzytkownik sczy...@gmail.com napisal:
> W dniu czwartek, 24 stycznia 2019 08:58:09 UTC-6 uzytkownik Imka napisal:
> Chwile poczytalem o tej dyrektywie i nie widze powodu aby listy jednorazowe byly jakkolwiek przez nia wykluczane.
> Mysle ze to jakas sciema.


Mam na mysli to wytlumaczenie a nie sam fakt likwidacji list.
Krzysztof Halasa (24.01.2019, 21:16)
gtoni13 writes:

> Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
> Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
> autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.


Tzn. hasla SMS sa bezpieczniejsze w sytuacji "skompromitowanego"
komputera uzywanego do przeprowadzania transakcji. W sumie jedne
i drugie maja zapewniac dodatkowa ochrone wlasnie w takiej sytuacji.
Problemem sa "celowane" ataki, na takie "zwykly klient" nic nie poradzi.

Faktycznie token bylby lepszy, ale to musialby byc specjalny token,
taki, który przy wyliczaniu wyniku bierze pod uwage szczególy operacji.
Jesli juz taki token, to dlaczego nie mialby po prostu podpisywac
cyfrowo zlecen. Wtedy ekran, pewnie 320x240, jakis interface do
pobierania danych (kamera + kod QAR itp.), cos do wysylania wyników
(bez podpisu wystarczy wyswietlic kod wyjsciowy).

No i zaraz mogloby sie okazac, ze klienci woleliby soft-token, co dla
jednych byloby absolutnie sensowne (wydzielone pomieszczenie i stacja
spelniajaca surowe warunki), a w przypadku innych sprowadzaloby sie do
uruchomienia malware na zainfekowanym komputerze albo innym telefonie.
Nieautoryzowana ingerencja w tokeny, dziury umieszczone na etapie
produkcji, itd. - bezpieczenstwo to nie jest prosta i tania sprawa :-(
Dawid Rutkowski (24.01.2019, 22:04)
A ja mam z pekao token dzialajacy na J2ME na mojej nokii E51 i jest nie do zhackowania ;) Ma tez tryb challenge.
I lepiej dziala od androidowego - ten rozsychronizowal mi sie przy trzeciej operacji.
I jest za darmo - a hasla sms po 20gr ;P
n (24.01.2019, 22:44)
Cos podobnego do tokena EB?
A dlaczego niby nie do zhakowania?

-----
Poldek (25.01.2019, 00:47)
W dniu 2019-01-24 o 15:58, Imka pisze:
> Wiadomosc w sumie dla dinozaurów ;) ale moze oprócz mnie jeszcze jakis
> sie uchowal.
> Informacja z systemu transakcyjnego.


Bylem pare razy w górach w pensjonacie, gdzie jest internet - z kabla
typu tpsa - a nie ma zasiegu zadnej sieci komórkowej. Znajomi dziwili
sie, jak zamierzam zaplacic za pobyt przelewem ;-)

Gdyby ktos chcial kody, to jeszcze w Pekao SA sa.
gosc (25.01.2019, 12:30)
Poldek wrote:
> Bylem pare razy w górach w pensjonacie, gdzie jest internet - z kabla
> typu tpsa - a nie ma zasiegu zadnej sieci komórkowej. Znajomi dziwili
> sie, jak zamierzam zaplacic za pobyt przelewem ;-)
> Gdyby ktos chcial kody, to jeszcze w Pekao SA sa.


A Wi-Fi Calling?
Np. <https://www.play.pl/uslugi/wifi-calling/>.
Kris (25.01.2019, 12:39)
W dniu czwartek, 24 stycznia 2019 23:47:07 UTC+1 uzytkownik Poldek napisal:

> Bylem pare razy w górach w pensjonacie, gdzie jest internet - z kabla
> typu tpsa - a nie ma zasiegu zadnej sieci komórkowej. Znajomi dziwili
> sie, jak zamierzam zaplacic za pobyt przelewem ;-)

W mbanku tez bys chyba zaplacil bo teraz operacje moznapotwierdzac w aplikacji mobilnej
Ale to nie zweryfikowane info bo nie korzystam z zadnych aplikacji w telefonie
Dawid Rutkowski (25.01.2019, 12:41)
W dniu czwartek, 24 stycznia 2019 21:44:39 UTC+1 uzytkownik n napisal:

> > A ja mam z pekao token dzialajacy na J2ME na mojej nokii E51 i jest nie do zhackowania


> Cos podobnego do tokena EB?
> A dlaczego niby nie do zhakowania?


W eb tokena "soft" nie wypróbowalem, sprzetowego tez nie mialem bo mialem tylko KK. I nawet apki nie moglem zainstalowac, bo do aktywacji trzeba bylo wskazac konto do ew. oplat...

W kazdym razie token jest git i w ogóle nie potrzebuje do pracy jakiejkolwiek lacznosci (potrzebna jest tylko do sciagniecia i byc moze, bo nie sprawdzalem, do aktywacji).

A nokii E51 nic mi raczej nie zhackuje, bo tylko do dzwonienia i smsówsluzy, no jeszcze da sie sprawdzic rozklad jazdy na m.ztm.waw.pl oraz pogode na - ograniczaja zarówno ekran 240*320 jak i przeterminowanie certyfikatów (przez te certyfikaty nie zadzialalo mi tez IKO w wersji J2ME :( ).
Michal Jankowski (25.01.2019, 13:07)
W dniu 24.01.2019 o 20:16, Krzysztof Halasa pisze:
> gtoni13 writes:
> Tzn. hasla SMS sa bezpieczniejsze w sytuacji "skompromitowanego"
> komputera uzywanego do przeprowadzania transakcji. W sumie jedne
> i drugie maja zapewniac dodatkowa ochrone wlasnie w takiej sytuacji.
> Problemem sa "celowane" ataki, na takie "zwykly klient" nic nie poradzi.


Jak piszesz - zdrapki nie chronia przed sytuacja, ze masz wirusa i
komputer prezentuje inne dane do przelewu tobie, a inne bankowi.

SMS nie chroni przed sytuacja, ze ktos ci ukradnie numer telefonu.

Jak sie nie obrócic, dupa z tylu.

W zasadzie wymóg sms ORAZ zdrapka dawalby spore bezpieczenstwo...

MJ
Poldek (25.01.2019, 13:59)
W dniu 2019-01-25 o 11:30, gosc pisze:
> Poldek wrote:
> A Wi-Fi Calling?
> Np. <https://www.play.pl/uslugi/wifi-calling/>.


Nie kazdy to ma.
Krzysztof Halasa (25.01.2019, 21:42)
Michal Jankowski <michalj> writes:

> Jak sie nie obrócic, dupa z tylu.


No niestety :-(

> W zasadzie wymóg sms ORAZ zdrapka dawalby spore bezpieczenstwo...


Podejrzewam ze bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacja, w której np.:
a) ktos nam "shackowal" telefon i jednoczesnie ma dostep do naszego
komputera, ale np. dlugo nie wykonujemy operacji wymagajacych
zdrapki, i wlamywacz móglby siedziec dzien i noc czekajac na nasz
ruch. Raczej nieistotny przypadek.
b) ktos wyludzil od operatora karte SIM z naszym numerem, albo
np. jest w stanie odbierac SMSy "za nas", warunek na komputer j.w.,
(wtedy zorientujemy sie ze cos jest nie tak, bo nasz telefon nie
dostanie prawidlowego SMSa i nie wpiszemy kodu ze zdrapki - chyba ze
ten ktos potrafi sprawic, ze dostanie).
c) jakies nie-internetowe scenariusze np. z interfejsem bialkowym, ale
moze to bardziej kwestia procedur niz techniki.

To jest niewatpliwie postep, i w sytuacji wyludzenia karty SIM nawet
chyba znaczny, ale wciaz nie chroni nas to przed infekcja jednoczesnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, ze
tylko przypadkowo mamy tego samego wlamywacza w komputerze i telefonie
jest, nawet uwzgledniajac paradoks dnia urodzin, raczej zbyt mala, by
pokryc statystycznie koszty calego wlamania).

Nie znam (m)bankowych statystyk, ale podejrzewam, ze glównym problemem
tego typu sa obecnie papierowe listy hasel polaczone z wlamem do peceta,
wykonanym przez jakies malware. Na to hasla SMSowe dzialaja wzglednie
dobrze (chyba ze ktos nie czyta dokladnie tresci SMSów, to jest
problem).
Wojciech Bancer (27.01.2019, 11:55)
On 2019-01-25, Michał Jankowski <michalj> wrote:

[...]

> SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.
> Jak się nie obrócić, dupa z tyłu.


A (ostatnio modne) pushe?

Podobne wątki