|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Bezpieczeństwo logowanie do banków (klawiatura fizyczna, wirtulana, ctrl+V) , Yosarian 6/07/11 23:33
Do zadania tego pytania skłoniło mnie zauważenie (dopiero teraz;) wirtualnych klawiatur, które pokazują się na stronach niektórych banków internetowych, np. w:
GoL http://secure.getinonline.pl/
Meritum http://www.meritumbank.pl/
Takiego rozwiązanie nie ma np. w mBanku
Wiadomo, że przy wprowadzaniu danych z klawiatury fizycznej, można zostać podsłuchanym przez keylogger'a a dane przesłane dalej bez naszej wiedzy.
A jak sprawa bezpieczeństwa wygląda w przypadku korzystania z w/w klawiatur wirtualnych ?
No i jeszcze, w przypadku banków wymagających wprowadzenia całych haseł, wprowadzanie ich metodą wprowadzania metodą ctrl+c i ctrl+v z pliku tekstowego ? (osobiście nie korzystam, bo np. zapamiętanie 20 znakowego hasła w mBanku to nie jest problem ale podawanie wybranych znaków hasła w innych bankach, raczej jest i wymaga gdzieś zanotowania).All the best people in life seem to like
LINUX.
Steve Wozniak
- chyba , laciak88 6/07/11 23:39
nie ma problemu by sczytać położenie kursora w trakcie kliknięcia. Ja do bankowych zabezpieczeń podchodzę tak: jak ktoś będzie chciał mnie okraść, zrobi to."To Alcohol! The cause of, and solution to, all of
life's problems." - PS w temacie: , laciak88 6/07/11 23:45
Na moje pytanie o bezpieczeństwo transakcji kartą na podpis, Inteligo stwierdziło, że to wystarczy. Jeszcze karty nie zgubiłem i nie mam zamiaru, ale jadnak wolałbym pin."To Alcohol! The cause of, and solution to, all of
life's problems." - to sobie , elliot_pl 7/07/11 02:29
zmien karte na taka z chipemmomtoronomyotypaldollyochagi... - pin czy podpis? , vaneck 7/07/11 06:42
Niestety nie zależy to od posiadacza karty tylko od firmy pośredniczącej w transakcji. Możesz mieć z chipem a i tak przy niektórych transakcjach będziesz podpisywał.A little less conversation, a little more action
please - nie zmieniaj na pin! , Okota 7/07/11 12:26
jak ukradnie ci ktos karte z pinem i zlamie pin to bank sie wypnie bo pin udostepniles bo jakto mozliwe ze zabezpieczenia banku sa zlamane i ktos pin wydostal...
a tak podpis zawsze mozesz zakwestionowac. Kiedys u Weissa bylo o tym ze gosciu jak kasjrka nie sprawdzala podpisow to podpisywal sie jako kubus puchatek albo piotrus pan i potem kwestionowal taka transakcje i bank uznawal... a placila kasjerka za swoje niedopatrzenie.Dyslektyka błąd nie pyka...
RTS wszechczasów:
Supreme Commander
- ale PIN , Chrisu 7/07/11 11:37
to nie zabezpieczenie ;-) /// GG# 1 110 10 10 11 100 10 \\\
- Nie do końca tak jak mówisz , NimnuL-Redakcja 7/07/11 09:05
to, że komuś uda się dostać na Twoje konto nie oznacza, że wykona jakąkolwiek operację. W bankach jakich używam (CitiBank, AliorBank, OpenFinance, GetinBank) operacje typu przelewy (o ile nie zaufane) wymagają dodatkowej autoryzacji SMS lub potwierdzenia telefonicznego.
Co więcej. Ja się o swoje finanse nie obawiam, bo o ile identyfikator/login jest jawny to hasła są już maskowane (nie wpisuje się całego hasła, a jedynie losowe pozycje), przechwycenie jednorazowego logowania nic nie da podsłuchującemu, musiałby mieć dane z przynajmniej kilku logowań, ale i tak nadal nie zna kolejności znaków w haśle bo nie zna przecież jakie pozycje były maskowane.Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - wiem, wiem , laciak88 7/07/11 10:29
mam kartę kodów jednorazowych."To Alcohol! The cause of, and solution to, all of
life's problems."
- dobry keylogger zrobi i zrzutkę z ekranu i tego co kopiujesz do schowka , bwana 6/07/11 23:41
więc ani wirtualna klawiatura, ani kopiowanie przez schowek Ci nie pomoże.
hasła jednorazowe (z karty czy z "tokena") wydają mi się natomiast dobrym zabezpieczeniem na taką okoliczność. Oczywiście i tu może wystąpić problem "man in the middle", normalna sprawa.
Rozumiem, że korzystasz często z publicznych komputerów (typu kafejka internetowa) do obsługi konta bankowego? Czy też masz obawy odnośnie bezpieczeństwa Twojego własnego komputera? W zależności od przypadku podniesienie bezpieczeństwa tak realizowanych transakcji można zapewniać innymi sposobami."you don't need your smile when I cut
your throat" - nie... , Yosarian 7/07/11 00:04
"Rozumiem, że korzystasz często z publicznych komputerów (typu kafejka internetowa) do obsługi konta bankowego?"
... nigdy nie korzystam i mam świadomość zagrożenia, ale jak napisałem wcześniej, zwróciłem uwagę wczoraj na te wirtualne klawiatury i naszła mnie refleksja/wątpliwość, jak to jest w praktyce
ps. gdybym musiał korzystać z innego sprzętu to chyba tylko w wersji :płyta CD z linuksem live ;)
"Czy też masz obawy odnośnie bezpieczeństwa Twojego własnego komputera?"
