Konto bankowe gdzie?

różnica między tokenem a hasłem jednorazowym jest taka, że jest możliwe przechwycenie hasła (przepisanie go, zrobienie zdjęcia komórką etc...) co przy założeniu, że znane jest hasło osobiste daje dostęp do konta. Przy tokenie jest to niemożliwe - kod zmienia się co minutę a algorytm jest nie do rozwalenia. Tak więc można nosić token przy kluczach a i tak konto jest bezpieczne.

dobrze napisales - przy zalozeniu, ze ma sie jeszcze identyfikator i hasło, czyli musisz juz miec TRZY rzeczy - identyfikator, hasło i hasło jednorazowe. i prosilem cie - ja wole miec hasla lub smsy, ty wolisz tokena, wsrod znajomych tez sa zdania podzielone, ale ty bedziesz pewnie teraz udowadnial, ze jedyna sluszna idea jest token..

Richie napisał:

dobrze napisales - przy zalozeniu, ze ma sie jeszcze identyfikator i hasło, czyli musisz juz miec TRZY rzeczy - identyfikator, hasło i hasło jednorazowe. i prosilem cie - ja wole miec hasla lub smsy, ty wolisz tokena, wsrod znajomych tez sa zdania podzielone, ale ty bedziesz pewnie teraz udowadnial, ze jedyna sluszna idea jest token..

napisałem, jaki jest schemat działania... bo może nie każdy to wie. Dla mnie oczywiste jest, że bezpieczniej jest nosić przy sobie hasło ważne minutę, niż hasło ważne przez czas do pierwszego i jedynego użycia. Ale ludzie czasami wolą rozwiązania gorsze... i to ich sprawa.[/url]

Azghar napisał:

różnica między tokenem a hasłem jednorazowym jest taka, że jest możliwe przechwycenie hasła[...] Przy tokenie jest to niemożliwe

ale kto mowi o jakichs zdjeciach itp....
czy token czy haslo, jak wpisujesz je na stronie przy potwierdzaniu transakcji, to wtedy programowo mozna probowac przechwycic wysylany formularz, podmienic dane wrażliwe i po zawodach, (oczywiscie najprosciej jest po stronie klienta, ktory załapał odpowienio spreparowany software kradnący dane),
kod moze sie w toknie zmieniac sie ile tam chcesz, algorytm moze byc mocny jak sakała, ale jesli user wpisuje w forumularz co tam zostało wygenerowane, to tu jest najwieksze niebezpieczenstwo, dokładnie w tym momencie,
łątwiej i szybciej dane ukraść, niż bawić sie w łamanie kodów

Presley napisał:

Azghar napisał: różnica między tokenem a hasłem jednorazowym jest taka, że jest możliwe przechwycenie hasła[...] Przy tokenie jest to niemożliwe ale kto mowi o jakichs zdjeciach itp.... czy token czy haslo, jak wpisujesz je na stronie przy potwierdzaniu transakcji, to wtedy programowo mozna probowac przechwycic wysylany formularz, podmienic dane wrażliwe i po zawodach, (oczywiscie najprosciej jest po stronie klienta, ktory załapał odpowienio spreparowany software kradnący dane), kod moze sie w toknie zmieniac sie ile tam chcesz, algorytm moze byc mocny jak sakała, ale jesli user wpisuje w forumularz co tam zostało wygenerowane, to tu jest najwieksze niebezpieczenstwo, dokładnie w tym momencie, łątwiej i szybciej dane ukraść, niż bawić sie w łamanie kodów

Pod warunkiem, że przechwycone dane podmienisz i prześlesz do banku, zanim na tokenie zmienią się cyferki...

Azghar napisał:

Pod warunkiem, że przechwycone dane podmienisz i prześlesz do banku, zanim na tokenie zmienią się cyferki...

ale to nie problem, przeciez user tez sie może ślimaczyć z przepisywaniem cyferek z tokena do formularza, czy też formularz moze się długo wysyłać, bo tak też bywa,
to przy tym czas potrzebny na podmiane danych po stronie klienta moze byc pomijalny, bo to sek do milisekund....

Tak presley - różnica polega na tym, że przy przechwyceniu danych z hasła jednorazowego masz czas na jego użycie aż się nie zorientuje właściciel rachunku. W przypadku tokena masz na to czas mniejszy niż minutę. Zresztą - z tego co się orientuję 128 bitowy SSL zabezpiecza w pełni możliwość wkręcenia się w daną transakcję i podmianę danych...

ehhh, przeciez podmienia sie dane konta docelowego i kwote i dalej puszcza, a user nic nie widzi, zadnych zmian, kod z tokena jest ten sam, haslo jednorazowe to samo, ssl działa potem czas podmiany jest pomijalny, a proces jest banalny jasli masz zainstalowanego odpowiedniego robaka, pod konkretny bank

a bank zakłada ze dane są ok, bo skąd ma wiedziec ze dane potwierdzone tokenem i zaszyfrowane, ktore dostał od klienta są te ktore klient chciał wysłać, .... bo podmiana nastąpiła w między klikiem "wyślij" a procedurą szyfrowania i wysyłania

w tej chwli żaden polski bank, z tego co wiem, nie ma zabezpieczen przeciw temu,

ani hasla jednorazowe, sms, ani kod tokena
*****, ktory trzeba przepisac*******
do formularza i wysłać nie jest zabezpieczany przez bank,

Azghar napisał:

hasła jednorazowego masz czas na jego użycie aż się nie zorientuje właściciel rachunku. W przypadku tokena masz na to czas mniejszy niż minutę.

jeszcze raz:
czas nie ma znaczenia, podmiana jest robiona w locie m. wyslij a proc. wysyłania i kodowania

Presley,
ale przecież przeglądarka jest chroniona SSL'em od momentu zalogowania a nie dopiero przy przesyłaniu danych do banku.

chroniony jest przesył danych z przeglądarki
a pomiędzy klikiem a wysyłaniem danych mozna wcisnąć się i podmienic dane, ten moment nie jest szyfrowany

dobra - ja expertem od SSL nie jestem, więc nie będę się mądrzył. Powiem tylko, że gadałem z gościem od aplikacji internetowych i powiedział mi, że nie jest możliwa ingerencja w dane wpisywane w przeglądarkę i wysyłane do banku.

jest robak np. do mBanku co podmienia dane, które są wysyłane SSL-em i kaska moze ucieć,
a czy te cyferki potwierdzające to hasło jednorazowe, czy cos z tokena, to wszystko jedno,
jesli np. w mBanku udało się podmienić dane przesyłane SSL-em , to mozna to zrobić z dowolnąinną instytucją, nie ma tu zanczenia token, sms, czy jednorazowe, cyfry to cyfry,
a program działający na sprzęcie klienta nie jest przecież szyfrowany i tu mozna dane podmienić,

a jeżeli ktos twierdzi inaczej przy obecnej techologii, to powinien zmienić zajęcie, a nie zajmować się zabezpieczeniami w banku, bo często pycha i ignorancja jest gorsza od niewiedzy, wiedzę mozna nabyć, a jezeli ktos z rozmysłem w banku w pionie zabezpieczen nie widzi zagrozenia to masakra

Jeszcze mam jedno pytanie, bo sie napewno orientujecie (tylko plizzz bez przepychanki i polemiki na 1000 podstron konkretne odpowiedzi )

Gdzie najlepiej załozyc OFE (chyba dobrze napisałem, chodzi mi o drugi filar ten co sie płaci obowiazkowo zaraz po zus) jakis kwot wielkich nie bedzie ale załozyc musze )

Pozdrawiam.

Ja mam ING i jestem zadowolony - trzeci w rankingach, za Polshitem i jakims innym. Duza, renomowana firma, wiec i w ciezszych czasach dobrze beda sobie radzic.