Internetowe konta bardziej bezpieczne

[nessie-jp]

Jakim cudem hasła SMS-owe miałyby być bardziej bezpieczne, niż "tradycyjne
papierowe"? Przecież wystarczy, że ktoś mi ukradnie komórkę, a wraz z nią
stracę kontrolę nad kontem. Natomiast żeby ukraść hasła papierowe, trzeba by
się włamać do mnie do domu.

Nie wspominam już o takich sprawach, jak podsłuchiwanie sieci i
przechwytywanie danych.

[Gość: Antoni]

Już któryś raz czytam BREDNIE, że w BPH kiedyś nie podpisywało się osobno
zleceń. Owszem, podpis nie był wymagany przy zmianie listy odbiorców przelewów
itp. (co było niebezpieczne), ale dyspozycje finansowe były zawsze podpisywane
kluczem prywatnym, do którego każdorazowo należało podać hasło.

[Gość: Amra]

Antoni. A wiesz, ze ten klucz prywatny mogl byc przechowywany w repozytorium
banku? Do tego hasloi nie bylo maskowalne. A czy zdobyc jedno stale czy ddwa
stale hasla dla przestepcy w takkim przypadku zaden problem.

ING ma chyba najlepsze zabezpieczenia,

[Gość: Emanon]

Aby sie zalogowac, potrzeba 10 literowego użytkownika, nastepnie kilku liter z kilkunastoliterowego hasła. I możemy oglądać konto, jednak nie możemy jeszcze nic przesłać. Do tego znów jest potrzebny plik, który był tworzony przy zakładaniu internetowego konta (tzw. klucz), a dodatkowo hasło do niego ale to jeszcze nie wszystko, bo dalej jest potrzebne hasło które wysyłane jest na komórkę. I dopiero jeśli użytkownik tu się jeszcze nie zniechęcił (lub nawet zmęczył) to dopiero może dokonać przelewu.

Więc jeśli użytkownik znając wszystkie hasła ma tyle roboty to na pewno nie opłaci się to hackerowi.

Jednak osobiście uważam, że jest tego troszkę za dużo. Wystarczy że gdzieś się zapomni, hasła, klucza czy coś się źle zrobi to nici z konta internetowego i trza lecieć do banku by odblokować konto :(

[Gość: jaja]

sms jest bezpieczny - ma określony czas ważności, działa tylko w czasie jednej sesji połączenia i sam z
siebie - bez innych haseł (otwarcia sesji) nie działa.

Token rządzi!!

[Gość: gintaro]

ludzie, weźcie sobie tokeny! np. w Lukasie mam token, loguję się poprzez moje hasło i login (login też jest w "dziwnej" postaci np. "vofvr98tu") +wskazanie tokena (np. "mojehaslo123456"). Żeby to złamać trzeba znać hasło, za*&%ebać mi token i nie wiem co jeszcze, a to wszystko mam GRATIS:) olać bezradnego giganta!! ;)

[Gość: niuch]

Token to faktycznie fajna sprawa, szkoda że nie wszedzie go dają za darmo :( Karty zdrapki z inteligo nie są złe ale przy dużej ilości tranzakcji niestety niewystarczające. Np. doładuje telefon 8 razy (po 5zł), zrobie 7 przelewów bo allegro, kilka razy skype-out i nagle zdrapka się kończy i nie moge kasy używać. Fakt że to sytuacja ekstremalna, ale raz mi sie przytrafiła ;)

[zapytaniaznak]

Gość portalu: gintaro napisał(a):
> ludzie, weźcie sobie tokeny! np. w Lukasie mam token, loguję się poprzez moje h
> asło i login (login też jest w "dziwnej" postaci np. "vofvr98tu") +wskazanie to
> kena (np. "mojehaslo123456"). Żeby to złamać trzeba znać hasło, za*&%ebać mi to
> ken i nie wiem co jeszcze, a to wszystko mam GRATIS:) olać bezradnego giganta!!
> ;)
Jeżeli twój token nie ma klawiaturki, *z której korzystasz* przy potwierdzaniu
przelewu, to IE może wysłać inne parametry przelewu, niż te, które podałeś.
Token tu nie pomoże. Owszem, tylko ty (posiadacz tokenu) możesz wykonać
operację, ale niekoniecznie panujesz nad jej parametrami - hacker może np.
podmienić nr konta.

