Sprawdź, czy twój bank dobrze zabezpiecza pieni...

[mlody-inwestor]

Co mi po rankingu ilosci kodow, skoro wiele bankow stosuje sredniowieczna metode wymuszenia uzywania "jednynej slusznej" przegladraki Internetowej Internet Explorer - ktora znana jest z ilosci dzior, oraz latwosci podatnosci na ataki typu phishing...

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: gość]

W ING owszem wymagają potwierdzenia transakcji ale do kwot powyżej 25 tys zł, a
normalnie do potwierdzenia np przelewu podaje się to samo hasło co do logowania
(do logowania wybranych kilka cyfr ale do potwierdzenia przelewu już wszystkie ... )

[bq]

w ING do logowania stosujesz jedno hasło, natomiast do wykonania przelewu
używasz klucza prywatnego zaszyfrowanego innym hasłem.

[Gość: gość]

ja mam to samo hasło i do logowania i do przelewu, jedyna różnica ze do
logowania podaje się jedynie część hasła

[Gość: Bit]

No to Twoj blad bo przy rejestracji powinienes wybrac dwa rozne hasla, ale nie straconego poniewaz w kazdej chwili mozesz zmienic sobie haslo

Sprawdzaj, sprawdzaj, sprawdzaj, a i tak możesz...

[Gość: trzosik]

Sprawdzaj, sprawdzaj, sprawdzaj, a i tak możesz mieć niespodziankę w postaci
wyczyszczonego do zera konta!:(
Konto może zostać wyczyszczone bez znajomości numeru konta jak i nie potrzeba
znać do tego haseł!!!!!
Klient sam zautoryzuje taki numer!!!
Czy ktoś się zgłosi, że wie, jak to można zrobić?
To nie jest takie trudne!
Wymaga tylko trochę cierpliwości w oczekiwaniu na odpowiedni moment!

ten teges, zapraszam do mojego banku >>

[plaszcz]

który mieści się pod adresem :
mój bank
a znajdziesz w nim oferte z kilkunastu banków, samemu porównujesz i wybierasz najlepsze :
- kredyty (mieszkaniowe, samochodowe, konsumpcyjne)
- konta bankowe (prywatne i dla firm)
- karty kredytowe

[st1111]

Właśnie mi 2 konto obrobili oczywiście w dwóch różnych bankach.

[Gość: jaceek]

Czyli jesteś w tej połówce promila klientów banków elektronicznych, którzy mają
problem z utrzymaniem hasła w tajemnicy...

"Bezpieczniejsze kody SMS-owe" ????!!!!!!

[Gość: realista]

Co będzie, gdy klientowi skradną telefon?

sposób przekazywania haseł od banku do klienta

[Gość: jaceek]

W BOŚ, żeby odzyskać zapomniane hasło trzeba udać się osbiście do oddziału
banku. Wkurzyło mnie to, ale w sumie jest to dosyć bezpieczne rozwiązanie. Czy
w innych bankach też tak jest?

Ranking nie uwzględnia właśnie takich kwestii "organizacyjnych" - czyli sposobu
uzyskiwania haseł od banku itp. Ciekawe dlaczego: czy w tym zakresie wszystkie
banki są równie profesjonalne i nie ma na tym odcinku żadnego ryzyka?

[Gość: xxx]

Gość portalu: gość napisał(a):

> ja mam to samo hasło i do logowania i do przelewu, jedyna różnica ze do
> logowania podaje się jedynie część hasła

teraz to juz niemożliwe. od zeszłego roku nie ma możliwości zdefiniowane tych
haseł jednakowo. z kolei spodziewaj się w najbliższym czasie tego że po
zalogowaniu system wymusi na tobie zmianę hasła dostępu.

[lesio5]

> normalnie do potwierdzenia np przelewu podaje się to samo hasło co do
logowania

To ustaw sobie INNE hasło do przelewu niz do logowania. Jeśli do tej pory tego
nie zrobiłeś to SAM zmniejszyłeś bezpieczeństwo transakcji w ING. Nie obwiniaj
o to banku.

Ale to

[Gość: Gal]

nadal bardzo marne zabezpieczenie.

[Gość: poziomek]

> W ING owszem wymagają potwierdzenia transakcji ale do kwot powyżej 25 tys zł, a
> normalnie do potwierdzenia np przelewu podaje się to samo hasło co do logowania
> (do logowania wybranych kilka cyfr ale do potwierdzenia przelewu już wszystkie
> ... )
Pisalem do nich w tej sprawi maila jzu pracuja nad mozliwoscia definiowania tej
kwoty granicznej przez uzytkownika. Jak to zrobia to mozna sobie ustawic np na
500PLN i juz mamy dodatkowa autoryzacje SMSem mam nadzieje ze chlopaki sie
poslpiesza z ta funkcjonalnopscia

[Gość: luk]

Nie wiem jak inne ale mBank i BZWBK śmigają na Firefoxie aż miło ...

Bardziej przyczepiłbym się używania przez autora określenia hacker - zapraszam
do wikpedii pl.wikipedia.org/wiki/Haker_%28bezpiecze%C5%84stwo_komputerowe%29

[stworzak1]

Lukas też chodzi na FireFox

[Gość: stachenka]

i PKO BP też

[Gość: ogon]

tak, ale jeszcze niedawno kiedy zgłaszałem, że spod FF niepoprawnie drukują się potwierdzenia przelewów w mBanku to pani z banku powiedziała, że to możliwe, ale oni nie zalecają używania innych przeglądarek niż IE... mam nadzieję, że do teraz to się już zmieniło, ale fakt pozostaje faktem.

[Gość: aurora]

ja tam i w pko i teraz w mbanku używam opery i nie mam żadnych problemów. a potwierdzenia przelewów drukują sie w operze az miło ;)

[Gość: eter]

bph firefox explorer i opera - bez problemu

[Gość: zuzka]

W bph bywają probelmy z firefoxem.

[Gość: fakir]

są do przeskoczenia....

[Gość: nico]

Byly kiedys problemy z pobieraniem komponentu do szyfrowania. Na operce dziala bez problemu.

[Gość: Andy]

W bph dziala tez z Safari i Macintosha :-)

[Gość: Lolek]

Uwazaj! Safari to nie jest przegladarka do konta bankowego.

[gajowy_marycha]

> bph firefox explorer i opera - bez problemu

owszem, ale tylko na pececie (niestety)

Inteligo też

[Gość: aa]

Inteligo też

[Gość: annonim]

bph też ładnie śmiga ...

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[svarte_sjel]

Taaak, jasne, maskowane hasła bezpieczeństwo zwiększają. Szkoda, że ci, którzy
tak twierdzą nie zauważają, że maskowane hasło _wymusza_ bądź _zapisanie_ hasła
(dziura!), bądź wymyślenie jakiegoś bardzo prostego (dziura!).
O kant rzyci takie zabezpieczenia rozbić.

[Gość: Nicos]

Racja, BPH miał takie prymitywne zabezpieczenie log i pass przy logowaniu i hasło przy dokonaniu przelewu (zawsze to samo). A teraz chcac doś poprawić wprowadzili to głupie maskowanie które jest strasznie wkurzające.

bank of america

[Gość: Grzesiek]

bank of america tez ma jedno haslo, ktore moze wygladac np tak: 123456 albo
abcdef i jakos nie slyszalem zeby strasznie ich okradali.

[Gość: tomeczek]

Zauważ, że w ogóle rzadko się słyszy, że jakiś bank okradziono elektronicznie,
bo banki kryją się z tym jak mogą.

Nie słyszałeś

[lmblmb]

Gość portalu: Grzesiek napisał(a):

> bank of america tez ma jedno haslo, ktore moze wygladac np tak: 123456 albo
> abcdef i jakos nie slyszalem zeby strasznie ich okradali.

Dokładnie, nie słyszałeś. Public Relations się tym zajmie.

[Gość: Antoni]

> (zawsze to samo).

Nieprawda.

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[rkcb]

I jeszcze jedna uwaga - token jest najwygodniejszy. Zmienia się go raz na parę
lat, można robić przelewy z dowolnego komputera i nie ma problemów przy
wyjazdach (Jak nie można odebrać listu z nowymi kodami).

[Gość: ~]

Najwygodniejsze to są hasła sms. Nie musisz nosić tokena ze sobą.

Jasne

[Gość: Gal]

tylko komorke.

[Gość: ~]

Właśnie - zamiast komórki i tokena noszę tylko telefon. Komórkę i tak mam zawsze przy sobie.

