Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
B O A R D
   » Board
 » Zadaj pytanie
 » Archiwum
 » Szukaj
 » Stylizacja

 
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
 
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
OBECNI NA TPC
 
 » Kenny 08:12
 » piwo1 08:12
 » kyusi 08:12
 » DJopek 08:07
 » Fl@sh 08:00
 » Syzyf 07:58
 » RoBakk 07:44
 » leosh 07:41
 » ekspert_I 07:40
 » patinka 07:37
 » Gniew 07:36
 » KHot 07:31
 » XepeR 07:01
 » Flo 06:52
 » SebaSTS 06:46
 » NimnuL 06:34
 » PeKa 06:26
 » Killer 06:24
 » Doczu 06:23
 » kombajn4 06:19

 Dzisiaj przeczytano
 41146 postów,
 wczoraj 25974

 Szybkie ładowanie
 jest:
włączone.

 
ccc
TwojePC.pl © 2001 - 2024
A R C H I W A L N A   W I A D O M O Ś Ć
    

Bezpieczeństwo logowanie do banków (klawiatura fizyczna, wirtulana, ctrl+V) , Yosarian 6/07/11 23:33
Do zadania tego pytania skłoniło mnie zauważenie (dopiero teraz;) wirtualnych klawiatur, które pokazują się na stronach niektórych banków internetowych, np. w:
GoL http://secure.getinonline.pl/
Meritum http://www.meritumbank.pl/
Takiego rozwiązanie nie ma np. w mBanku
Wiadomo, że przy wprowadzaniu danych z klawiatury fizycznej, można zostać podsłuchanym przez keylogger'a a dane przesłane dalej bez naszej wiedzy.
A jak sprawa bezpieczeństwa wygląda w przypadku korzystania z w/w klawiatur wirtualnych ?
No i jeszcze, w przypadku banków wymagających wprowadzenia całych haseł, wprowadzanie ich metodą wprowadzania metodą ctrl+c i ctrl+v z pliku tekstowego ? (osobiście nie korzystam, bo np. zapamiętanie 20 znakowego hasła w mBanku to nie jest problem ale podawanie wybranych znaków hasła w innych bankach, raczej jest i wymaga gdzieś zanotowania).

All the best people in life seem to like
LINUX.
Steve Wozniak

  1. chyba , laciak88 6/07/11 23:39
    nie ma problemu by sczytać położenie kursora w trakcie kliknięcia. Ja do bankowych zabezpieczeń podchodzę tak: jak ktoś będzie chciał mnie okraść, zrobi to.

    "To Alcohol! The cause of, and solution to, all of
    life's problems."

    1. PS w temacie: , laciak88 6/07/11 23:45
      Na moje pytanie o bezpieczeństwo transakcji kartą na podpis, Inteligo stwierdziło, że to wystarczy. Jeszcze karty nie zgubiłem i nie mam zamiaru, ale jadnak wolałbym pin.

      "To Alcohol! The cause of, and solution to, all of
      life's problems."

      1. to sobie , elliot_pl 7/07/11 02:29
        zmien karte na taka z chipem

        momtoronomyotypaldollyochagi...

        1. pin czy podpis? , vaneck 7/07/11 06:42
          Niestety nie zależy to od posiadacza karty tylko od firmy pośredniczącej w transakcji. Możesz mieć z chipem a i tak przy niektórych transakcjach będziesz podpisywał.

          A little less conversation, a little more action
          please

          1. nie zmieniaj na pin! , Okota 7/07/11 12:26
            jak ukradnie ci ktos karte z pinem i zlamie pin to bank sie wypnie bo pin udostepniles bo jakto mozliwe ze zabezpieczenia banku sa zlamane i ktos pin wydostal...
            a tak podpis zawsze mozesz zakwestionowac. Kiedys u Weissa bylo o tym ze gosciu jak kasjrka nie sprawdzala podpisow to podpisywal sie jako kubus puchatek albo piotrus pan i potem kwestionowal taka transakcje i bank uznawal... a placila kasjerka za swoje niedopatrzenie.

            Dyslektyka błąd nie pyka...
            RTS wszechczasów:
            Supreme Commander

      2. ale PIN , Chrisu 7/07/11 11:37
        to nie zabezpieczenie ;-)

        /// GG# 1 110 10 10 11 100 10 \\\

    2. Nie do końca tak jak mówisz , NimnuL-Redakcja 7/07/11 09:05
      to, że komuś uda się dostać na Twoje konto nie oznacza, że wykona jakąkolwiek operację. W bankach jakich używam (CitiBank, AliorBank, OpenFinance, GetinBank) operacje typu przelewy (o ile nie zaufane) wymagają dodatkowej autoryzacji SMS lub potwierdzenia telefonicznego.

