RTV forum PL | NewsGroups PL

Coś dla wrażliwych na fale em

NOWY TEMAT

elektroda NewsGroups Forum Index - Elektronika Polska - Coś dla wrażliwych na fale em

Goto page Previous  1, 2, 3  Next

viktorius
Guest

Tue Oct 01, 2019 1:53 pm   



W dniu 2019-10-01 o 14:59, RadoslawF pisze:

Quote:

Inny wywiad u tego samego gościa:
https://www.youtube.com/watch?v=y-zKCDqnP3k&t

Tutaj mieli pomysł, zaimplementowali. Ale im udało się wyjść o krok,
duuuży krok dalej, czyli do sprzedaży. I to na zajebiście trudnym
rynku. Bo obok telekomunikacji, to chyba tylko rynek bankowy jest też
tak mocno obwarowany przepisami, regulacjami, nadzorem.

Bardzo ładna teoria.
Poczytał bym opinie kogoś kto tego używał kilka miesięcy.
Bo wedle mojej wiedzy mało kto używa klawiatury zawsze tak samo.
Raz nam się śpieszy, innym razem klepiemy znudzeni w te klawisze
powoli, bywa że jesteśmy zaspani, chorzy czy nie do końca trzeźwi.
Bo facet to tłumaczy że program da radę ale co na to praktyka?


Nikt tego jeszcze nie używał komercyjnie, usługa na razie w fazie

testów, można zapisać się do pilotażu:
https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/
Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
użytkowników, to wewnętrzne testy już dawno zaakceptowane.

Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam protezy
typu dodatkowy sms, z którymi bankowi złodzieje poradzili sobie w kilka dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/



--
viktorius

RadoslawF
Guest

Tue Oct 01, 2019 2:00 pm   



W dniu 2019-10-01 o 15:53, viktorius pisze:

Quote:
Inny wywiad u tego samego gościa:
https://www.youtube.com/watch?v=y-zKCDqnP3k&t

Tutaj mieli pomysł, zaimplementowali. Ale im udało się wyjść o krok,
duuuży krok dalej, czyli do sprzedaży. I to na zajebiście trudnym
rynku. Bo obok telekomunikacji, to chyba tylko rynek bankowy jest też
tak mocno obwarowany przepisami, regulacjami, nadzorem.

Bardzo ładna teoria.
Poczytał bym opinie kogoś kto tego używał kilka miesięcy.
Bo wedle mojej wiedzy mało kto używa klawiatury zawsze tak samo.
Raz nam się śpieszy, innym razem klepiemy znudzeni w te klawisze
powoli, bywa że jesteśmy zaspani, chorzy czy nie do końca trzeźwi.
Bo facet to tłumaczy że program da radę ale co na to praktyka?


Nikt tego jeszcze nie używał komercyjnie, usługa na razie w fazie
testów, można zapisać się do pilotażu:
https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/
Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
użytkowników, to wewnętrzne testy już dawno zaakceptowane.

Nie mam kont w obu podanych bankach.
Więc spokojnie czekam na opis działanie tego w praktyce.
Ja przewiduje z tą metodą problemy ale poczekamy zobaczymy.

Quote:
Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam protezy
typu dodatkowy sms, z którymi bankowi złodzieje poradzili sobie w kilka
dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/

No ale te SMSy to wynik tej dyrektywy. :-)

Generalnie bezpieczeństwo w dużej mierze zależy od użyszkodnika.
Jak zainstalujesz pancerne drzwi z kilkoma patentowymi zamkami
a użytkownik zamków nie zamyka to czyja wina? Bo raczej nie drzwi.
Opisana w linku metoda to oszukiwanie użytkownika a nie
systemu bankowego.


Pozdrawiam

Piotr Wyderski
Guest

Tue Oct 01, 2019 2:58 pm   



viktorius wrote:

Quote:
Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam protezy
typu dodatkowy sms, z którymi bankowi złodzieje poradzili sobie w kilka
dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/

Polecam się zaopatrzyć w to:

https://www.yubico.com/product/yubikey-5-nfc

i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie odcinać
sobie możliwości pracy. Wszystkie serwisy poważnie podchodzące do
kwestii bezpieczeństwa pozwalają na dodanie takiego dongla.

Pozdrawiam, Piotr

J.F.
Guest

Tue Oct 01, 2019 3:16 pm   



Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qmvpir$12cb$1_at_gioia.aioe.org...
viktorius wrote:
Quote:
Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
sobie w kilka dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/

Polecam się zaopatrzyć w to:
https://www.yubico.com/product/yubikey-5-nfc

i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie
odcinać sobie możliwości pracy. Wszystkie serwisy poważnie
podchodzące do kwestii bezpieczeństwa pozwalają na dodanie takiego
dongla.

Tylko tak:
-nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
przelew 20zl za telefon, czy 200k na konto hackera,

-co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
podlacze ?

-ma to jakis przycisk ? Bo nie chcialbym sytuacji, gdy wsadzam do USB,
a w komputerze jakis virus przekazuje dalej i autoryzuje sto przelewow
po 999zl.