Ktory

[Gość: Gal]

to moze sie rozladowac, zostac ukradziony (jeszcze nie slyszalem aby zlodzieje "polowali" na anonimowe tokeny - to zabawny pomysl), popusc sie itd. Token nie jest dlatego tak popularny w *prawdziwych* systemach zabezpieczen tylko dlatego ze ladnie sie nazywa - jest maly, bezawaryjny, wyjatkowo odporny na czynniki zewnetrzne, nie trzeba go ladowac i latwo go ukryc w razie potrzeby. SMSy na komorki natomiast to pseudozabezpieczenie, nie potrafie ich traktowac powaznie nie tylko dlatego ze nie maja wiele wspolnego z wygada ale i podstawoymi zasadami zabezpieczen - SMSy nie sa szyfrowane, praktycznie kazdy po drodze (a posrednikow jest sporo) moze go przeczytac.

[Gość: Jacek]

SMS jest malo praktyczny dla osob mieszkajacych za granica.

J.

[pan_niemota]

Gość portalu: Jacek napisał(a):

> SMS jest malo praktyczny dla osob mieszkajacych za granica.
>
> J.

czyzby? kupujesz w polsce np. jakiś prepaid, doładowujesz co jakiś czas jakąs
drobna kasą (np. 20 zł na 2 miesiace, 50 zł na pół roku itp) i nie masz
najmniejszego problemu z odbieraniem sms-ów za granicą
--
zła wypowiedź? to tylko skróty myślowe

[Gość: nowinator]

A dodatkowo jakaś dystrybucja Live uruchamiana z płyty. Odpalasz robisz przelew.
Włamywacz ma malutko czasu by włamać się do kompa. A o to, co sobie poinstalował
wcześniej na jakimś obcym kompie, nie muszę się martwić i przeglądać systemu.

Uruchomić przeglądarkę z płyty live to już chyba każdy potrafi niezależnie od
tego czy jest informatykiem czy panią Zosią co tylko worda i IE obsługiwać potrafi.

Polbank nie ma żadnych zabezpieczeń!

[Gość: Polbank - NIE]

> Na drugiej szali jest grecki Polbank,
> który stosuje zdecydowanie najsłabsze zabezpieczenia.

Ja to rozumiem, że Polbank zawsze może dać całostronicową reklamę, więc trzeba pisać łagodnie, ale trzeba to powiedzieć wprost: Polbank nie ma ŻADNYCH zabezpieczeń!
Jedno, stałe hasło w banku to kpina z klientów, a nie zabezpieczenie

Dlaczego SMS-kod jest lepszy od tokena...

[Gość: gosc_w_kropki]

mBank i MultiBank uzywaja hasel SMS-owych. Sa one o tyle bezpieczne, ze w SMS-ie
przychodzi wraz z haslem informacja o transakcji, ktora chemy autoryzowac (nr.
konta + kwota). Zadnej innej operacji bankowej nie autoryzujemy przy pomocy
danego SMS-kodu. Moim zdaniem ma to taka przewage nad tokenem, ze jesli ktos
przechwyci haslo SMS-owe, to i tak bedzie mogl dokonac tylko wskazanej
transakcji. Inaczej z tokenem - nawet jezeli haslo w tokenie jest jednorazowe,
to i tak "hacker" bedzie mogl przy jego pomocy dokonac dowolnej operacji. Tylko
jednej - ale dowolnej. I dlatego sadze, ze te wszystkie wymyslne schematy z
tokenem w tle daja tylko "poczucie" bezpieczenstwa. Oczywiscie SMS tez mozna
sfabrykowac...

[Gość: sss]

a jak mi ktoś telefon ukradnie?

[frant3]

To nie będziesz mógł wysłać SMS-a do banku.

--
www.frant.tivi.pl

[vranix]

Bzdury wypisujesz o tokenie.
W Lukasie zeby zalogować sie lub wykonac przelew musisz podać hasło składające
sie z 2 czesci:

1. fraza wymyślona przez ciebie
2. odczyt z tokena

Jest to świetna metoda - nawet jeśli ukradną ci token, bez znajomości reszty
hasła nic nie zrobią.

Dlaczego SMS-kod jest GORSZY od tokena!!!

[Gość: HAJ!]

Do ciezkiej jasnej.
Do zabezpieczenia kart kredytowych byl, jest i bedzie najlepszy podpis na
wydruku. Nie dajcie sobie wciskac durnej bankowej propagandy!
Z podpisem zawsze mozesz wszystkie nieautoryzowane transakcje reklamowac, a
nawet dochodzic swojej sprawy w sadzie. Gdy zlodziej ukradnie ci karte _i
telefon_, to wszystkie transakcje bank i kazdy sad uzna za twoje.

To samo tyczy sie przelewow - token WBK do wygenerowania hasla potrzebuje
specjalnego PINu i hasla transakcji podawanego przez strone www. Nie da sie go
podrobic, ani przechwycic, a nwet jesli haker go ukradnie, nie bedzie znal PINu.

No, ale token jest drogi i ktory bank by go chcial, gdy zamiast fundowac
klientowi token za 150 zlotych, moze dowalic mu ekstra "usluge SMS" za 5 zeta
miesiecznie...

IMO, w chwili obecnej

[kotek.filemon]

> Do ciezkiej jasnej.
> Do zabezpieczenia kart kredytowych byl, jest i bedzie najlepszy podpis na
> wydruku.

www.joemonster.org/article.php?sid=6048

[Gość: ~]

Ciekawe kto w to uwierzy. Na potwierdzeniach które dostaję "dla siebie" też mogę sobie pomalować.

[Gość: slbm]

Ja w to uwierzę. W Polsce jeszcze nieźle sprawdzają stosunkowo. Ostatnio
płaciłem kartą kredytową w supermarkecie w Brukseli. Pani nie dość, że nie
spojrzała na podpis, to nawet oddała mi kartę przed wydrukowaniem rachunku, z
góry sugerując, że nie porówna wzoru podpisu (bo i z czym).

[Gość: ~]

Juz widzę, że miał czas nabazgrolić coś na tej kartce wyjąć aparat i zrobić zdjęcia. Wniosek: bazgrolił sobie w domu na 'swoich' potwierdzeniach.

[Gość: slbm]

> Juz widzę, że miał czas nabazgrolić coś na tej kartce wyjąć aparat i zrobić
zdj
> ęcia. Wniosek: bazgrolił sobie w domu na 'swoich' potwierdzeniach.

Do tego nie trzeba takiego wnioskowania. Na samych zdjęciach widać, że to są
potwierdzenia dla klienta. Niemniej jestem przekonany, że bez żadnych problemów
mógł wykonać takie same malunki na oryginałach, a potem zrobic kopie tylko na
potrzeby artykułu.

[Gość: slbm]

Plus jeszcze przeczytaj dopisek w komentarzu poniżej - o papierze
samokopiującym. W Polsce takiego sprzętu nie widziałem, ale najwyraźniej za
granicą jest.

[Gość: D.]

Owszem uwierzę, sam takie rzeczy widziałem - oczywiście nie tutaj w Polsce -
ale w Stanach jest to na porządku dziennym. Wielokrotnie zdarzało się, że
ludzie podpisywali się krzyżykami, albo bazgrołami kompletnie
nieprzypominającymi podpis na karcie. Najpierw byłem zdziwiony, ale potem
powiedziano mi, żebym się tym nie przejmował, a jak raz (dla jaj) poprosiłem
gościa o ID, albo prawo jazdy - osłupiał ze zdziwienia. Aczkolwiek zaraz dodał,
że to dobrze, że tak sprawdzamy.
Ba a w przypadku rezerwacji (w hotelu), gdzie fizycznie nigdy nie dotknąłem
karty, tylko słyszałem nazwisko, nr i datę ważności przez telefon. Kiedyś z
nudów bawiłem się terminalem i ku mojemu przerażeniu zgadłem cały numer karty
wraz z datą ważności (wstukiwałem dziennie od kilkunastu do kilkudziesięciu
numerów), co prawda zdarzyło mi się to tylko raz, ale i tak.
Nie mówiąc już o pracy kelnera, kiedy karty zabierałem ludziom z oczu na
dłuuugie minuty, a nie raz i nie dwa zdarzyło mi się znaleźć w domu, w kieszeni
fartucha, albo spodni czyjąś kartę. Następnego dnia odnosiłem.
Generalnie w Polsce zabezpieczenia są lepsze, ale przede wszystkim ludzie są o
wiele bardziej świadomi czym jest karta kredytowa, dostęp do banku przez
internet, czy telefon. Ale idiotoodpornych rozwiązań nie ma i pewnie nigdy nie
będzie.

[Gość: D.]

P.S. Zapomniałem dodać, że większość, jeśli nie wszystkie terminale z jakimi
miałem do czynienia drukowały na papierze samokopiującym i klienci dostawali do
podpisu obie części złożone razem.