[Gość: gosc]

> Jeżeli twój token nie ma klawiaturki, *z której korzystasz* przy potwierdzaniu
> przelewu, to IE może wysłać inne parametry przelewu, niż te, które podałeś.

Dltago własnie nie korzysta się z IE ;-)

[Gość: CH]

Przede wszystkim: SMS jest powiązany z operacją. Nawet, jeśli haker go
przechwyci, może jedynie zatwierdzić wykonywaną przez klienta właśnie operację.
Inaczej jest z hasłami jednorazowymi. Wystarczy jedno przechwycić i można
wykonać dowolną operację. Jedną, ale może być nią przelew maksymalnej kwoty na
konto złodzieja.

SMS-y są bezpieczne. Nie byłyby, gdyby udało się:
1. wysłać podrobionego sms-a (to da się zrobić),
2. zablokować oryginalnego (tego nie da się zrobić).

Inaczej klient dostanie dwa kody i zorientuje się, że coś jest nie tak.

Wszystkie inne hasła (nawet bardzo długie i maskowane) da się przechwycić.
Kwestia odpowiedniego trojana i czasu.

W BPH wystarczy mieć tzw klucz ze stałym hasłem a

[Gość: Pedro]

a nie sms tak jak podaje autor artykułu. Wcale nie trzeba odbierać smsów żeby zrobić przelew.

[mn]

SMSem potwierdza się wszystkie przelewy z wyjątkiem tych, których dane są
zapisane na liście przelewów zdefiniowanych (ale żeby zdefiniować nowy przelew,
też trzeba hasła)i np. na rachunki powiązane z kontem - jak spłata kredytu na
karcie. :)

[Gość: deree]

to proste droga nessie-jp

[Gość: Gall Anonim]

Hasla papierowe mozna skopiowac (np. skserowac) wiec przestepca bedzie znac wszystkie twoje przyszle hasla, a ty nawet nie bedziesz miec o tym pojecia. Natomiast o zaginieciu telefonu bedziesz wiedziec praktycznie od razu.

[Gość: xhack]

Gość portalu: Gall Anonim napisał(a):

> Hasla papierowe mozna skopiowac (np. skserowac) wiec przestepca bedzie znac wsz
> ystkie twoje przyszle hasla, a ty nawet nie bedziesz miec o tym pojecia.

a widziałeś kiedyś listę haseł?? ma postać karty - zdrapki, więc każde kolejne
hasło odsłania się bezpośrednio przed użyciem. kserowanie nie działa.

Nie w mBanku!

[Gość: Zdrapacz]

Tam nic się nie zdrapuje

[Gość: Gonzo]

Ale np hasła jednorazowe mBanku nie są w postaci karty zdrapki

[art_con]

Lista hasel jest "statyczna" czyli system je juz wczesniej wygenerowal i czeka
na ich podanie. Wystarczy teraz, ze zlodziej podszyje sie pod strone, poprosi
Cie o podanie kolejnego hasla z listy i juz ma haslo, ktore jest wazne, a nie
zostalo przez Ciebie uzyte (taki przypadek mial miejsce w mBanku jakis czas
temu).
Z SMSami jest inaczej, system odpowiada na konkretne zapytanie wysylajac
jednorazowy kod, przypisany do konkretnej transakcji z okreslona data waznosci.

Internetowe konta bardziej bezpieczne

[x_lub_y]

Ciekawe, kiedy w Millennium wprowadzą jednorazowe hasła do przelewów. W tej
chwili logując się do Millenetu na NIEZASZYFROWANEJ !!! stronie podajeś swój
kod, dopiero wtedy podajeś hasło i dwie wybrane cyfry/litery z dowodu, peselu i
jesteś na stronie, a żeby wykonać przelew wystarczy znać hasło do przelewów. I
wszystko. Są niby, śmieszne ograniczenie kwotowe, ale o tym nie warto wspominać.
Jedyny plus to ten, że nawet na stronie nie ma podanego całego numeru karty
kredytowej.

[przypadek]

Nie masz racji. Strona jest niezaszyfrowana ale samo hasło idzie już po httpsie.

[x_lub_y]

fakt, źle tam napisałem, ale sam kod klienta wpisujesz na niezaszyfrowanej stronie.

[akjgor]

Co nie zmienia faktu, że w Millennium użwanie stałych haseł do wykonywania
przelewów jest bardzo kiepskim zabezpieczeniem.
A maskowane podawanie cyferek np z NIPU też nic tu nie zmienia.
Do tego można się logować tylko z IE :-(
Ogólnie to konto internetowe w Millennium chyba należy do najgorzej
zabezpieczonych .....

[Gość: lukka]

Pekao miało już kiedyś tokeny, niestety wycofali się z nich, bo trzeba było ciąć
koszty prowadzenia rachunków. Przy opłacie między 9 do nieraz 15 złotych
miesięcznie za samo konto (nie licząc opłat za przelewy, karty, odsetki itp.)
kartka z hasłami do potwierdzania transakcji nie jest rzucającym na kolana
rozwiązaniem. Do tego ciężki, rachityczny interfejs systemu i powolny serwer...
Byłem ich klientem 8 lat i dwa miesiące temu zlikwidowałem rachunek. Szkoda
zdrowia na taki bank.

Internetowe konta bardziej bezpieczne

[Gość: citi i smsy]

Smsy sluza jedynie do dodania konta odbiorcy przelewu do listy odbiorcow.
Kazdy kolejny przelew z zatwierdzonym odbiorca odbywa sie bez SMSow.
Mam tez alternatywne konto w Lukasie... tam wydaje mi sie dosc bezpiecznie...
jest token i konto jest darmowe. Nie wiem czemu inne banki nie decydua sie na
Tokeny... :(

[art_con]

Gość portalu: citi i smsy napisał(a):

<cut> Nie wiem czemu inne banki nie decydua sie na
> Tokeny... :( </cut>

Wydaje mi sie, ze jest to kwestia tez wygody po stronie klientow, o ile token
jest bezpieczniejszy (tu zdania sa podzielone, zalezy ktory) to wciaz wielu
klientow uwaza to rozwiazanie za niezbyt wygodne (z wielu wzgledow), a
dodatkowo Tokeny to tez ogromny koszt dla bankow, wiec banki dziela sie oplata
z klientem, co tez w jakis sposob klientow blokuje.

[zapytaniaznak]

Gość portalu: citi i smsy napisał(a):
> Nie wiem czemu inne banki nie decydua sie na Tokeny... :(

Ze względu na kasę. Marża na e-kontach jest niewielka, a token kosztuje. Owszem
w hurcie jest taniej, ale do ceny zabawki należy doliczyć logistykę, tj. system
dystrybucji, wymiany uszkodzonych, lub zablokowanych, blokowania zagubionych, itd.
Musi też być ochrona przed wyłudzeniami tokenów, itd, itp.
Pomnożyć to przez liczbę klientów i jest koszt.

A poza tym dlaczego operator sieci komórkowej...

[Gość: Boa]

ma wiedzieć, jakie ja przelewy wykonuję? SMS z Multibanku zawiera szczegóły
każdej transakcji. A operatorów tel. nie obowiązuje tajemnica bankowa.

