abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:22 | Nová verze

Byla vydána verze 1.5.0 emulátoru terminálu Terminology (GitHub) postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 21:55 | Nová verze

Byla vydána verze 0.72 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeno je také několik bezpečnostních chyb. Jejich nalezení bylo sponzorováno Evropskou komisí.

Ladislav Hagara | Komentářů: 0
19.7. 21:44 | Zajímavý článek

DataSpii Report podrobně rozebírá únik citlivých dat skrze osm rozšíření webových prohlížečů (Hover Zoom, SpeakIt!, SuperZoom, SaveFrom.net Helper, FairShare Unlock, PanelMeasurement, Branded Surveys, Panel Community Surveys) a jejich téměř okamžitý prodej.

Ladislav Hagara | Komentářů: 0
19.7. 11:44 | Zajímavý článek

Článek na Fedora Magazine rozebírá možnosti modifikace lokálních účtů Windows, například resetování hesla, pomocí Fedory nebo libovolné jiné linuxové distribuce a nástroje chntpw.

Ladislav Hagara | Komentářů: 5
19.7. 00:11 | Nová verze

Po více než dvou měsících od vydání Red Hat Enterprise Linuxu 8 byl ve verzi 8 vydán také jeho klon Oracle Linux (Wikipedie). Podrobnosti v příspěvku na blogu.

Ladislav Hagara | Komentářů: 5
18.7. 12:11 | Komunita

Na YouTube byly zveřejněny videozáznamy přednášek z konference a setkání vývojářů a uživatelů svobodných grafických softwarů Libre Graphics Meeting 2019.

Ladislav Hagara | Komentářů: 1
17.7. 20:00 | Komunita

Tým Fedory pro diverzitu a inkluzi organizuje Fedora Women’s Day (FWD) 2019. Oslavy žen přispívajících do open source projektů včetně Fedory budou probíhat po celém světě v měsících září a říjen. Návrhy akcí lze předkládat do pátku 23. srpna 2019.

Ladislav Hagara | Komentářů: 142
17.7. 19:22 | Zajímavý článek

Společnost Intezer zabývající se počítačovou bezpečností publikovala na svém blogu analýzu malwaru pojmenovaného EvilGnome, poněvadž se malware tváří jako rozšíření GNOME Shellu. Výzkumníci spojují EvilGnome s hackerskou skupinou Gamaredon.

Ladislav Hagara | Komentářů: 9
17.7. 15:00 | Nová verze

Byla vydána nová verze 19.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na HardenedBSD. Kódový název OPNsense 19.7 je Jazzy Jaguar. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
17.7. 11:11 | Zajímavý článek

Společnost Latacora věnující se počítačové bezpečnosti publikovala na svém blogu článek The PGP Problem poukazující na nedostatky PGP, OpenPGP a GnuPG. Článek obsahuje jak odkazy na další zajímavé články, tak i odkazy na alternativní softwarové produkty: Magic Wormhole pro přenos souborů, Tarsnap pro zálohování, Signify nebo Minisign pro podepisování balíčků, kryptografickou knihovnu libsodium nebo nástroj age pro šifrování souborů [Hacker News].

Ladislav Hagara | Komentářů: 14
Používáte ještě 32bitový software na PC?
 (19%)
 (14%)
 (19%)
 (48%)
 (7%)
 (28%)
Celkem 155 hlasů
 Komentářů: 11, poslední 19.7. 21:05
Rozcestník

mBank - anketa k bezpečnosti

26.11.2007 17:03 | peníze

Na oficiálním diskusním fóru banky mBank se strhla diskuse o kvalitě zabezpečení jejího bankovnictví pouhými nešifrovanými SMSkami. Proto mě napadá otázka, jak moc tomuto způsobu lidé důvěřují.