[qwww]

w USA raz chcieli ode mnie ID (w Santa Barbara nb.)
czyli wcale tak źle nie jest

[Gość: Alter_Egon]

Ten "haker" musialby najpierw miec mojego tokena (przypomne Ci, ze ciag liczb
jest losowo generowany np. co 1 minute) . I - rzecz jasna - znac login i stala
czesc hasla.

Tak, ale token w Lukasie jest powiązany z czasem.

[pan_glosny]

Tak, ale token w Lukasie jest powiązany z czasem.
Nie da się zrobić operacji hasłem, które obowiązywało minutę czy 2 minuty temu
(nawet jeśli nie zostało wykorzystane...)

Ta tabelka to pomyłka

[lmblmb]

Tabelka jest tendencyjna. Zabezpieczenia w banku ING BS wymagają uruchomienia
appletu javy, co samo w sobie jest ogromną dziurą bezpieczeństwa. Kto
powiedział, że ufam bankowi i uruchomię jakiś nieznany mi program?

Ponadto jakim cudem BZWBK Centrum24 jest wyżej niż mBank? Rodzaj logowania tak
naprawdę ma mniejsze znaczenie, bo jeśli ktoś pozna moje hasło, to pozna stan
konta lub ewentualnie zapłaci mi za rok z góry za gaz, bo akurat miał ochotę
zrobić mi psikusa i znalazł przelew zdefiniowany. W BZWBK i mBanku przelew
potwierdza się SMSem lub hasłem jednorazowym (mBank), więc gdzie różnica? Jeśli
się do tego weźmie pod uwagę, że mBank ma nowszy interfejs, nie pobiera opłaty
za SMSy, przelewy nie idą tam dniami (tylko godzinami), to wybór jasny. Za BZWBK
argumentem jest dobra karta debetowa.

Reasumując, jesli wybierasz bank, nie kieruj się tylko tą tabelką. Omijaj tylko
banki, które wymagają jedynie hasła przy przelewach. Takie hasło łatwo poznać.

[Gość: mich]

Zgadzam się, tabelka nie jest obiektywna. Autorzy jako jedyne kryterium wzięli
ilość zabezpieczeń a np. w ogóle nie spojrzeli na sposób ich implementacji.
Moje kryteria przy ocenie banku - jednorazowe hasła przy przelewach (i innych
istotnych operacjach), minimalistyczna technologia (czysty html bez wynalazków
typu activex czy java), certyfikat ssl wykorzystany nie tylko do szyfrowania
strony ale i do podpisywania korespondencji z bankiem
O bezpieczeństwo komputera służącego do home-bankingu klient musi niestety dbać
sam (jak wypłaci kasę w okienku to bank też za nim nie posyła ochroniarza żeby
bezpiecznie dotarł z nią do domu), na sprytne trojany itp żadne zabezpieczenia
nie pomogą. Dla mniej zorientowanych są różne antywirusy, defendery i inne cuda,
bardziej zorientowani wiedzą jak unikać niespodzianek.

heh, dobry jesteś :D

[pacal2]

> Zgadzam się, tabelka nie jest obiektywna.
> Autorzy jako jedyne kryterium wzięli
> ilość zabezpieczeń a np. w ogóle nie spojrzeli na sposób ich implementacji.

Artykuł jest z pewnością nieobiektywny (nadzieja że przypadkowo jest u mnie
bardzo nikła), ale akurat dotarcie do implementacji zabezpieczeń i ich
porównanie byłoby dożywotnim mistrzostwem świata ze strony autorów :D

ale takich szczegółów żaden bank nie poda...

[plaszcz]

bo będzie to jednocześnie informacja do włamywaczy..
co do artykułu... jest słaby

[lmblmb]

Gość portalu: mich napisał(a):

> Zgadzam się, tabelka nie jest obiektywna. Autorzy jako jedyne kryterium wzięli
> ilość zabezpieczeń a np. w ogóle nie spojrzeli na sposób ich implementacji.
> Moje kryteria przy ocenie banku - jednorazowe hasła przy przelewach (i innych
> istotnych operacjach), minimalistyczna technologia (czysty html bez wynalazków
> typu activex czy java),

Tutaj się podpisuję. Zanim nie shakowałem interfejsu BZWBK Centrum24, byłem
pełen podejrzeń ws. bezpieczeństwa. Ich strona jest najeżona JavaScriptem, co w
połączeniu z AJAXem może być niebezpieczne. Teraz wiem, że raczej nic tam nie
siedzi, ale i tak preferuję mBank czy Inteligo.

> certyfikat ssl wykorzystany nie tylko do szyfrowania
> strony ale i do podpisywania korespondencji z bankiem

Tak jest w Inteligo ZTCP.

> O bezpieczeństwo komputera służącego do home-bankingu klient musi niestety
> dbać sam

I tutaj cały problem. Okazuje się jednak, że nie musi aż tak bardzo. Z
komputerów korzystają zarówno dobrze przeszkoleni programiści, jak i starsze
panie z niewielką znajomością techniki. Mam wrazenie, że prawo stoi bliżej tych
drugich.

> (jak wypłaci kasę w okienku to bank też za nim nie posyła ochroniarza żeby
> bezpiecznie dotarł z nią do domu), na sprytne trojany itp żadne zabezpieczenia
> nie pomogą. Dla mniej zorientowanych są różne antywirusy, defendery i inne
> cuda, bardziej zorientowani wiedzą jak unikać niespodzianek.

Na dopisywanie linii do pliku hosts na razie nie ma silnych.

[Gość: karol]

a skad ci sie wzielo, ze applet javy "jest sam w sobie ogromna dziura
bezpieczenstwa"? rownie dobrze mozna napisac "komputer jest ogromna dziura
bezpieczenstwa"...to rownie niedorzeczne.

[Gość: piotrus]

nie rozsmieszaj mnie, akurat jestem informatykiem i nawet nie chce mi sie
komentowac tego co napisales/as. akurat aplety javy sa swietnym sposobem i
bardziej funkcjonalnym. poza tym DUZO BARDZIEJ BEZPIECZNYM BO UNIEZALEZNIAJA
BEZPIECZENSTWO OD LUK PRZEGLADAREK INTERNETOWYCH !!!

[maruda.r]

Gość portalu: piotrus napisał(a):

> nie rozsmieszaj mnie, akurat jestem informatykiem i nawet nie chce mi sie
> komentowac tego co napisales/as. akurat aplety javy sa swietnym sposobem i
> bardziej funkcjonalnym. poza tym DUZO BARDZIEJ BEZPIECZNYM BO UNIEZALEZNIAJA
> BEZPIECZENSTWO OD LUK PRZEGLADAREK INTERNETOWYCH !!!

*******************************************

A jak w systemie nie zainstalowałeś odpowiedniej wersji Javy, to co? To dupa.
Jedynym sposobem na bezpieczeństwo jest całkowite uniezależnienie się, tak od
przeglądarki, jaki i wszystkich dodatkowych programów.

[Gość: karol]

czyli stanie w kolejce do okienka w oddziale banku?:)

[maruda.r]

lmblmb napisał:

> Tabelka jest tendencyjna.

*************************************

Zgadza się. Dołożę dość szokującą różnicę między pozycjami Nordei, a Inteligo.
Oba systemy obsługiwane są identycznie z kart kodów jednorazowych, przy czym
Nordea żąda użycia dodatkowego kodu na logowanie, ale Inteligo dysponuje o niebo
sprawniejszym systemem powiadamiania SMS-em o transakcjach. Nordea przysyła
SMS-a, ale z dużym opóźnieniem, a w Inteligo dzieje się to natychmiast - kilka
sekund (np. przed bankomatem).

Niepokojąca wysoka jest pozycja BPH, ze swym anachronicznym system dziwnych
haseł. W tym wypadku stopień komplikacji obsługi jest tak duży, że przeciętny
jego użytkownik nie jest w stanie go ogarnąć. I to jest dziura, bo często gęsto
prosi o pomoc kogoś bardziej oblatanego w komputerach.

Skąd wysoka pozycja Millenium, tego już doprawdy nie wiem. System jest tragiczny
pod względem bezpieczeństwa.

Kompletną bzdurą jest tabelka, porównująca system kodów jednorazowych z
systemami opartymi na sofcie (nawet najbardziej wyrafinowanym). To systemy,
których porównać się nie da.

Dla mnie system jest bezpieczny, jeżeli mogę bez obaw go stosować z dowolnego
komputera i dowolnej przeglądarki bez potrzeby stosowania dodatkowego softu.
Klient musi rozumieć jego zasadę, więc musi być on prosty. Ta sama zasada
powinna działać w przypadku telefonu czy wapu. Zawsze najsłabszym ogniwem jest
człowiek. Im bardziej skomplikowany system maskowania haseł, tym większa
pewność, że znajdziemy gdzieś żółtą karteczkę z opisem kolejnych kroków oraz
hasłem. System musi sam w sobie być odporny na podglądanie - rejestracja jednej
czy tysiąca sesji nie może doprowadzić do powstania dziury.