      Co więcej. Ja się o swoje finanse nie obawiam, bo o ile identyfikator/login jest jawny to hasła są już maskowane (nie wpisuje się całego hasła, a jedynie losowe pozycje), przechwycenie jednorazowego logowania nic nie da podsłuchującemu, musiałby mieć dane z przynajmniej kilku logowań, ale i tak nadal nie zna kolejności znaków w haśle bo nie zna przecież jakie pozycje były maskowane.

      Gdyby nie wymyślono elektryczności,
      siedziałbym przed komputerem przy
      świeczkach.

      1. wiem, wiem , laciak88 7/07/11 10:29
        mam kartę kodów jednorazowych.

        "To Alcohol! The cause of, and solution to, all of
        life's problems."

  2. dobry keylogger zrobi i zrzutkę z ekranu i tego co kopiujesz do schowka , bwana 6/07/11 23:41
    więc ani wirtualna klawiatura, ani kopiowanie przez schowek Ci nie pomoże.

    hasła jednorazowe (z karty czy z "tokena") wydają mi się natomiast dobrym zabezpieczeniem na taką okoliczność. Oczywiście i tu może wystąpić problem "man in the middle", normalna sprawa.

    Rozumiem, że korzystasz często z publicznych komputerów (typu kafejka internetowa) do obsługi konta bankowego? Czy też masz obawy odnośnie bezpieczeństwa Twojego własnego komputera? W zależności od przypadku podniesienie bezpieczeństwa tak realizowanych transakcji można zapewniać innymi sposobami.

    "you don't need your smile when I cut
    your throat"

    1. nie... , Yosarian 7/07/11 00:04
      "Rozumiem, że korzystasz często z publicznych komputerów (typu kafejka internetowa) do obsługi konta bankowego?"

      ... nigdy nie korzystam i mam świadomość zagrożenia, ale jak napisałem wcześniej, zwróciłem uwagę wczoraj na te wirtualne klawiatury i naszła mnie refleksja/wątpliwość, jak to jest w praktyce

      ps. gdybym musiał korzystać z innego sprzętu to chyba tylko w wersji :płyta CD z linuksem live ;)

      "Czy też masz obawy odnośnie bezpieczeństwa Twojego własnego komputera?"

      No tu już cieplej, mam antywira (AVAST), mam firewall'a (TINY) od czasu do czasu sprawdzam Spyboot'em, aktualizuję z M$ ale 100% pewności nie ma i myślałem, że tak wirtualna kalwa to pewna forma zabezpieczenia ale jak widzę nie.

      All the best people in life seem to like
      LINUX.
      Steve Wozniak

      1. jeśli nie masz podejrzeń, że ktoś Ciebie upatrzył na ofiarę oszustwa z przechwyceniem , bwana 7/07/11 01:51
        loginu do konta bankowego, to myślę, że zabezpieczenia masz wystarczające. Ja sam mam windowsowy FW, MS Security Essentials i najczęściej robię przelewy zza routera wifi z WPA2. Ja jednak mam kartę kodów jednorazowych, a nie stałe hasło.

        W każdym razie bardziej już się obawiam, że ktoś mi skroi kartę kredytową i zapłaci za coś (tam, gdzie podpis a nie pin jest potrzebny) niż tego, że ktoś mi dziabnie forsę z konta przez internet.

        "you don't need your smile when I cut
        your throat"

        1. Przy zgubieniu/kradzieży KK obawiałbym się raczej , NimnuL-Redakcja 7/07/11 09:10
          że osoba trzecia użyje jej do zakupów przez Internet bo ponoć do płatności KK online wystarczy nr KK i jej data ważności. Czyli tak naprawdę coś co widnieje jawnie na karcie.

          Gdyby nie wymyślono elektryczności,
          siedziałbym przed komputerem przy
          świeczkach.

        2. eee, tylko ze , Kenny 7/07/11 09:39
          kasy skradzionej z konta nie odzyskasz, a z KK bez problemu...

          .:Pozdrowienia:.