O této bance jsem napsal článek na svoje stránky, převážně k tématu bezpečnosti: mBank (na frantovo.cz)

       

Hodnocení: 29 %

        špatnédobré        

Anketa

Kolik peněz byste svěřili bance, která se v zabezpečení spoléhá na nešifrované SMS?
 (10 %)
 (1 %)
 (2 %)
 (5 %)
 (2 %)
 (1 %)
 (9 %)
 (8 %)
 (11 %)
 (52 %)
Celkem 111 hlasů

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

26.11.2007 17:19 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
ebanking postovni sporitelny je na tom stejne. Login a heslo a potvrzeni operaci pres SMS. Nechapu proc jeste sifrovany - k cemu?
xkucf03 avatar 26.11.2007 17:29 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Důvody jsem popsal v článku. Nemíním se hádat o tom, jestli zabezpečení nešifrovanými SMSkami je dostatečně bezpečné nebo ne. Každý si to riziko musí vyhodnotit sám za sebe (každý můžeme dojít k jinému výsledku). Jen mne zajímalo, jak tomuto způsobu zabezpečení lidé věří a kolik by mu svěřili peněz.

Za sebe můžu říct jen to, že svůj hlavní účet bych si u takové banky nezaložil.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Heron avatar 26.11.2007 20:13 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
SMS lze odposlechnout "cestou"? :-) GSM není totéž jak wifi, pokud vím, tak šifra používaná v GSM nebyla prolomena. Navíc ta tvoje "nešifrovaná" SMS platí jen pár minut a je určena pouze pro jednu transakci. Takže, i kdyby někdo provedl man-in-the-middle útok na SSL do banky, stihl by odposlechnout SMS, tak by stejně mohl pouze potvrdit transakci, kterou zadal regulérní user.
26.11.2007 20:20 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
GSM není totéž jak wifi, pokud vím, tak šifra používaná v GSM nebyla prolomena.
GSM šifra prolomena byla snad už v minulém století :-) K nešifrované SMS pak má přístup určitě „pár“ lidí od operátora.
Takže, i kdyby někdo provedl man-in-the-middle útok na SSL do banky, stihl by odposlechnout SMS, tak by stejně mohl pouze potvrdit transakci, kterou zadal regulérní user.
A jak se zabrání tomu, aby takovou transakci zahájil někdo jiný? Taky se zahajuje nešifrovanou SMS? Takže vlastně stačí odchytit dvě po sobě jdoucí SMS a transakci můžeme zahájit i bez uživatele (se znalostí jeho „veřejného“ přístupového jména – doufám, že to není číslo účtu nebo rodné číslo)?
xkucf03 avatar 26.11.2007 21:29 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
IMHO je jedno, jestli je login číslo účtu nebo nějaké jiné číslo. Snažit se z přihlašovacího jména dělat druhé heslo mi přijde jako falešný pocit bezpečí a zavání to security through obscurity. Nemužeme se spoléhat na to, že nikdo nebude znát náš login (zvlášť když ani není za hvězdičkami jako heslo).

Ale jinak s tvým příspěvkem souhlasím, vlastně díky, že jsi to napsal za mě :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
26.11.2007 21:48 kkaarreell | skóre: 6 | blog: perkele
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Ja ty namitky vuci sporce nechapu. Pro prihlaseni do bankovnictvi potrebuji znat sve cislo a pin. Ani jedno nikomu nerikam (ikdyz to prvni neni za hvezdickama) a nevim, jak by tyto udaje mohl nekdo ziskat (kdyz je komunikace sifrovana). Navic, chci-li provest penezni transakci, musim zadat kod z sms s omezenou casovou platnosti.

Smesne mi spise zabezpeceni u telefonniho bankovnictvi KB. Zakerny operator behem par mych telefonatu ziska muj pin i heslo a to naprosto nepozorovane (pri overeni se rikaji pouze nektere cifry ci znaky pinu ci hesla).
26.11.2007 21:52 kkaarreell | skóre: 6 | blog: perkele
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Pouze na upresneni. Internetove bankovnictvi pouzivam pouze ze sveho pocitace. Opravdu nejsem takovy idiot, abych se prihlasoval do bankovnictvi v nejake kavarne.
xkucf03 avatar 26.11.2007 21:58 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
To s tím říkáním "pouze" vybraných čísel je fakt zvěrstvo - vlastně to žádné zabezpečení není, jako zabezpečení to funguje, pouze pokud bys tuto službu použil maximálně jednou.
Internetove bankovnictvi pouzivam pouze ze sveho pocitace. Opravdu nejsem takovy idiot, abych se prihlasoval do bankovnictvi v nejake kavarne.
Tohle už je o osobních preferencích - někdo má potřebu se přihlašovat i z jiných míst a má to pro něj užitek, proto je ochotný zaplatit i vyšší poplatky.