Zgadzam

[Gość: Gal]

sie w 100%.

[biznesforum]

Każde zabezpieczenie można złamać, dla mnie liczy się żeby zabezpieczenie było
wygodne a nie utrudniało mi zycia.

Biznes - to co lubisz.

zabezpieczenie dla klienta czy dla banku

[blad201]

biznesforum napisał:
> Każde zabezpieczenie można złamać, dla mnie liczy się żeby zabezpieczenie było
> wygodne a nie utrudniało mi zycia.

każde zabezpieczenie trochę utrudnia życie
Tyle, że pan Samcik postawil w artykule błędną tezę, że najbezpieczniejszy jest
token.
1. napisał że :"Klucz prywatny - specjalny plik komputerowy zainstalowany na
serwerze banku lub (tak jest bezpieczniej) w komputerze użytkownika. Przed
wykonaniem przelewu trzeba wskazać jego położenie" a nie dodał że plik ten ma
znaczenie jeśli zna się i poda do niego hasło.
2. Lipna jest również teza że "nowe wirusy potrafią wykraść z komputera takie
pliki.", tym bardziej, że ten plik nie musi byc zainstalowany na komputerze
(może być na karcie chipowej, pendrivie, dyskietce). Skoro na zachodzie są
słabe zabezpieczenia to ciekawe komu chciałoby się napisać wirusa wyciągającego
certyfikat z przeglądarki i polującego na klucz prywatny.
3. tylko Fortis ma wczytywany do przeglądarki certyfikat klienta - z innego
komputera nic nie zdziałasz jak go nie masz i nie wczytasz przed połączeniem z
bankiem.
4. Dla mnie system bezpieczny to przede wszystkim taki system, w którym ja nie
obawiam się pracowników informatyków z banku. Wszystkie kody jednorazowe
(tokenowe i zdrapkowe) muszą dać się odtworzyć przez program na komputerze
bankowym. Taka sytuacja nie pozwala udowodnić, że informatyk okradł konto
klienta, bo wygląda jakby klient sam dokonał operacji. Certyfikat w
przeglądarce i podpis elektroniczny chroni mnie przed tym. Również dlatego
bezpieczny system musi mieć możliwość zablokowania operacji przez telefon.

Pan Samcik pominął trochę istotnych elementów bezpieczeństwa i probuje
udowodnić błędną tezę, ale stosowanie się do jego wskazówek jest lepsze niż
totalna niewiedza w tej dziedzinie i dlatego artykuł jest jesdnal pożyteczny

Blad

[Gość: Takie Jeden Łoś]

Wedlug mnie punkt nr 4 twojego wywodu nie musi byc prawdziwy. Nie wiem wprawdzie
jak banki w rzeczywistosci weryfikuja prawdziwosc kodu jednorazowego, ale
istnieja algorytmy takiej weryfikacji, zeby informatycy banku nie mieli szansy
na ingerencje w ten proces.

[blad201]

> Nie wiem wprawdzie jak banki w rzeczywistosci weryfikuja prawdziwosc kodu
> jednorazowego, ale istnieja algorytmy takiej weryfikacji, zeby informatycy
> banku nie mieli szansy na ingerencje w ten proces

kiedys widzialem jak do tokena wprowadzano klucz, dzieki czemu generowal
kolejne liczby. znajac ten klucz i aktualny czas mozna wygenerowac odpowiedz
programikiem pomocniczym. Dlatego kod tokena nie jest dowodem, że operację
wykonał klient. Co innego podpis elektroniczny. Jak ktos obawia sie o
skopiowanie klucza prywatnego to moze go trzymac na karcie chipowej
kryptograficznej.

Czy tem

[pokeo2]

token byl zgodny z RSA bo smiem watpic.

[maruda.r]

blad201 napisał:

> 3. tylko Fortis ma wczytywany do przeglądarki certyfikat klienta - z innego
> komputera nic nie zdziałasz jak go nie masz i nie wczytasz przed połączeniem z
> bankiem.

*************************************

Pozostaje więc go skopiować na inny komputer. W czym problem? I certyfikat
Fortisu, i innych banków udało się z sukcesem przenieść na inny komputer.


Właśnie systemy kodów jednorazowych i tokenów są najbardziej odporne na
informatyków z banku.

[blad201]

> I certyfikat Fortisu, i innych banków udało się z sukcesem przenieść
> na inny komputer. Właśnie systemy kodów jednorazowych i tokenów są
> najbardziej odporne na informatyków z banku.

jasne że moj certyfikat w Fortisie moge przeniesc na inny komp, ale nie z
jakiegos innego banku, bo zaden inny na razie tego w Polsce nie zastosował.
Widac to nawet z tabeli w GW.
A stosowanie kodu jednorazowego nie daje zadnej informacji o tym, kto ten kod
podał i bank zawsze powie, że to klient wykonal operację.

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: aga]

troche sie załamałam po przeczytaniu tego artykułu.pko jest na przedostatnim
miejscu?! to straszne i niepokojące!!!

Nie przejmuj sie zanadto

[Gość: Takie Jeden Łoś]

Jesli bedziesz prawidlowo korzystac z kodow jednorazowych, to mozesz spac
spokojnie. Tylko, ze wymaga to pewnej czujnosci. Trzeba uwazac na karte kodow,
pamietac ktory kod sie ostatnio wykorzystalo i dokladnie czytac co jest napisane
na stronie www w momencie potwierdzania transakcji kodem.

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[mariax]

Ranking do rzetelnych nie należy. Po pierwsze sam artykuł ma jednoznaczną
negatywną wymowę, po drugie ranking nie jest rzetelny.
W BPH i ING jeżeli zapiszesz certyfikat na serwerze bankowym to zabezpeiczenie
to przestaje praktycznie mieć sens. W bPH w takim przypadku wymuszaja dodatkową
autoryzację kodem SMS. Dlatego w tabeli powinno być SMS LUB C, a nie SMS + C.
Podejrzewam , że analogicznie z SMS jest w przypadku ING. NIe wzięto też pod
uwage, że platformy internetowe są tak mocne, jak mocne sa ich najsłabsze
ogniwa. Dając klientom do wyboru rózne mozliwości autoryzacji oceniać należy
najsłabszą, a nie najmocniejszą, bo niestety mało wyedukowani klienci ( a takich
jest bardzo dużo) wybiorą prostsza i tańszą metodę. Kompletnie nie rozumiem też
w czym hasło maskowane jest lepsze od hasła jednorazowego (patrz MIllenium). W
przypadku haseł jednorazowych (mBank, Inteligo, Pekao) aby cos ukrąść z konta
konieczne jest jeszcze dokoanie fizycznej kradzieży karty z hasłami. Czyli PKO
Inteligo i Pekao SA powinny stać lepiej niz Millenium (przy okazji - w Pekao są
hasła losowe). Nie wspomniano też o innych dodatkowych zabezpieczeniach, które
sa w wielu bankach. Ani słowa o przeglądarkach - taki CITIBANK pozwala korzystac
np. tylko z "najbezpieczniejszej" czyli IE. Pisza o kradzieżach, ale sam
keylogger nie jest w stanie poznac haseł jednorazwych, więc albo kłamią, albo
przelew był na zdefiniowany wczesniej rachunek , albo dodatkowo musiała miec
miejsce fizyczna kradzież karty -zdrapki.
Podsumowując: ranking i artykuł straszą ludzi i miejscami jest przekłamany. I w
dodatku ani słowa o tym co klienci powinni robić , aby się zabezpiczyc przed
kradzieżą. I o ile Gazeta mogła to sobie ocenić tak a nie inaczej (choć nie do
końca rozumiem kolejności w przypadku takiej samej ilości punktów) , to Bankier
powinien lepiej przyłożyć sie do tematu.