No tu już cieplej, mam antywira (AVAST), mam firewall'a (TINY) od czasu do czasu sprawdzam Spyboot'em, aktualizuję z M$ ale 100% pewności nie ma i myślałem, że tak wirtualna kalwa to pewna forma zabezpieczenia ale jak widzę nie.All the best people in life seem to like
LINUX.
Steve Wozniak
- jeśli nie masz podejrzeń, że ktoś Ciebie upatrzył na ofiarę oszustwa z przechwyceniem , bwana 7/07/11 01:51
loginu do konta bankowego, to myślę, że zabezpieczenia masz wystarczające. Ja sam mam windowsowy FW, MS Security Essentials i najczęściej robię przelewy zza routera wifi z WPA2. Ja jednak mam kartę kodów jednorazowych, a nie stałe hasło.
W każdym razie bardziej już się obawiam, że ktoś mi skroi kartę kredytową i zapłaci za coś (tam, gdzie podpis a nie pin jest potrzebny) niż tego, że ktoś mi dziabnie forsę z konta przez internet."you don't need your smile when I cut
your throat" - Przy zgubieniu/kradzieży KK obawiałbym się raczej , NimnuL-Redakcja 7/07/11 09:10
że osoba trzecia użyje jej do zakupów przez Internet bo ponoć do płatności KK online wystarczy nr KK i jej data ważności. Czyli tak naprawdę coś co widnieje jawnie na karcie.Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - eee, tylko ze , Kenny 7/07/11 09:39
kasy skradzionej z konta nie odzyskasz, a z KK bez problemu....:Pozdrowienia:.
- hmm , bartek_mi 7/07/11 00:14
najlepsze (imho) i najbardziej wkurzajace (to juz na pewno) jest to co oferuje ing - jednorazowo wpisuje sie nie wszystkie znaki z hasladzisiaj jest jutrzejszym wczoraj - też... , Yosarian 7/07/11 00:25
o tym wspomniałem
"podawanie wybranych znaków hasła w innych bankach, raczej jest i wymaga gdzieś zanotowania"
ale to samo jest we wszystkich bankach holdingu Czarneckeigo (Open, Getin, Idea) i na pewno w BZWBK24.
Upierdliwe dla użytkownika i chyab nie podnosi bezpieczeństwa logowania skoro dobry keylogger moze zdobyć całe hasło podczas np. jego zmiany (stare/nowe)All the best people in life seem to like
LINUX.
Steve Wozniak
- hmm , bartek_mi 7/07/11 00:50
jak sie logujesz tylko ze swojego komputera to nic nie uratuje
ale jak sie masz zalogowac w kafejce to wg mnie to duzo lepsze niz wklepywacnie calego hasladzisiaj jest jutrzejszym wczoraj - no fakt... , Yosarian 7/07/11 01:19
"jak sie masz zalogowac w kafejce"
...w tym przypadku zadziała i jakby co, to do zdobycia tylko info częścioweAll the best people in life seem to like
LINUX.
Steve Wozniak
- keylogger złapie całe hasło (albo wystarczającą liczbę jego znaków) o wiele prościej , bwana 7/07/11 01:48
zrzutka z ekranu na którym jest napisane "podaj 1,4,11, 13 znak hasła" plus zrzut z klawiatury - tych właśnie znaków hasła. Słowem - jest to upierdliwość, która w takim przypadku nie podnosi bezpieczeństwa o ile keylogger ma szansę przechwycić kilka(naście) logowań. Co innego kiedy podajesz tak hasło na "przypadkowym" komputerze - raz na b. długi czas."you don't need your smile when I cut
your throat" - Maskowane hasła to bardzo bezpieczne rozwiązanie , NimnuL-Redakcja 7/07/11 09:14
co jeśli Ci powiem, że do logowania się w jednym banku wpisałem znaki:
logowanie1: 15782
logowanie 2: 143078
logowanie 3: fh84612
itd.
Masz znaki ale nie wiesz czy wszystkie występujące w moim haśle i w dodatku a nie znasz ich pozycji/kolejności.Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Bezpieczeństwo jak zwykle głównie opiera się na czynniku ludzkim , TheW@rrior 7/07/11 10:31
Uważam że częściowo maskowane hasła są pomyłką. Większość ludzi takie hasła musi sobie gdzieś zapisać by później móc odtworzyć sobie konkretne pozycje o które są proszeni. Oczywiście atak typu MitM na nic się zda tutaj ale już przechwycenie karteczki/pliku txt itp. od użytkownika jest łatwiejsze nawet niż sam atak MitM.
Ogólnie najlepszą metodą jest nie martwienie się samym dostępem do konta a metodami autoryzacji do wykonania konkretnych opcji (kody z karty/tokena/sms) i korzystanie z dostępnych mechanizmów z głową. Czyli nie myślimy że bardzo silne hasło nie do odgadnięcia (i często nie do zapamiętania) nas zabezpieczy przed podsłuchaniem a zarazem zapisujemy sobie takie hasło by samemu go nie zapomnieć. Najważniejszy jest balans między wygodą a bezpieczeństwem gdyż jak bezpieczeństwo mocno ogranicza wygodę człowiekowi to i obejdzie te ograniczenia drastycznie zmniejszając bezpieczeństwo (vide wymaganie częstej zmiany haseł przez admina z pamięcią 3 ostatnich i pracownicy z hasłami Qwerty!,Asdfgh@ itp. ;)People who fear free software are those
whose products are worth even less - a dajcie przykład jakiegoś sensownego keyloggera , yorg5 7/07/11 11:25
chętnie bym sam sobie zainstalował i zobaczył jak i ile to wyciągnie z mojego kompa przy normalnym użytkowaniu...
ooo! hasła do konta żony na przykład nie znam, a komp wspólny ;)The Borg's frightening appearance
may scare small children.
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