Uvidíme časem, třeba s tím mBanka pohne a budeme moci mít oboje: nízké poplatky + bezpečné přihlašování odkudkoli.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Heron avatar 27.11.2007 06:16 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Možná si to někde už psal, tak dej jen link, ale jak si představuješ bezpečné přihlašování?
27.11.2007 08:16 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Řekl bych, že pomocí jednorázových hesel generovaných zařízením chráněným PINem (a nezávislým na počítači). Čili například kalkulačka, SIM Toolkitová aplikace zpracovávající šifrované SMS, nebo čipová karta se samostatnou klávesnicí pro zadání PINu.

Mimochodem, narazil jsem teď při hledání informací o mBance na zajímavý popis, jak se obchází přihlášení šifrovanou SMS pomocí trojanu...
xkucf03 avatar 27.11.2007 11:56 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
1) Už jsem tu psal, že potřeba bezpečnosti je subjektivní, takže klidně někomu tento způsob může připadat jako dostatečný a nic proti tomu.

2) Za bezpečné řešení v současné době považuji:
  • autorizační SMSky, které se odšifrují až v SIM Toolkitové aplikaci
  • autentizační kalkulačky
  • čipové karty jištěné PINem s klávesnicí na čtečce
Nelze to ale brát doslova, záleží i na konkrétní implementaci - dokážu si třeba představit mizernou kartu ze které by se dal certifikát vytáhnout, ta bezpečná samozřejmě není.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Heron avatar 27.11.2007 06:14 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Cože? Vždyť do banky, alespoň tedy ČSOB, se přihlásím pomocí jména a hesla (jméno ať si zná kdokoliv, heslo je jen moje) na šifrovaném kanále a jednotlivé transakce potvrzuji jednorázovými SMS z jiného kanálu. Co je na tom obscurity?
xkucf03 avatar 27.11.2007 11:50 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Pokud si jsi plně vědom, že jméno je veřejný nikoli důvěrný údaj, a přesto řešení považuješ za bezpečné, žádne obscurity v tom není. Ale bylo by, pokud by se někdo alespoň částečně utěšoval tím, že "vždyť oni přece neví, jaké mám jméno, ani neví, že tam mám účet"
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
27.11.2007 09:50 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
IMHO je jedno, jestli je login číslo účtu nebo nějaké jiné číslo. Snažit se z přihlašovacího jména dělat druhé heslo mi přijde jako falešný pocit bezpečí a zavání to security through obscurity. Nemužeme se spoléhat na to, že nikdo nebude znát náš login (zvlášť když ani není za hvězdičkami jako heslo).
Není to jedno. Můj operátor mobilních telefonů zná moje číslo bankovního účtu, zná klíč pro rozšifrování SMS (protože mi tu SIM kartu s příslušným klíčem sám vyráběl a předával*) ), a má přístup k posílaným SMS. Tedy má přístup ke všem údajům potřebným pro provedení transakce.

*) Tady by pomohlo, pokud bych si PIN pro aplikaci mobilního bankovnictví do mobilu zvolil předem, nebo nějaký náhodný vygenerovala banka, a klíč už zašifrovaný tímto PINem předala banka operátorovi. Pokud by onen klíč vypadal tak, že je to náhodná změť bitů, a po odšifrování náhodným PINem by nebylo možné zjistit, zda jsem dostal platný klíč, nebo jinou náhodnou změt znaků, bylo by to bezpečné a operátor by přístup k mému klíči neměl. Případně by klíč pro odemčení nemusel být shodný s PINem , ale mohlo by to být jednorázové dlouhé heslo, které mi banka sdělí přímo, bez účasti operátora. Ale jestli si dobře pamatuju, PIN pro mobilní bankovnictví je na začátku pro všechny stejný a žádné jiné heslo pro úvodní odemčení klíče se nepoužívá, tudíž operátor má přístup jak k mému klíči, tak k posílaným SMS. Je tedy potřeba, aby neznal poslední autorizační údaj – přihlašovací jméno.
xkucf03 avatar 27.11.2007 11:59 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Můj operátor mobilních telefonů zná moje číslo bankovního účtu, zná klíč pro rozšifrování SMS (protože mi tu SIM kartu s příslušným klíčem sám vyráběl a předával)
V tom případě mají ten proces z bezpečnostního hlediska špatně navržený - aplikaci a klíč na SIMku by ti měla nahrávat banka a ne operátor.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
27.11.2007 14:14 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Jenže SIMka patří operátorovi (nebo ji mám od operátora), aplikace SIM toolkit je zcela jistě věc operátora. Navíc operátor je na rozdíl od banky na vývoj aplikace pro SIM toolkit a její nahrání vybavený. Takže nahrání aplikace i (šifrovaného) klíče bych na operátorovi nechal (s tím, že banka by měla přístup ke zdrojáku aplikace a byla by schopná překontrolovat, že neposílá nic jinam). S tím, že klíč by byl šifrovaný jednorázovým dostatečně dlouhým heslem.