Pozdrawiam

[Gość: robb]

Ciekawe, bo Citibank jednak chodzi na firefoxie ...

bzdura i brak rzetelnych informacji

[mariax]

Ranking do rzetelnych nie należy. Po pierwsze sam artykuł ma jednoznaczną
negatywną wymowę, po drugie ranking nie jest rzetelny.
W BPH i ING jeżeli zapiszesz certyfikat na serwerze bankowym to zabezpeiczenie
to przestaje praktycznie mieć sens. W bPH w takim przypadku wymuszaja dodatkową
autoryzację kodem SMS. Dlatego w tabeli powinno być SMS LUB C, a nie SMS + C.
Podejrzewam , że analogicznie z SMS jest w przypadku ING. NIe wzięto też pod
uwage, że platformy internetowe są tak mocne, jak mocne sa ich najsłabsze
ogniwa. Dając klientom do wyboru rózne mozliwości autoryzacji oceniać należy
najsłabszą, a nie najmocniejszą, bo niestety mało wyedukowani klienci ( a takich
jest bardzo dużo) wybiorą prostsza i tańszą metodę. Kompletnie nie rozumiem też
w czym hasło maskowane jest lepsze od hasła jednorazowego (patrz MIllenium). W
przypadku haseł jednorazowych (mBank, Inteligo, Pekao) aby cos ukrąść z konta
konieczne jest jeszcze dokoanie fizycznej kradzieży karty z hasłami. Czyli PKO
Inteligo i Pekao SA powinny stać lepiej niz Millenium (przy okazji - w Pekao są
hasła losowe). Nie wspomniano też o innych dodatkowych zabezpieczeniach, które
sa w wielu bankach. Ani słowa o przeglądarkach - taki CITIBANK pozwala korzystac
np. tylko z "najbezpieczniejszej" czyli IE. Pisza o kradzieżach, ale sam
keylogger nie jest w stanie poznac haseł jednorazwych, więc albo kłamią, albo
przelew był na zdefiniowany wczesniej rachunek , albo dodatkowo musiała miec
miejsce fizyczna kradzież karty -zdrapki.
Podsumowując: ranking i artykuł straszą ludzi i miejscami jest przekłamany. I w
dodatku ani słowa o tym co klienci powinni robić , aby się zabezpiczyc przed
kradzieżą. I o ile Gazeta mogła to sobie ocenić tak a nie inaczej (choć nie do
końca rozumiem kolejności w przypadku takiej samej ilości punktów) , to Bankier
powinien lepiej przyłożyć sie do tematu.

Pozdrawiam

[tipp01]

Zgadzam sięz przedmówcami.
Sponsoring czy jak?
Takie artykuły są niebezpieczne bo mniej zorientowanych klientów wprowadzają w
błąd.

[blay2]

czy ktoś z szanownych forumowiczów jest w stanie odpowiedzieć w jaki sposób
narażone są infolinie banków na "wyciek" haseł? robie przelewy korzystając z
IVR'a - podaje nr konta i losowe (za każdym razem inne) wycinki ze stałego
hasła. czy IVR jest bezpieczniejszy od internetu?

[Gość: sui gan]

Zabezpieczenie typu wybrane litery (cyfry) ze stałego hasła jest w zasadzie
bardzo proste do złamania. Zazwyczaj używa się bardzo małej liczby znaków (na
przykład 12) w stałym haśle. Internetowy włamywacz jest w stanie po kilku
"podsłuchach" wydedukować całe hasło. Jeśli w dodatku klient banku korzysta z
Internet Explorera i pracuje w systemie Windows na prawach administratora, to
można podejrzeć całe hasło już po dwóch czy trzech operacjach na koncie bankowym.

Z matematycznego punktu widzenia takie zabezpieczenie miałoby sens, gdyby hasło
miało na przykład 128 lub 256 znaków.

Opisane zabezpieczenie jest skuteczne wtedy, gdy system operacyjny jest w dużej
mierze bezpieczny. W przypadku systemu Windows - bezwzględnie trzeba mieć
zainstalowaną i na bieżąca aktualizowaną zaporę ogniową oraz program
antywirusowy. Należy również pracować na koncie użytkownika z ograniczonymi
uprawnieniami. Oczywiście sam Windows musi być na bieżąco aktualizowany.

Inne rozwiązanie, które najprawdopodobniej ogranicza włamanie do systemu
operacyjnego jest użycie jakiejś dystrybucji Linuksa typu live. Tutaj
praktycznie nie ma możliwości włamania - uruchamia się system tylko do
przeprowadzenia operacji bankowych, powiedzmy na kilka minut. Oczywiście na
twardym dysku też nic nie można zapisać (ale można z niego czytać).

Problem jest wtedy, gdy bank wymaga używania tylko Internet Explorera. Jednakże
w takim przypadku, z punktu widzenia bezpieczeństwa operacji bankowych w
internecie NIE NALEŻY KORZYSTAĆ Z USŁUG TAKIEGO BANKU!!!!!!

[Gość: GA]

mariax napisała:

> Ani słowa o przeglądarkach - taki CITIBANK pozwala korzystac
> np. tylko z "najbezpieczniejszej" czyli IE.

Ciekawe w takim razie jakim cudem z Citibank Online korzystam tylko spod
Firefoxa? Dawno temu nowe wiadomości powodowały, że pod Firefoxem interfejs
nie działał, ale to dawno temu było. Teraz nie ma żadnych problemów.

[Gość: naiwni]

ale i tak nie udzielaja tech support dla innych przegladarek niz IE

Żeby jeszcze BPH lepiej współpracował z Linuxem

[Gość: Aveliem]

Jest postęp, BPH nie wymaga już Java by M$, ale nadal zrobienie czegokolwiek pod
Linux'em to rozpacz. Co do ING... pełna współpraca :)

[Gość: tiamak]

co za bzdura - mi w bph wszystko dziala z linuxem (slackware 11)

[Gość: Kris]

Masz rację. To jest chore wymaganie. Podobnie wygląda polityka bezpieczeństwa w
firmie w której pracuję. Tylko IE, całkowity zakaz instalacji innych
przeglądarek.

www.bestnews.pl

[crogool]

Posłuchałeś ;) ?
Podejdź do sprawy kreatywnie:
Też się na początku przyłamałem widząc regulaminowy zakaz instalowania
czegokolwiek. Tak było rok temu.
Ot przyjacielska rozmowa: "biorę to na siebie, jak Ci się nie spodoba wywalisz a
ewentualne kłopoty -> powiedz, że nie wiedziałeś/aś". Teraz w dziale w którym
pracuję wszyscy łącznie z szefem chwalą imię firefoxa.
Jedyny problem w tym, że korzystamy przez internet z baz i terminarzy,
nieszczęśliwie optymalizowanych pod IE i by korzystać z niektórych ich funkcji
trzeba się przesiadać...(na szczęście 80% operacji wykonuję w FF a dla wygody
mam otwarte okienka obu przeglądarek)

[cooba75]

Zainstaluj sobie IE TAB do firefoxa nie bedziesz musial sie przelączać
addons.mozilla.org/firefox/1419/

100% wiarygodności

[onan_barbazynca]

Zestawienie w którym Kredyt Bank ma wyższą pozycję niż Inteligo mówi samo za
siebie - L I P A
KB24- wystarczy prosty keyloger + znajomość kilku informacji o ofierze (PESEL,
data urodzenia) aby zrobić z jej kontem wszystko.

najlepszy

[Gość: F0NE4]

www.fonea.pl najtaniej najlepiej najebzpieczniej

Sam fakt polecania przez banki Internet Explorera

[krasnov]

świadczy o zlaniu spraw bezpieczeństwa, zlaniu klienta w ogólności, tudzież o niekompetencji obsługi infomatycznej. NIGDY nie lokujcie pieniędzy w banku, który zaleca/wymaga używania Internet Explorera!!!

[Gość: darek_w1]

> NIGDY nie lokujcie pieniędzy w banku, który zaleca/wymaga używania Internet
Explorera!!!

Nie bądź śmieszny "ekspercie". Jak logowanie i przelewy mam autoryzowane przez
hasło z tokena to rodzaj przeglądarki jest kompletnie obojętny.

[Gość: robb]

Oczywiście, że nie ma znaczenia.
Z drugiej strony banki nie powinny narzucać przeglądarki, bo to lekceważenie
klienta.

Czy na pewno?

[Gość: Takie Jeden Łoś]

Wlasnie nie wiem, czy tak jest. Jesli przegladarka nie chroni w odpowiedni
sposob pamieci z ktorej korzysta to mozna sobie wyobrazic sytuacje kiedy ty
wpisujesz dane odbiorcy przelewu (m.in. numer konta), ale na serwer banku ida
juz dane zmienione przez osobe trzecia. Potem w drugim etapie weryfikacji na
twoim ekranie monitora ty widzisz niby swoja transakcje, ale na serwer banku
pojdzie kod potwierdzajacy wpisany wlasnorecznie przez ciebie, ale
potwierdzajacy de facto transakcje z podmienionym (w pierwszym etapie
weryfikacji) np. numerem konta. Czyli mowiac krotko jesli przegladarka nie
zapewnia w odpowiedni sposob ochrony integralnosci informacji ktore wymieniasz z
bankiem, to haslo jednorazowe lub token moga nie wystarczyc. Nie wiem na ile
opisana przeze mnie wyimaginowana sytuacja jest realnie mozliwa do wykorzystania
przez potencjalnego wlamywacza.

