W dniu 24.01.2019 o 20:16, Krzysztof Halasa pisze:

gtoni13@gmail.com writes:

Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.

Tzn. hasła SMS są bezpieczniejsze w sytuacji "skompromitowanego"
komputera używanego do przeprowadzania transakcji. W sumie jedne
i drugie mają zapewniać dodatkową ochronę właśnie w takiej sytuacji.
Problemem są "celowane" ataki, na takie "zwykły klient" nic nie poradzi.

Jak piszesz - zdrapki nie chronią przed sytuacją, że masz wirusa i komputer prezentuje inne dane do przelewu tobie, a inne bankowi.

SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.

Jak się nie obrócić, dupa z tyłu.

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

   MJ

Michał Jankowski <michalj@fuw.edu.pl> writes:

Jak się nie obrócić, dupa z tyłu.

No niestety :-(

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
   komputera, ale np. długo nie wykonujemy operacji wymagających
   zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
   ruch. Raczej nieistotny przypadek.
b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
   np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
   (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
   dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
   ten ktoś potrafi sprawić, że dostanie).
c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
   może to bardziej kwestia procedur niż techniki.

To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
pokryć statystycznie koszty całego włamania).

Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
problem).
--
Krzysztof Hałasa

W dniu 25.01.2019 o 20:42, Krzysztof Halasa pisze:

Michał Jankowski <michalj@fuw.edu.pl> writes:

Jak się nie obrócić, dupa z tyłu.

No niestety :-(

W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
    komputera, ale np. długo nie wykonujemy operacji wymagających
    zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
    ruch. Raczej nieistotny przypadek.
b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
    np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
    (wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
    dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
    ten ktoś potrafi sprawić, że dostanie).
c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
    może to bardziej kwestia procedur niż techniki.

To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
pokryć statystycznie koszty całego włamania).

Wydajemisie, że połączony atak typu - podmieńmy numery kont na
ekranie komputera i równocześnie ukradnijmy komuś numer telefonu na dowód kolekcjonerski to jednak rzadko się zdarza. A zainfekowanie telefonu, to w ogóle nie wiem...

Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
problem).

Z tym, że jeszcze niedawno sporo banków przysyłało smsy, w których nie było co czytać. Np. w citibanku jeszcze w czerwcu sms miał treść 'Autoryzacja transakcji. Kod: 123456. Citi Handlowy'.

A w ogóle, to jeśli faktycznie dowody kolekcjonerskie są nie do odróżnienia, to bierzemy taki dowód, idziemy do banku, zmieniamy wzór podpisu i hulaj dusza. Co prawda marmurowy PKOBP ostatnio w kasie wypłaca też na sms, ale przecież nie muszę mieć telefonu w ogóle...

   MJ

Emerytom?


-- -- -

marmurowy PKOBP ostatnio w kasie wypłaca też na sms

On 2019-01-25, Michał Jankowski <michalj@fuw.edu.pl> wrote:

[...]

SMS nie chroni przed sytuacją, że ktoś ci ukradnie numer telefonu.
Jak się nie obrócić, dupa z tyłu.

A (ostatnio modne) pushe?

--
Wojciech Bańcer
wojciech.bancer@gmail.com