Poslal jsem dotaz do eBanky, jak je to s nahráním klíče – zda k němu operátor technicky přístup má nebo ne. Když nevím, tak se zeptám :-)
xkucf03 avatar 27.11.2007 15:22 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Možná by stálo za to změnit banku :-) Já jsem tu aplikaci dostal už kdysi dávno, v dobách, kdy ty univerzální bankovní aplikace na SIMkách nebyly, a nahráli mi tam aplikaci v eBance - operátor s tím neměl co dělat, jen jsem si k němu předtím zašel pro lepší SIMku, ale aplikace je plně pod kontrolou eBanky.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
27.11.2007 15:33 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Když jsem měnil někdy tuším v roce 2002 operátora, půjčoval jsem eBance (pokud to tehdy ještě nebyla Expandia :-) ) na chvíli novou SIMku kvůli aktivaci a myslel jsem si, že mi tam nahrávají svoji bankovní aplikaci. Ovšem včera jsem ke svému překvapení narazil na tuhle stránku, ze které - řekl bych - vyplývá, že jde ve skutečnosti o aplikaci Vodafonu, kterou může využívat více bank současně. Předpokládám, že u ostatních operátorů je to podobné. Takže bych byl s těmi slovy o změně banky raději opatrnější, oni možná jen aktitovali věc, která byla na vaší SIMce už od operátora...
27.11.2007 15:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Já píšu také o eBance :-) Ale je to už tak dávno, že nevím, kdo aplikaci nahrával – myslím, že (tenkrát) Oskar, ale ruku do ohně bych za to nedal.
xkucf03 avatar 27.11.2007 16:00 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
já si právě pamatuji, že jsem musel k operátorovi pro novou SIMku a pak zpátky do banky kvůli aplikaci :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
xkucf03 avatar 23.12.2007 23:25 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Více informací o eBankce je/bude tady: Neoficiální klub přátek eBanky
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
29.11.2007 19:39 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Dorazila odpověď z eBanky, relevantní část rovnou ocituju, ať nevnáším další informační šum:
GSM Banking SIM Toolkit je zabezpečen takovým způsobem, že mobilní operátor nemá vůbec přístup ke klíči, pomocí kterého se šifrují a dešifrují SMS zprávy. Tento klíč získává pouze banka přímo od výrobce SIM karet - operátor je z tohoto procesu vyjmut. Na druhou stranu zase výrobce SIM karet (většinou zahraniční firma) všechny SIM karty předává operátorovi, následně k nim již nemá přístup.

Při šifrované komunikaci operátor zajišťuje pouze to, že SMS zprávu v binární (člověkem nečitelné) podobě pouze převezme a předá (z mobilu do banky, z banky do mobilu). Zaměstnanci mobilního operátora tak sice mají možnost se na tuto binární zprávu podívat, ale bez šifrovacího klíče ji nemohou převést do podoby čitelné člověkem. Stejně jak je prakticky nemožné vytvořit binární zprávu bez daného klíče tak, aby ji banka / klient správným klíčem dešifroval a proto není možné podvrhnout např. příkaz k úhradě.
Tedy pořád to není tak, že klíč zná jen banka a já, ale operátor ho nezná.
Heron avatar 27.11.2007 06:10 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti

No to jo, ale pouze brute force atackem, ale na to není během 10 minut čas.

A jak se zabrání tomu, aby takovou transakci zahájil někdo jiný?