[zapytaniaznak]

Gość portalu: Boa napisał(a):
> ma wiedzieć, jakie ja przelewy wykonuję? SMS z Multibanku zawiera szczegóły
> każdej transakcji. A operatorów tel. nie obowiązuje tajemnica bankowa.

Nie wiem, co obowiązuje operatora (coś na pewno, jakaś poufność), natomiast
wiem, że bez tej informacji TY nie będziesz wiedział jaką tak naprawdę
transakcję potwierdzasz. Czy jest to wpisane przez ciebie 100zł za prąd, czy
podmienione przez hackera 1000zł na konto "słupa". SSL broni przed tym tylko
teoretycznie, albowiem podmiana może się odbyć np. na twoim pececie (zwłaszcza w
IE), lub na udawanej stronie bankowej, pośredniczącej pomiędzy tobą a prawdziwym
bankiem (man in the middle).

[Gość: marcin]

Hasla smsowe sa bezpieczniejsze!
Wazna cecha hasla smsowego jest to, ze jest on przypisany do konkretnej
transakcji jaka zlecam i tylko do tej! Nawet jak ktos podslucha/przechwyci haslo
to nie skorzysta z niego na swoj uzytek (w przeciwienstwie do hasla ze swistka).
Poza tym wygoda itp...
Kradziez komorki? Tak samo mozna wyludzic od kogos hasla z karteczek! Poza tym
telefon mozna zablokowac zdalnie - blyskawicznie!

eMakler lezy od dwoch dni a na GW cisza ??? !!!

[color.one]

A moze ktos z GW zainteresuje sie tym, ze od dwoch dni lezy system notowan
ciaglych w mbanku, ludzie wkur.... bo traca pieniadze, brak mozliwosci
realizacji zlecen, nawet brak mozliwosci zalogowania sie do rachunku. Polecam
lekture forum mbanku, bankier-a. Niech ktos cos z nimi zrobi !!!!!

[zapytaniaznak]

nessie-jp napisała:

> Jakim cudem hasła SMS-owe miałyby być bardziej bezpieczne, niż "tradycyjne
> papierowe"? Przecież wystarczy, że ktoś mi ukradnie komórkę, a wraz z nią
> stracę kontrolę nad kontem. Natomiast żeby ukraść hasła papierowe, trzeba by
> się włamać do mnie do domu.

Hasła papierowe można ukraść razem z portfelem (o ile nie trzymasz ich w domu).
Hasła papierowe można WYŁUDZIĆ prosząc na lipnej stronie banku o podanie
takowego hasła. BYŁY takie próby. Udane.

Hasło SMSowe też można wyłudzić, ale za każdym razem jest ono generowane do
konkretnej transakcji. Podmiana kwoty, lub nr konta powoduje, że hasło jest
niedobre.

Żeby pokonać hasło SMS należy opanować DWIE rzeczy:
1. Komputer klienta (jego hasła itp.)
2. Komórkę klienta.

Mając opanowany komputer i wyłudzone hasło mogę już kraść.

> Nie wspominam już o takich sprawach, jak podsłuchiwanie sieci i
> przechwytywanie danych.

Hasło jest JEDNORAZOWE. Można je podsłuchiwać do woli. Niebezpieczne byłoby
opracowanie metody generowania takiego hasła. Wówczas można podmienić dane
klientowi w locie i wygenerować mu lipne hasło SMS

Internetowe konta bardziej bezpieczne

[Gość: DigiSight]

Nowe generacje aplikacji typu malware robią jeszcze coś bardziej wymyślnego.
Podmianie ulega cała sesja z bankiem, pozornie nawet chroniona przez tak zwane
szyfrowane połączenie. Efekt jest taki, że i klient i bank przekonani są, że
wszystko jest w porządku. Efekt, to praktycznie dowolne manipulacje na koncie.

I jeszcze do poczytania a propos zabezpieczeń instytucji finansowych w Polsce:
digisight.wordpress.com/2006/11/24/zabezpiecznia-internetowych-bankow-porownanie/