[maruda.r]

Gość portalu: Takie Jeden Łoś napisał(a):

> Wlasnie nie wiem, czy tak jest. Jesli przegladarka nie chroni w odpowiedni
> sposob pamieci z ktorej korzysta to mozna sobie wyobrazic sytuacje kiedy ty
> wpisujesz dane odbiorcy przelewu (m.in. numer konta), ale na serwer banku ida
> juz dane zmienione przez osobe trzecia.

********************************************

I teraz zmianę trzeba potwierdzić hasłem jednorazowym. Skąd je weźmiesz?

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: scavenger]

Co za bzdurny artykuł jeśli tacy specjaliści doradzają, to ja przepraszam.
Klucz publiczny dobrym zabezpieczeniem?, czyli tylko jeden komputer?, nie
wspomnę że trojany przechwytują wysyłane klucze publiczne.
Hasła SMS są chyba obecnie najlepszym rozwiązaniem śmiem twierdzić że nawet
lepsze od tokena. Kto wie jak działa token nie będzie opowiadał jaki jest super.
Dziwny ranking najsłabsi jako czołówka, czołówka jako słabsi, ręce i nogi opadają.

[Gość: PIOTREK]

krew mnie zalewa jak czytam takie "experckie" komentarze...
wiesz czlowieku co to jest klucz "PUBLICZNY" (sluzy tylko do sprawdzenia
"rozmowcy" czy jest tym za kogo sie podaje i jest dostepny kazdemu w internecie)
??? widze ze nie... reszty juz mi sie nawet komentowac nie chce, ale jak widze
jacy informatycy opuszczaja uczelnie moja to nawet sie nie dziwie ze te fora
wygladaja jak wygladaja.

A co z klientem ?

[zapytaniaznak]

Dlaczego traktujemy zachowanie banków, jak "wypieranie się odpowiedzialności" ?
Jeżeli klient ma wirusy, keyloggery to jest to JEGO WINA!

Oczywiście, ja też wolę bank, w którym nawet moje wirusy i błędy nie wystarczą
do włamania.

Tak przy okazji: token BEZ KLAWIATURY to jedna wielka ściema! Jest równie
skuteczny jak hasła jednorazowe. Jeżeli zaatakuje nas "man in the middle", to
wszelkie potwierdzenia mogą dotyczyć ...przelewu w innej kwocie i na inne konto.
Atak taki jest trudny, ale wykonalny.

Jedyną SKUTECZNĄ bronią przed opanowaniem komputera KLIENTA jest tzw.
alternatywna ścieżka. Wymiana informacji z bankiem dokonana BEZ UDZIAŁU peceta.
Może to być token z klawiaturką, lub SMS od banku. Wówczas musimy potwierdzić
operację przy użyciu kodu, który przyszedł (SMS), lub został wygenerowany
(token) na podstawie danych w przelewie. Zafałszowanie danych skutkuje błędnym
kodem i całość się nie wykona. Tylko alternatywny kanał daje niezależność od
wirusów i innego świństwa.

Oczywiście zawsze skuteczna jest metoda "pistolet przy twojej głowie". Wówczas
żaden kod nie pomoże...

[Gość: scavenger]

tia token z klawiaturą jest najlepszy na co?
Token bez klawiatury jest o tyle lepszy, że de facto musi się zsynchronizować z
bankiem (czas wskazania oraz treść wskazania). Kłania się zasada działania tokenów
Ale tak czy inaczej najbardziej efektywne pozostają hasła sms porównywalny
poziom bezpieczeństwa

[zapytaniaznak]

Gość portalu: scavenger napisał(a):

> tia token z klawiaturą jest najlepszy na co?
No własnie napisałem na co - PRZECZYTAJ!

> Token bez klawiatury jest o tyle lepszy, że de facto musi się
> zsynchronizować z bankiem (czas wskazania oraz treść wskazania).
Jest lepszy, niż NIC, ale gorszy od SMSkodu, czy klawiaturki. Gorszy dlatego, że
kod generowany nie zależy od wprowadzonych danych. Potwierdzasz 100PLN do TPSA,
a wychodzi 10000PLN na konto "słupa". Kod jest ten sam, a treść zmodyfikowana.


> Kłania się zasada działania tokenów
Oj kłania się ! ;-)))

> Ale tak czy inaczej najbardziej efektywne pozostają hasła sms porównywalny
> poziom bezpieczeństwa
Przypomina mi to wróbelka miał jedną nóżkę BARDZIEJ. Jak piszesz "porównywalny",
to wypadałoby podać DO CZEGO porównywalny. ;-)))

[Gość: scavenger]

Sam sobie zaprzeczasz!!
Jeśli modyfikujesz treść przelewu (kwota i konto) jak to ma się do wskazań
tokena (czy to z klawiaturą czy bez ?). Widziałeś kiedyś jak działa token bez
klawiatury?
W tego typu tokenach musisz wysłać kodu do banku w określonym czasie - i ty !!
zdążysz w tym czasie zmodyfikować wiadomość szyfrowaną SSL - gratuluję.
Nawiasem mówiąc artykuł jest o mechanizmach uwierzytelniania a nie o podmianie
informacji w przelewie.
Jeśli mamy takich specjalistów od zabezpieczeń jak ty to boje się iść do lekarza
bo nie wiem na kogo trafie.

[zapytaniaznak]

Gość portalu: scavenger napisał(a):

> Sam sobie zaprzeczasz!!
Skoro tak twierdzisz... ;-)))


> Jeśli modyfikujesz treść przelewu (kwota i konto) jak to ma się do wskazań
> tokena (czy to z klawiaturą czy bez ?). Widziałeś kiedyś jak działa token bez
> klawiatury?

No tak, że to KTOŚ INNY modyfikuje wprowadzone przez ciebie dane. Ty (klient)
wpisujesz "TPSA 100PLN", a "man in the middle" - hacker podmienia wysyłane dane
na "Słup 10000PLN". Czyli modyfikuje treść twojego requestu. Teoretycznie chroni
przed tym SSL, ale tylko do czasu, gdy nawiążesz sesję SSL nie z bankiem, tylko
z "man in the middle". Jak widać, możesz w ten sposób potwierdzić coś innego niż
chciałeś.
Metoda SMSkod, lub klawiaturka (oczywiście poprawnie użyte) dodają SUMĘ
KONTROLNĄ z wprowadzonych przez ciebie danych. Jeżeli otrzymasz SMSa zwrotnego z
kodem do wklepania i informacją "Słup 10000PLN" zamiast wprowadzonych danych, to
znak, że do banku doszło coś innego, niż ty wysłałeś. Jeżeli zaś kod będzie
dotyczył danych "TPSA 100", to ów kod nie zadziała dla przelewu "Słup 10000".



> W tego typu tokenach musisz wysłać kodu do banku w określonym czasie - i ty !!
> zdążysz w tym czasie zmodyfikować wiadomość szyfrowaną SSL - gratuluję.
Przeczytaj powyższe. Jako hacker nie muszę łamać SSLa, bo to ja jestem stroną
komunikacji. Oczywiście, żeby certyfikat się zgadzał z adresem muszę jeszcze
opanować DNS. Muszę zrobić całą stronę-przelotkę. Jest to trudne, ale cały czas
wykonalne.


> Nawiasem mówiąc artykuł jest o mechanizmach uwierzytelniania a nie o podmianie
> informacji w przelewie.
Szczerze mówiąc gadasz od rzeczy. Artykuł jest o bezpieczeństwie kont
internetowych. Opisywany przeze mnie mechanizm pokazuje słabości i "siły"
gadżetów stosowanych w zabezpieczaniu tychże kont. Czy to naprawdę jest off-topic ?


> Jeśli mamy takich specjalistów od zabezpieczeń jak ty to boje
> się iść do lekarza bo nie wiem na kogo trafie.

IDŹ DO LEKARZA! Koniecznie!
BTW: Nie jestem specjalistą, ani od zabezpieczeń, ani od psychiatrii.
Na tym pierwszym odrobinę się znam, z tym drugim jest kłopot - nie potrafię ci
pomóc... ;-)))

[Gość: scavenger]

człowieku przeczytałeś kiedyś coś o włamaniach ale nie do końca zrozumiałeś.
Poczytaj sobie SSL, defakto są to 3 klucze od serwera i 3 od klienta itd. itp.
O sumie kontrolnej z kodu nie wspominam bo się uśmiałem. Dlej widać, że o
tokenach nie wiesz nic (no sory wiesz, że są z klawiaturką i bez)
Przygotowujesz fałszywą stronę a certyfikat RSA masz prawdziwy?.
Szkoda z tobą nawet pisać.
Zgłoś się do banku to jeszcze nagrodę dostaniesz albo skierowanie do lekarza

[zapytaniaznak]

Gość portalu: scavenger napisał(a):
> człowieku przeczytałeś kiedyś coś o włamaniach ale nie do końca zrozumiałeś.
Ty zrozumiałeś więcej ? ;-)
SSL to nie są klucze, tylko sposób komunikacji. Oparty o szyfrowanie
symetryczne, ale wymiana kluczy następuje przy użyciu szyfrowania
asymetrycznego. Do uwierzytelnienia sajtu służy certyfikat cyfrowy. Jest on
przywiązany do wystawcy (adresu strony). To tak w uproszczeniu ;-)
Sztuczka polega na tym, żeby stroną konwersacji był hacker, a nie bank. I to
jest trudne, acz możliwe. W najprotszym przypadku wystarczy mieć własny
certyfikat, podpisany przez własne CA. Wprawdzie spowoduje to ostrzeżenie u
klienta, ale 90% kliknie "Dalej". Mając opanowany komputer klienta można też
wpisać ów certyfikat, jako zaufany i wówczas nie ma ostrzeżenia.
Hackerzy nie polują na specjalistów, tylko niekumatych pacjentów.

Suma kontrolna cię śmieszy, ale nie wiem dlaczego - może dlatego, że nadal nie
rozumiesz o co tu biega.

Dalsze obelgi traktuję, jako dowód słabości twoich argumentów. Jeszcze mi
nawtykaj od lamerów, Żydów i cyklistów, ulżyj sobie. Bo racji nie masz.
M. in. dlatego banki wprowadzają "alternatywną ścieżkę" i to właśnie z "sumą
kontrolną". Oba użyte przeze mnie terminy są w cudzysłowach, bo to się może
nazywać inaczej, ale zawsze chodzi o komunikację niezależną od potencjalnie
zaatakowanego komputera klienta i o uzależnienie przekazywanych informacji od
wprowadzonych przez klienta danych.
Token bez klawiatury nie daje takiej możliwości. Jest równie skuteczny jak
zdrapka z kodami, tyle że zdrapkę można zaiwanić, lub wyłudzić kolejne kody.
Ukradziony token broni się PINem.

[maruda.r]

zapytaniaznak napisał:

> No tak, że to KTOŚ INNY modyfikuje wprowadzone przez ciebie dane. Ty (klient)
> wpisujesz "TPSA 100PLN", a "man in the middle" - hacker podmienia wysyłane dane
> na "Słup 10000PLN". Czyli modyfikuje treść twojego requestu. Teoretycznie chron
> i
> przed tym SSL, ale tylko do czasu, gdy nawiążesz sesję SSL nie z bankiem, tylko
> z "man in the middle". Jak widać, możesz w ten sposób potwierdzić coś innego ni
> ż
> chciałeś.

*********************************

Tu działa procedura bankowa, bo to serwer przedstawia transakcję do autoryzacji
konkretnym kodem. Jeżeli znów podmienisz dane, to będzie to inny kod, a ten
przechwycony od klienta będzie już spalony.

Nordea ma koszmarnie słabe zabezpieczenia!!!

[Gość: ts]

Aby korzystać z Nordei on-line wystarczy mieć dwie rzeczy (tak jest w moim
przypadku):
- numer klienta (dostaje się na kartce)
- karta z kluczami jednorazowymi
I teraz wystarczy, że ktoś mi ukradnie obie rzeczy i dostęp do konta stoi
otworem... Przydałoby się dodatkowe potwierdzenie, które mam w głowie (moje
prywatne hasło), na kompie w domu (klucz cyfrowy) lub dostaję na telefon (SMS).
Wtedy jest szansa, że kasę mam bezpieczną - a tak, mam stres i muszę trzymać
obie rzeczy rozdzielnie, przelewy tylko w domu itp...

[Gość: titta]

Jaka jest szansa, ze ktos ci ukradnie obie rzeczy (pomijajac fakt, ze po co
trzymac kartke z haslem, po przeczytaniu powinna trafic do niszczarki), a ty
tego nie zauwazysz? Dla mnie slabym punktem jest to, ze te hasla istnieja
gdzies na serwerze banku i jak odbije jakiemus informatykowi, to sprawa moze
byc nie do udowodnienia). Co do klucza na kompie w domu i SMS...A co jesli
podrozujesz?

[Gość: ts]

Oczywiście niska, ale już sam fakt, że znalezienie dwóch papierów na raz
wystarczy do wejścia na serwis mnie stresuje (a wystarczy włam do mieszkania,
samochodu, kradzież torby i inne przypadki gdzie przy okazji osoba postronna
jest w stanie znaleźć obie części układanki).
Jeśli chodzi o hasła na serwerze, to ufam, że są kodowane jednostronnie (sha,
md5) a to już dość znacznie utrudnia jakiemuś informatykowi wykorzystanie tego
przeciwko mnie.
Przypomnę, że w Nordei dwa papiery to: identyfikator konta i karta (sztuk 1) z
xxx hasłami jednorazowymi, więc raczej nie ma co wyrzucić do niszczarki po
przeczytaniu - to po prostu trzeba mieć. Owszem identyfikator konta można
zapamiętać - ale to jest 10 znaków chyba, a ja mam słabą pamięć.

[maruda.r]

Gość portalu: ts napisał(a):

> Przypomnę, że w Nordei dwa papiery to: identyfikator konta i karta (sztuk 1) z
>
> xxx hasłami jednorazowymi, więc raczej nie ma co wyrzucić do niszczarki po
> przeczytaniu - to po prostu trzeba mieć. Owszem identyfikator konta można
> zapamiętać - ale to jest 10 znaków chyba, a ja mam słabą pamięć.

*********************************

Po co pamiętać? Można go zapisać w komórce lub kalendarzyku, jako nr telefonu z
opisem np. Ewa (zdecydowanie odradzam opis "To jest login do systemu Nordea").

[blad201]

> Jeśli chodzi o hasła na serwerze, to ufam, że są kodowane jednostronnie (sha,
> md5) a to już dość znacznie utrudnia jakiemuś informatykowi wykorzystanie
> tego przeciwko mnie.

Tu się objawia inne błędne rozumowanie autora artykułu - że hasła maskowane są
bezpieczniejsze. Niestety mają one taką wadę, że w całości muszą być pamiętane
w banku - sa więc możliwe do odtworzenia.
Tak więc w niektórych bankach takiego kodowania jednostronnego nie daje się
zastosować - są to chwalone przez autora artykułu za maskowanie hasła ING, BPH
i BZWBK.

[blad201]

> otworem... Przydałoby się dodatkowe potwierdzenie, które mam w głowie (moje
> prywatne hasło),

Jest coś takiego. Ze strony logowania wybierz "blokowanie kanałów" i zablokuj
sobie kanał www. Przed logowaniem się do SOLO wchodzisz z własnym hasłem w to
menu i odblokowujesz sobie kanał www. Po zameldowaniu się w SOLO natychmiast z
ich menu możesz ponownie zablokować sobie kanał www - nie przeszkadza to w
obsłudze funcji bankowych SOLO.

[Gość: ts]

fakt, można tak, ale to jest obejście a nie podstawa działania - do tego dość
niewygodne obejście.

[blad201]

Gość portalu: ts napisał(a):
> fakt, można tak, ale to jest obejście a nie podstawa działania

to jest jedyne rozsądne zastosowanie hasła, które Nordea kazała sobie wymyślić
a potem w systemie SOLO go nie używa. Tu go można użyć i nawet w logach SOLO
widać kiedy był dostę odblokowywany.
Warto też przez rok płacić za token po 20 zl/mies bo token jest porządny -
otwierany na hasło 5-cyfrowe.

[Gość: ts]

Przetestuję :) thx.
Anyway - umieszczanie Nordei na pierwszym miejscu to pomyłka.

Ta tabelka to jedna wielka pomylka!!!

[Gość: artus]

Jakim cudem Nordea znalazla sie na pierwszym miejscu tego nie moge zrozumiec.
Ale to swiadczy o calkowitym braku kompetencji osob, ktore wyskrobaly ten
artyku. System zapezpieczen Nordei (w wariancie z karta kodow) lamie podstawowa
zasade zabezpieczen: podajesz to co wiesz i to co masz. W tym przypadku
wystarczy podac dwie informacje, ktore masz (jak to wspomniano w watku). Numer
uzytkownika i haslo jednorazowe. Do numerow maja dostep wszyscy pracownicy.
Wystarczy wiec wykrasc karte kodow i jestes w domu. To jest bardzo powazna
dziura. Nawet VW bank do odczytu z tokena wymaga podania jeszcze hasla z glowy.
Druga sprawa - hasla jednorazowe podaje sie przez telefon konsultantowi.
Glosowo! To jest jakis zart. Wystarczy, ze osobo przytaknie ze dokonala jakiejs
transakcji i moze w dowolny sposob zadysponowac naszym kontem. W kazdym
normalnym banku konsultant przelacza na automat. Ale nie w Nordei.
Kiepskie zabezpieczenia to jeden z kilku powodow, dla ktorych zrezygnowalem z
tego smiesznego banku. Ale widze, ze dzialaja sprawnie w zakresie
"przekonywania" dziennikarzy, bo juz kiedych chyba tez wygrali w Chipie.

[masakra_teksanska]

> Wtedy jest szansa, że kasę mam bezpieczną - a tak, mam stres i muszę trzymać
> obie rzeczy rozdzielnie, przelewy tylko w domu itp...

po to wprowadzili klawiatury ekranowe - nie wprowadzasz numeru klienta i
pierwszego hasła logowania ze zwykłej

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: Łukasz Chempiński]

Tak jak zabezpieczenia idą do przodu, tak i metody zdobycia informacji są
bardziej wyrafinowane. Myślę, że większość tych zabezpieczeń można złamać mając
nieautoryzowany dostęp online do komputera ofiary.

[maruda.r]

Gość portalu: Łukasz Chempiński napisał(a):

> Tak jak zabezpieczenia idą do przodu, tak i metody zdobycia informacji są
> bardziej wyrafinowane. Myślę, że większość tych zabezpieczeń można złamać mając
> nieautoryzowany dostęp online do komputera ofiary.

*****************************************

Nie masz racji. Nieudana próba dostępu do konta spowoduje, że zadzwoni do Ciebie
obsługa banku. Problem w tym, że włam musi być udany od razu.

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: m.]

a ja nie rozumiem czemu w zestawieniu banki, w których są dwa hasła (maskowane
czy nie) czy certyfikaty są wyżej oceniane pod względem bezpieczeństwa od banku,
co ma hasła jednorazowe.


no przecież w artykule piszą w jakiej kolejności oceniane są zabezpieczenia:

"Najbezpieczniejsze są systemy zabezpieczone tokenem. Tego żaden haker nie
przejdzie. W dalszej kolejności: kody SMS (zarówno dla każdej transakcji, jak i
przy dodawaniu nowego odbiorcy), hasła jednorazowe, najlepiej podawane losowo,
potem hasła jednorazowe zdrapkowe i maskowanie haseł. Bezpieczne są systemy
oparte o certyfikaty, klucze prywatne itp., jednak nowe wirusy potrafią wykraść
z komputera takie pliki."

Man in the middle

[Gość: NoN]

Autor Chyba zapomniał o tego typu atakach, przy których większość zabezpieczeń
to lipa.... Polecam autorowi terminy:
- snifowanie - podszywanie (zarówno w temacie internet jak i GSM)
- ataki "Man in the middle"
itd. Artykuł jest totalnie tendencyjny i napisany przez osoby kompletnie nie
mające pojęcia o temacie.

[Gość: a]

To jest zapewne artykul sponsorowany przez banki ktore "wygraly". Podejrzewam
zachwalane tu BPH i Citi, ktore do tej pory mialy marne zabezpieczenia.
Zarowno "ekspert" z Bankiera jak i autor maja takie pojecie o bezpieczenstwie i
informatyce, jak przecietna siostra z klasztoru o seksie grupowym.
Zenada i tyle, kolejny marny artykul, za ktory ktos zaplacil a ktos wzial
pieniadze.

[Gość: tiamak]

akurat bph od jakiegos czasu prezentuje juz calkiem niezly poziom :)

[Gość: gosc]

Nie do końca się zgadzam. Powinno być:
"Artykuł jest tendencyjne i napisany DLA OSÓB nie mających pojęcia o temacie."

[maruda.r]

Gość portalu: NoN napisał(a):

> Autor Chyba zapomniał o tego typu atakach, przy których większość zabezpieczeń
> to lipa.... Polecam autorowi terminy:
> - snifowanie - podszywanie (zarówno w temacie internet jak i GSM)
> - ataki "Man in the middle"

***********************************

Oprócz dostępu do konta istnieje procedura bankowa i ona (jeżeli jest prawidłowo
skonstruowana), wyklucza skuteczne włamanie. Wszystko, co możesz zrobić, to
obejrzeć konto.

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: agi]

Najfajniejszy jest i tak FORTIS BANK POLSKA!!! Przelewy i wyplaty z bankomatow
na calym swiecie nic nie kosztuja!

Ja tam mam konto w Inteligo i jestem bardzo

[Gość: p26]

zadowolony. Przy logowaniu wpisuje numer klienta i hasło, każdą transakcję
potwierdzam kodem jednorazowym (za wyjątkiem zdefinowanych ale tu akurat jest
to zbędne z oczywitych względów). To mi wystarczy. Aczkolwiek milionów to bym
na takim koncie nie trzymał:-)

[maruda.r]

Gość portalu: p26 napisał(a):

> zadowolony. Przy logowaniu wpisuje numer klienta i hasło, każdą transakcję
> potwierdzam kodem jednorazowym (za wyjątkiem zdefinowanych ale tu akurat jest
> to zbędne z oczywitych względów). To mi wystarczy. Aczkolwiek milionów to bym
> na takim koncie nie trzymał:-)

**************************************

Dlaczego? Przecież możesz część konta specjalnie zabezpieczyć.

Sprawdź, czy twój bank dobrze zabezpiecza pieni..

[Gość: chakier]

hehe, no to Polbank błysnął :)

[Gość: misio]

Widzę, że podobnie jak na piłce nożnej
każdy Polak zna się na bezpieczeństwie bankowości elektronicznej ;)

Jak zapewne większość artykułów "profesjonalnych" i ten został napisany
przez "eksperta" na podstawie badań zrobionych przez profesjonalistów.

Bezpieczeństwo w polskich bankach leży i kwiczy, na nasze szczęście
na zachodzie jest jeszcze gorzej i dlatego specjaliści czyszczą konta
zagraniczne, będąc jednocześnie bezpiecznymi mieszkańcami Polski, Ukrainy czy
Chin. Powoli i Brytole z Francuzikami się uczą, więc może i przyjść czas kiedy
koledzy wyniosą się z Europy zachodniej przeniosą się bardziej na wschód.

Poza tym i tak największy problem z bezpieczeństwem znajduje się pomiędzy
krzesłem a klawiaturą komputera, a banki i tak nie ujawniają włamów - taniej,
stracić trochę kasy niż zainwestować w bezpieczeństwo.

[Gość: abc]

Polbank to akurat bank grecki.

Skad ten ranking zabezpieczen?

[Gość: Takie Jeden Łoś]

Takiemu zwyklemu Łosiowi jak ja ten ranking zabezpieczen wydaje sie dosc dziwny.
Czemu klucz prywatny niby jest lepszy niz hasla jednorazowe? Na moj losiowy nos
to haslo jednorazowe na zdrapce jest nie do przejscia, jesli ktos uwaza, gdzie
te zdrapke trzyma i jesli bank stoduje dwustopniowa procedure najpierw
definiowania przelewu i ladowania go na serwer banku, a potem w drugim etapie
dopiero potwierdzania go kodem jednorazowym. Natomiast klucz prywatny, nawet
szyfrowany haslem to przy zainstalowanym trojanie wydaje sie byc metoda mizerna.
Tak samo jak maskowane hasla. Czy jakis ekspert moze potwierdzic lub zaprzeczyc
mojej losiowej intuicji?

[Gość: misio]

Absolutnie masz kolego rację. O ile bezpieczeństwo transmisji
jest na odpowiednim poziomie hasła jednorazowe i SMS-kody są
zupełnie wystarczające.

[maruda.r]

Gość portalu: Takie Jeden Łoś napisał(a):

> Takiemu zwyklemu Łosiowi jak ja ten ranking zabezpieczen wydaje sie dosc dziwny
> .
> Czemu klucz prywatny niby jest lepszy niz hasla jednorazowe? Na moj losiowy no
> s
> to haslo jednorazowe na zdrapce jest nie do przejscia, jesli ktos uwaza, gdzie
> te zdrapke trzyma i jesli bank stoduje dwustopniowa procedure najpierw
> definiowania przelewu i ladowania go na serwer banku, a potem w drugim etapie
> dopiero potwierdzania go kodem jednorazowym.

********************************

Pominąłeś jeden etap: serwer banku weryfikuje niektóre dane i sam przedstawia
przelew do potwierdzenia. Możesz więc potwierdzić te dane, które wysyła serwer z
żądaniem konkretnego kodu.