Jak by mohl zahájit transakci někdo jiný? Ta SMS stejně nakonec přijde uživateli, který by tímto dostal důkaz, že se mu někdo naboural do SSL spojení. A jím nezahájenou transakci by 100% nepotvrdil. Nebo jak jsi to myslel?

27.11.2007 09:59 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
No to jo, ale pouze brute force atackem, ale na to není během 10 minut čas.
To jste někde našel, nebo je to jenom vaše domněnka? V roce 2001 byl čas potřebný k určení klíče v řádu sekund, kolik to asi bude dnes?
Jak by mohl zahájit transakci někdo jiný? Ta SMS stejně nakonec přijde uživateli, který by tímto dostal důkaz, že se mu někdo naboural do SSL spojení. A jím nezahájenou transakci by 100% nepotvrdil. Nebo jak jsi to myslel?
Pokud by se do komunikace naboural přímo operátor, nebude pro něj problém zajistit, aby SMS uživateli nedošla. Pokud by to byl někdo jiný, musel by uživatelům mobil nějak na nějakou dobu zneškodnit – třeba vědět, že na noc telefon vypíná, vybít mu baterku, zarušit signál v okolí uživatele… Nevím, jak dlouhou platnost mají bankovní SMS (ale asi to nebude v řádu dnů, protože to nedává smysl, ten kód už je neplatný během několika minut).

Vůbec není potřeba se nabourávat do spojení. Stačí znát uživatelův login, a můžu si o autorizační SMS požádat bez vědomí uživatele. A uživatelův login lze získat odpozorováním, keyloggerem… A to ještě v případě, že je to unikátní login sdílený jen uživatelem a bankou. Pokud je to třeba číslo účtu nebo rodné číslo, stačí si ten login najít na internetu.
27.11.2007 16:53 kolemjdoucí
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
To tedy promluvil nejchytřejší ze všech. Pracoval jste vůbec někdy v bance, nebo u nějakého operátora, když nevíte jak to tam chodí? Prosím vás, nehrajte si na Sherlocka Holmese a neblbněte hlavu lidem. Dělal jsem jak u operátora, tak i admina v bance. To co píšete je v praxi z 99,999% nemožné. Chtělo by to zavést certifikaci zdejších "rádců".
29.11.2007 19:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
To jsem rád, že alespoň uklízečky u mobilních operátorů k datové komunikaci mobilních telefonů přístup nemají. Na keyloggery na počítači uživatele ani na vybité baterky mobilu nemají zaměstnanci operátora ani banky vliv. Průnik do komunikace ze strany operátora byl jemnován jako velice nepravděpodobná možnost. Přesto je dobré o ní vědět, protože zabezpečení nikdy není na 100 %, a pokud se budete chtít dostat třeba z 99,999 % bezpečnosti na 99,9999 %, musíte se pojistit i proti tomu operátorovi. Takže příště, až zase půjdete kolem, alespoň si přečtěte, na co reagujete.
27.11.2007 09:58 Robo
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
A jak se zabrání tomu, aby takovou transakci zahájil někdo jiný? Taky se zahajuje nešifrovanou SMS?
wtf? zahajujes to predsa loginom a heslom na svoj ucet cez internetbanking. V Slovenskej Sporitelni, kde som teraz je to podobne. Az na tu SMS, namiesto ktorej je na potvrdzovanie prikazov GRID karta. Toto mi neprijde nejako zavratne nebezpecne a je to navyse pohodlnejsie (nemusis nosit GRID kartu zo sebou, nehrozi riziko, ze ju stratis ...). Samozrejme bezpecnost zavisi hlavne od uzivatela. Inak po nejakej dobe posobenia urcite pridaju aj sluzby pre narocnejsich, v prvych mesiacoch posobenia to budu vyuzivat ludia hlavne ako bezny ucet (obrat tak do 50 tis. mesacne), co je uplne v pohode. Inak ak spravujes vacsi objem penazi, tak je lepsie to mat vo viacerych bankach.
27.11.2007 10:03 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
zahajujes to predsa loginom a heslom na svoj ucet cez internetbanking
A login a heslo jsou stále stejné a zadáváte je všude možně. Opakovaně používané heslo zadávané na počítačové klávesnici na nijak zabezpečeném počítači rozhodně není vzor bezpečnosti. Pokud by zabezpečení bankovní aplikace spočívalo pouze na loginu a opakovaném heslu, nesvěřím té bance ani korunu. To už je bezpečnější to jednorázové heslo vytištěné na papíře.
27.11.2007 16:12 Robo
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
A login a heslo jsou stále stejné a zadáváte je všude možně
??? to heslo si mozes predsa kedykolvek zmenit (paranoici si to mozu menit pri kazdom prihlaseni)
27.11.2007 16:16 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Pokud bude někdo schopen získat moje heslo (keylogger, kamera sledující klávesnici, zvuky kláves), získá stejně i to nové změněné heslo. Jednorázová hesla si představuji trochu jinak…
27.11.2007 16:29 Robo
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
no ale zase je to len o userovi, ktory nedodrzi bezpecnostne opatrenia; a ako som pisal hore je to dostatocna uroven bezpecnosti na bezny ucet; na dane aplikacie maju vykonany bezpecnostny audit
27.11.2007 16:56 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Běžný uživatel těžko dodrží vámi požadovaná bezpečnostní opatření – softwarově čistý počítač, žádné hw úpravy (keylogger přímo v klávesnici atd.), místnost bez oken… Já můžu internetové bankovnictví používat z kteréhokoli sebevíc zavirovaného počítače (OK, až zjistím, jak je to s tím přihlašovacím jménem, zda je to tajný údaj nebo není). Hodit to na uživatele je vždycky snadné, ale mne zajímá, zda může té dostatečné úrovně bezpečnosti reálně dosáhnout. Třeba v firemní síti bude mít zase kvůli bezpečnosti nejspíš administrátorská práva někdojiný, než uživatel – a bezpečnost z hlediska přístupu do banky je ta tam.
JiK avatar 26.11.2007 17:32 JiK | skóre: 8 | blog: Jirkoviny | Virginia
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
mozna jsem malo paranoidni, ale zabezpeceni je to posledni, proc bych nejake podivne mBance neveril. Daleko pred tim je dost jinych duvodu. A co se toho zabezpeceni tyka, tak me osobne nejvic vyhovuje zabezpeceni ktere mam na svem Stuttgartskem uctu u LBBW, nedavno prejmenovane na BW-Bank.