  3. hmm , bartek_mi 7/07/11 00:14
    najlepsze (imho) i najbardziej wkurzajace (to juz na pewno) jest to co oferuje ing - jednorazowo wpisuje sie nie wszystkie znaki z hasla

    dzisiaj jest jutrzejszym wczoraj

    1. też... , Yosarian 7/07/11 00:25
      o tym wspomniałem
      "podawanie wybranych znaków hasła w innych bankach, raczej jest i wymaga gdzieś zanotowania"
      ale to samo jest we wszystkich bankach holdingu Czarneckeigo (Open, Getin, Idea) i na pewno w BZWBK24.
      Upierdliwe dla użytkownika i chyab nie podnosi bezpieczeństwa logowania skoro dobry keylogger moze zdobyć całe hasło podczas np. jego zmiany (stare/nowe)

      All the best people in life seem to like
      LINUX.
      Steve Wozniak

      1. hmm , bartek_mi 7/07/11 00:50
        jak sie logujesz tylko ze swojego komputera to nic nie uratuje

        ale jak sie masz zalogowac w kafejce to wg mnie to duzo lepsze niz wklepywacnie calego hasla

        dzisiaj jest jutrzejszym wczoraj

        1. no fakt... , Yosarian 7/07/11 01:19
          "jak sie masz zalogowac w kafejce"
          ...w tym przypadku zadziała i jakby co, to do zdobycia tylko info częściowe

          All the best people in life seem to like
          LINUX.
          Steve Wozniak

      2. keylogger złapie całe hasło (albo wystarczającą liczbę jego znaków) o wiele prościej , bwana 7/07/11 01:48
        zrzutka z ekranu na którym jest napisane "podaj 1,4,11, 13 znak hasła" plus zrzut z klawiatury - tych właśnie znaków hasła. Słowem - jest to upierdliwość, która w takim przypadku nie podnosi bezpieczeństwa o ile keylogger ma szansę przechwycić kilka(naście) logowań. Co innego kiedy podajesz tak hasło na "przypadkowym" komputerze - raz na b. długi czas.

        "you don't need your smile when I cut
        your throat"

      3. Maskowane hasła to bardzo bezpieczne rozwiązanie , NimnuL-Redakcja 7/07/11 09:14
        co jeśli Ci powiem, że do logowania się w jednym banku wpisałem znaki:
        logowanie1: 15782
        logowanie 2: 143078
        logowanie 3: fh84612
        itd.

        Masz znaki ale nie wiesz czy wszystkie występujące w moim haśle i w dodatku a nie znasz ich pozycji/kolejności.

        Gdyby nie wymyślono elektryczności,
        siedziałbym przed komputerem przy
        świeczkach.

  4. Bezpieczeństwo jak zwykle głównie opiera się na czynniku ludzkim , TheW@rrior 7/07/11 10:31
    Uważam że częściowo maskowane hasła są pomyłką. Większość ludzi takie hasła musi sobie gdzieś zapisać by później móc odtworzyć sobie konkretne pozycje o które są proszeni. Oczywiście atak typu MitM na nic się zda tutaj ale już przechwycenie karteczki/pliku txt itp. od użytkownika jest łatwiejsze nawet niż sam atak MitM.
    Ogólnie najlepszą metodą jest nie martwienie się samym dostępem do konta a metodami autoryzacji do wykonania konkretnych opcji (kody z karty/tokena/sms) i korzystanie z dostępnych mechanizmów z głową. Czyli nie myślimy że bardzo silne hasło nie do odgadnięcia (i często nie do zapamiętania) nas zabezpieczy przed podsłuchaniem a zarazem zapisujemy sobie takie hasło by samemu go nie zapomnieć. Najważniejszy jest balans między wygodą a bezpieczeństwem gdyż jak bezpieczeństwo mocno ogranicza wygodę człowiekowi to i obejdzie te ograniczenia drastycznie zmniejszając bezpieczeństwo (vide wymaganie częstej zmiany haseł przez admina z pamięcią 3 ostatnich i pracownicy z hasłami Qwerty!,Asdfgh@ itp. ;)

    People who fear free software are those
    whose products are worth even less

  5. a dajcie przykład jakiegoś sensownego keyloggera , yorg5 7/07/11 11:25
    chętnie bym sam sobie zainstalował i zobaczył jak i ile to wyciągnie z mojego kompa przy normalnym użytkowaniu...

    ooo! hasła do konta żony na przykład nie znam, a komp wspólny ;)

    The Borg's frightening appearance
    may scare small children.

    
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL