Gość: Przemo
IP: *.ipartners.pl / *.ipartners.pl
09.06.05, 16:51
Niestety tylko kilka z oferujacych rachunki internetowe bankow korzysta z
jedynie slusznych rozwiazan w kwestii bezpiecznego dostepu.
Obligatoryjne jest szyfrowanie polaczenia, ktore, nie nalezy o tym zapominac,
jest tylko sposobem zabezpieczenia sie przed podsluchem samej transmisji
przez osoby majace dostep do infrastruktury przez ktora transmisja przechodzi
( uwaga, niektorzy domorosli operatorzy dostepu, najczesciej male kabloweczki
osiedlowe realizuja siec w blokach umozliwiajacy wzajemne podsluchiwanie
tranmisji sasiadow; malo kto wie, ale poczta internetowa w swoim
najpopularniejszym wcieleniu polega na transmisji czystym tekstem ).
W przypadku bankomatu czy terminala platniczego potrzebne jest cos co mamy (
karta ) i cos co wiemy ( PIN ). Choc istnieje kategoria przestepstw
finansowych polegajaca na podrabianiu kart ( wtedy nasza karta potrafi
wystepowac w jednej kopii ), nie ma mozliwosci zeby nasza karta byla dostepna
dla wszystkich oszustow na calej kuli ziemskiej rownoczesnie.
Tymczasem w przypadku Internetu wiele bankow probuje przyzwyczaic swoich
uzytkownikow do zabezpieczen znacznie gorszej jakosci. Robi to wymagajac tylko
czego co wiemy ( niewazne, ze zamiast jednej danej - pinu, jak w przypadku z
bankomatem, sa to dwie dane - nazwa uzytkownika i haslo, numer konta i pin,
numer karty i pin ), co z zalozenia bezpieczne nie jest.
Numer czyjejs karty latwo poznac ( do niedawna wyrzucane najczesciej kwitki z
bankomatow mialy wydrukowany PELEN NUMER KARTY! W niektorych bankach tak jest
nadal! ), tak samo jak numer rachunku. Nawet jesli logowanie do banku wymaga
wylosowanego przez bank identyfikatora, a nie numeru rachunku czy karty, jest
to rozwiazanie niewlasciwe.
Jedyny akceptowalny poziom zabezpieczen to hasla jednorazowe. Nawet
kompromitacja hasla oznacza, ze jedyna operacja jaka wykona oszust, bedzie
zalogowanie sie do konta. Wykonanie jakiejkolwiek kolejnej operacji wymaga
bowiem kolejnego hasla, ktorego proces zgadywania jest czasochlonny.
Czy sposobem na realizacje hasel jednorazowych jest token ( "cos, co mamy" -
Lukasbank ), czy tez papierowa lista hasel na kartce ( mbank ), nie ma to
znaczenia.
Uwaga do rozwiazania mbanku jednakze - jesli oszust wejdzie w posiadanie
naszej listy hasel, bedzie mial pelen dostep do naszego rachunku. W przypadku
Lukasa, trzeba znac jeszcze jedno haslo ( "to, co wiemy" ) - dopiero bowiem z
niego i z aktualnego wskazania tokena tworzymy pelne haslo autoryzujace operacje.