Funguje to az zazracne jednoduse. Prihlasuju se cislem uctu a zvolenym petimistnym PIN, muzu delat vsechny pasivni operace. Kdyz chci udelat neco, pri cem prevadim penize pryc z banky, podepisuje se transakce jednorazovym TAN, coz je sestimistne cislo. Tech mi prislo obycejnym dopisem asi padesat, po pouziti se skrtaji a kdyz jich zbyva min jak 5, posle banka na mou adresu dalsi TANy. Muzu je nosit normalne v penezence, jeden sloupecek jsem si zkopiroval a zmensil, nejsou nijak popsane, takze se nejspis nikdo nedomakne, proc mam s sebou nejake ciselne rady. A i kdyby se domakl, muze se s tim jit vycpat, protoze by mi zaroven musel sebrat login a PIN ktery mam v hlave. TANy mam jak doma, tak zkopirovane sebou a treba i v praci nebo kdekoliv, je to jen prosty kus papiru. Povazuju to za dobry kompromis mezi jednoduchosti a bezpecnosti.

Nejsem odkazany na operatora, na smsky, na fakt, ze ne kazdy ma mobil, a ne kazdemu mobil funguje v ruznych podivnych zemich. A pokud by to ze mne chtel nekdo vytlouct nasilim, tak uz mne muze i klidne chytit a nechat mne at to prevedu uplne sam, takze tam take neni zadna pridana bezpecnost.

Popravde moc nechapu pridany efekt ruznych autentifikacnich kalkulatoru, ktere clovek bud ma u sebe a pak moc bezpecne nejsou nebo nema a pak se nedostane na svuj ucet. Nedavno mi to zavedla Ceska Citi a docela mne to nastvalo, protoze je to zaprvne zbytecne a zadruhe ze mne vytahli nejakych dalsich 200 korun.

Stejne si stojim za nazorem, ze nejvetsi exploit vsech systemu online bankingu je zcela urcite uzivatel, protoze prave ten je obcas blby az to drnci a nachyta se na vselijake phishingy a nigerijske posty.
26.11.2007 19:03 wo | skóre: 2 | blog: wo
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Kalkulátor je jištěný pinem (3 pokusy, pak se zablokuje). Je to jen krabička co dává číslíčka (jako ten TAN), zbytek (číslo účtu, login heslo a pin kalkulátoru) je v hlavě. Takže se dá říct, že je tu o jednu překážku víc (TAN máš na papíru vypsaný, kalkulátor musíš odemknout pinem).
JiK avatar 26.11.2007 19:30 JiK | skóre: 8 | blog: Jirkoviny | Virginia
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
jo, jenze kalkulator si za 20 haliru nezkopiruju abych mel jeden doma, jeden v praci a jeden pro jistotu v penezence. Kdyz ho ztratim, bude s bankou urcite jednani jak s blbym a blbejsim a nez dostanu druhej, utecou mi 4 tydny nejmin.
26.11.2007 19:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Popravde moc nechapu pridany efekt ruznych autentifikacnich kalkulatoru, ktere clovek bud ma u sebe a pak moc bezpecne nejsou nebo nema a pak se nedostane na svuj ucet. Nedavno mi to zavedla Ceska Citi a docela mne to nastvalo, protoze je to zaprvne zbytecne a zadruhe ze mne vytahli nejakych dalsich 200 korun.
Přidaný efekt je jednoduchý – komunikace je pak zabezpečená druhým nejlepším způsobem – jednorázovým heslem (úplně nejlepší způsob by bylo jednorázové heslo o délce šifrované zprávy). Abyste si nemusel každý měsíc chodit do banky pro knihu hesel, máte místo toho kalkulátor, který si ta hesla pamatuje za vás (resp. on si je nepamatuje, ale dokáže je spočítat z aktuálního času). Kalkulátor tedy nepřináší větší bezpečnost pro vás (jako jednu stranu komunikace), ale zabezpečuje lépe komunikační kanál.

A rozdíl oproti vašemu TANu? Nemusí vám po každých padesáti operacích chodit nový dopis, nehrozí, že si ta hesla někdo z dopisu opíše a vy o tom vůbec nebudete vědět, nehrozí, že je někde vytrousíte nebo vám je někdo ukradne z peněženky. Po pravdě, jak je asi patrné, když jsem psal první odstavec, váš odstavec o TANu jsem nečetl a nenapadlo mne, že by někdo jednorázová hesla a knihu hesel dnes ještě někdo tímto „léty osvědčeným“ způsobem používal.
xxx avatar 26.11.2007 20:21 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti

Co ze vpodstate to same jako se SMS. Ty mas papirek s 50ti cisly. To je stejne jaky kdyby mi banka poslala rovnou 50 kdou v SMS. Jen je rozdil v te ceste a skladnosti.

Rozdil v bezpecnosti oproti SMS je v tom, jest-li je jednodusi sluknout ti papirek s cisly, nebo mobil. Ukradeny pristup k uctu predpokladam :)

Please rise for the Futurama theme song.
JiK avatar 26.11.2007 20:27 JiK | skóre: 8 | blog: Jirkoviny | Virginia
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
dostavame se k jadru veci. Co se krade casteji, nejaky hyper-mega-cool mobil, nebo usmudlany bezceny papirek z kopirky na kterym je 15 sestimisnych cisel a z nich 5 zacmaranch, vse bez jedineho naznaku vysvetleni?
xxx avatar 26.11.2007 20:54 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Co se krade casteji pokud chci nekomu vybilit ucet :-). Ale jak je psano v blogu, bezpecnost systemu musi zalezet na bezpecnosti klice. Takze ja mam jako klic mobil a ty papirek. Ja si myslim, ze mi mobil nikdo neukradne, takze klic (resp. cast klice) povazuji za bezpecny. Ty si totez myslis o svem papirku. Mas pravdu, to je to jadro veci. Oba systemy jsou vpodtste stejne bezpecne. Rozdil do bezpecnosti do nej vnaseji uzivatele. Tim ze nekdo nechava v hospode na stole hyper-mega-cool mobil, a nekdo treba tim, ze na papiru s PINama ma lihacem napsano "Klice do banky"...
Please rise for the Futurama theme song.
26.11.2007 20:59 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Nevím jak JiK, ale třeba já mám standardně tendenci jakýkoli papír v lepším případě zmuchlat, v horším ztratit. K tomu není potřeba ani zloděj...:-)
27.11.2007 08:08 Spike | skóre: 30 | blog: Communicator | Praha
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Mobil mohu v podstatě okamžitě nechat zablokovat. Papírek asi těžko… :)
xkucf03 avatar 27.11.2007 12:03 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Taky mám radši mobily než papírky. Ale musím říct, že zablokovat jdou: pokud se dovoláš do banky a máte domluvený postup-heslo pro blokování.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
30.1.2008 09:49 Tom
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
No já nevím. Papírek z kopírky s čísly (z nichž je pár přeškrtaných) a k tomu v téže peněžence dvě karty od mBank, to zní jako lákadlo ;-) Minimálně by to trochu poučený zloděj mohl zkusit, třeba by to vyšlo...

Tom
26.11.2007 19:56 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
V té anketě to chtělo dát samotnou položku 0 Kč a pak pokračovat 1 Kč – 499 Kč atd. Mezi 0 Kč a 1 Kč totiž bude myslím statisticky významný zlom :-)
xkucf03 avatar 26.11.2007 21:52 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Aha, to mě nenapadlo, ale vzhledem k tomu, že pro 0-499 hlasovalo zatím pouze 12% lidí, tak bych ten zlom neviděl tak dramaticky :-)

IMHO pokud tam někdo bude mít pod 500, tak bych to spíš považoval za internetovou peněženku než banku, a v tom případě je zabezpečení pomocí (byť nešifrovaných) SMS poměrně luxusní :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
26.11.2007 22:20 disorder | blog: weblog | Bratislava
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
nejak musia nalakat zakaznikov a presvedcit. ja tiez dufam, ze ich zlepsovanie nebude len vo forme pridavania sluzieb, ale aj v samotnom zlepsovani tych zavedenych

snad im to vyjde, treba tu trochu zamiesat tym oligopolom :)
27.11.2007 09:17 rastos | skóre: 61 | blog: rastos
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Niečo mi uniká. Čo je "šifrovaná SMS"? To je SMS v ktorej mi príde niečo ako:
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.7 (GNU/Linux)

hQEOA3RCRwzUKpNEEAP+NN/nu9aGKGP6F9uPVhZfEB99aSw29/gmiH0Xsy4UIdTx
aDCyxPedHNPRrnlOC...
?

Prenos dát medzi mobilným telefónom a BTS-kou (a možno aj ďalej) je nejak šifrovaný. O sile tej šifry si nerobím ilúzie (nevolá sa náhodou A10?). Takisto o bezpečnosti prenosovej trasy u mobilného operátor nemám nijak valnú mienku (podloženú len tým, ako kompetentní ľudia u komunikačných operátorov často pracujú).

Takže phone-banking - e-e, neverím. Internet-banking: z domu, z udržiavaného systému, z konta a browsera čo sa nepoužíva na nič iné, s dobrým heslom, ktoré sa nepovaľuje len tak niekde ...

Moja banka otravuje, aby som si zapol SMS notifkáciu - kašlem na to. Prečo by mal ešte aj mobilný operátor vedieť, že komunikujem s bankou? Stačí že to vie ISP.
27.11.2007 09:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Niečo mi uniká. Čo je "šifrovaná SMS"?
Pokud vím, standardně se používá 3DES a šifrovací klíč má každá SIMka vlastní.
xkucf03 avatar 27.11.2007 12:05 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
To ale mluvíš o šifrování na úrovni GSM, nikoli na úrovni SIM Toolkitové aplikace?
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
27.11.2007 12:12 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Mluvím o SIM Toolkitu. Možná se mýlím, ale vždycky jsem v této souvislosti četl o 3DES a ani teď se mi nepodařilo vygooglovat něco jiného (viz třeba zde nebo zde).
27.11.2007 09:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: mBank - anketa k bezpečnosti
Šifrovaná SMS je speciální SMS, jejíž obsah je zašifrovaný (asi veřejným) klíčem, a na SIM kartě je speciální aplikace se (soukromým) klíčem, která SMS rozšifruje.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.