-da sie wgrac klucze do roznych systemow? Male to, ale jakbym mial do
kazdego banku jeden, to breloczek puchnie :-)

-jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
czesc autoryzacji musi zabezpieczac ...

J.

Piotr Wyderski
Guest

Tue Oct 01, 2019 4:30 pm   



J.F. wrote:

Quote:
Tylko tak:
-nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
przelew 20zl za telefon, czy 200k na konto hackera,

Przecież to jest MULTIfactor Authentication, a nie zastępnik.
Dobezpiecza, a nie zabezpiecza. A teraz skąd wiesz, co autoryzujesz?
Nic się nie zmieni.

Quote:
-co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
podlacze ?

Jak będziesz nosił kabelek USB w kieszeni, to podłączysz.

Quote:
-ma to jakis przycisk ?

Ma. To złote pole z logo to właśnie ten przycisk.

Quote:
-da sie wgrac klucze do roznych systemow?

Tam się nic nie wgrywa. To potwierdza *swoją* tożsamość jednym z kilku
wspieranych protokołów challenge-response. Nie Twoją.

Quote:
Male to, ale jakbym mial do
kazdego banku jeden, to breloczek puchnie Smile

Breloczkiem dobezpieczasz LastPass, a w LastPass trzymasz hasła do
innych systemów. Oraz swoje konto poczty, bo to jest dla Ciebie miejsce
krytyczne. Mając dostęp do Twojego konta e-mail mogę potwierdzać
polecenie zmiany hasła w innych systemach, więc Twoje bezpieczeństwo
jest dokładnie takie, jak Twojego e-maila. Do Gmaila i Protona ten
kluczyk się da podłączyć.

Quote:
-jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga czesc
autoryzacji musi zabezpieczac ...

To jest właśnie literka M w MFA. Musisz mieć np. hasło *oraz* ten
kluczyk. Osobno są bezwartościowe.

Pozdrawiam, Piotr

J.F.
Guest

Tue Oct 01, 2019 4:59 pm   



Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qmvuuj$1s6v$1_at_gioia.aioe.org...
J.F. wrote:
Quote:
Tylko tak:
-nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
przelew 20zl za telefon, czy 200k na konto hackera,

Przecież to jest MULTIfactor Authentication, a nie zastępnik.
Dobezpiecza, a nie zabezpiecza. A teraz skąd wiesz, co autoryzujesz?
Nic się nie zmieni.

Teraz przychodzi SMS-sem co autoryzuje ...

Quote:
-co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
podlacze ?
Jak będziesz nosił kabelek USB w kieszeni, to podłączysz.

Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala :-)

Quote:
-ma to jakis przycisk ?
Ma. To złote pole z logo to właśnie ten przycisk.

-da sie wgrac klucze do roznych systemow?
Tam się nic nie wgrywa. To potwierdza *swoją* tożsamość jednym z
kilku
wspieranych protokołów challenge-response. Nie Twoją.

To musialyby sie banki zdecydowac akurat na to.
No i producent musialby zadbac, zeby tego nikt nie zlamal ...

Quote:
Male to, ale jakbym mial do kazdego banku jeden, to breloczek
puchnie :-)

Breloczkiem dobezpieczasz LastPass, a w LastPass trzymasz hasła do
innych systemów.

Ale to chyba nie beda zmienne ?

Quote:
Oraz swoje konto poczty, bo to jest dla Ciebie miejsce
krytyczne. Mając dostęp do Twojego konta e-mail mogę potwierdzać
polecenie zmiany hasła w innych systemach, więc Twoje bezpieczeństwo
jest dokładnie takie, jak Twojego e-maila. Do Gmaila i Protona ten
kluczyk się da podłączyć.

No chyba, ze bank uzna poczte za zbyt niebezpieczna.
Bo w sumie czemu uznac za bezpieczna ...

Quote:
-jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
czesc autoryzacji musi zabezpieczac ...

To jest właśnie literka M w MFA. Musisz mieć np. hasło *oraz* ten
kluczyk. Osobno są bezwartościowe.

Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza
ilosc hackerow ktorzy moga to zrobic ...

J.

Piotr Wyderski
Guest

Tue Oct 01, 2019 5:22 pm   



J.F. wrote:

Quote:
Teraz przychodzi SMS-sem co autoryzuje ...

I dalej będzie przychodzić. :-)

Quote:
Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala Smile

Owszem, to jest koszt znacznego podniesienia poziomu bezpieczeństwa.

Quote:
To musialyby sie banki zdecydowac akurat na to.
No i producent musialby zadbac, zeby tego nikt nie zlamal ...

Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie.
No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z
Twoich problemów. :-)

Quote:
Ale to chyba nie beda zmienne ?

Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla
każdego portalu/serwisu. Nawet ja nie znam swoich. Smile
Znam tylko hasło do googla i do LastPassa. Oba dobezpieczyłem kluczykiem.

Quote:
No chyba, ze bank uzna poczte za zbyt niebezpieczna.
Bo w sumie czemu uznac za bezpieczna ...

Musi istnieć jakiś sposób komunikacji z klientem, choćby
celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być e-mail
-- a czemu nie, jeden pies. Tak czy inaczej ten kanał to jest Twój
główny zasób do ochrony, bo dzięki niemu rozbezpieczysz/przejmiesz
pozostałe.

Quote:
Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza
ilosc hackerow ktorzy moga to zrobic ...

I widzi babcia. :-)

Na początku musisz sobie stworzyć model zagrożenia, przed którym się
bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od tysiąca
przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa przemysłowego,
inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz HVT
(High Value Target), to nikt raczej nie będzie się bawił w atak na
Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych ataków
jest na białko. Podstawi Ci się cycatą blondynę or compatible i
podbijesz statystykę. W wersji soft pewnego słonecznego dnia znajdziesz
na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest... :-)

Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy.
Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.

Pozdrawiam, Piotr

J.F.
Guest

Tue Oct 01, 2019 5:29 pm   



Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qn020i$bk4$1_at_gioia.aioe.org...
J.F. wrote:
Quote:
Teraz przychodzi SMS-sem co autoryzuje ...

I dalej będzie przychodzić. Smile

No to juz trzecia autoryzacja ... wiec po co przeplacac :-)

Quote:
To musialyby sie banki zdecydowac akurat na to.
No i producent musialby zadbac, zeby tego nikt nie zlamal ...

Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie.
No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z
Twoich problemów. Smile

Albo producent popelnil jakis blad i sie zlamie latwo.

Quote:
Ale to chyba nie beda zmienne ?
Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla
każdego portalu/serwisu. Nawet ja nie znam swoich. Smile

Ale stale są ?
To raz ktos podejrzy/podslucha i bedzie znal.

Quote:
No chyba, ze bank uzna poczte za zbyt niebezpieczna.
Bo w sumie czemu uznac za bezpieczna ...

Musi istnieć jakiś sposób komunikacji z klientem, choćby
celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być
e-mail -- a czemu nie, jeden pies.

A moze sms ?
Bo uznac e-mail za bezpieczny ... moze po dobezpieczeniu PGP...

Quote:
Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz
ogranicza ilosc hackerow ktorzy moga to zrobic ...

I widzi babcia. :-)

Na początku musisz sobie stworzyć model zagrożenia, przed którym się

Wszystkie :-)

Quote:
bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od
tysiąca
przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa
przemysłowego,
inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz
HVT
(High Value Target), to nikt raczej nie będzie się bawił w atak na
Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych
ataków
jest na białko. Podstawi Ci się cycatą blondynę or compatible i
podbijesz statystykę. W wersji soft pewnego słonecznego dnia
znajdziesz
na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest...
:-)

Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy.
Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.

Ale potem ta dzieciarnia idzie do pracy i pracuje u bogatego szefa.
Albo np w klubie fitness..

J.

Guest

Tue Oct 01, 2019 5:39 pm   



W dniu wtorek, 1 października 2019 10:19:02 UTC-5 użytkownik J.F. napisał:
Quote:
Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qmvpir$12cb$1_at_gioia.aioe.org...
viktorius wrote:
Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
sobie w kilka dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/

Polecam się zaopatrzyć w to:
https://www.yubico.com/product/yubikey-5-nfc

i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie
odcinać sobie możliwości pracy. Wszystkie serwisy poważnie
podchodzące do kwestii bezpieczeństwa pozwalają na dodanie takiego
dongla.

Tylko tak:
-nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
przelew 20zl za telefon, czy 200k na konto hackera,

-co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
podlacze ?

-ma to jakis przycisk ? Bo nie chcialbym sytuacji, gdy wsadzam do USB,
a w komputerze jakis virus przekazuje dalej i autoryzuje sto przelewow
po 999zl.

-da sie wgrac klucze do roznych systemow? Male to, ale jakbym mial do
kazdego banku jeden, to breloczek puchnie :-)

-jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
czesc autoryzacji musi zabezpieczac ...



Juz kiedys bylo walkowane.
MFA pomaga ale nie w przypadku phishingu.

Problemy sa przynajmniej dwa:
1. Jak wykryc ze ktos po drugiej stronie druta to klient i do tego nie za "warstwa czlowieka posrodku".
2. Jak wykryc ze to co ktos po drugiej stronie robi/widzi to to co ma zamiar zrobic/zobaczyc.

IMHO, na dzis bez bardzo zaufanej infrastruktury po stronie klienta nie da sie tego ogarnac.
Bo jak widac z arta, cale 4 dni zajelo dorobienie odpowiedniego phishingu wraz z infrastruktura dla "man in the middle".

Uzywane telefonow z ich przywalonymi przegladarkami (gdzie czasem nie widac szczegolow certyfikatu) temu nie pomaga.
Zreszta nawet w chrome te informacje zostaly niedawno poukrywane i nawet mnie zajelo sporo klikania zeby sprawdzic czy numer seryjny certyfikatu serwera sie zgadza.

O fakcie ze zeby znalezc informacje o certyfikacie uzytym dzis przez dany bank to sie trzeba nacertolic nawet jak sie ma inne urzadzenie ktore zakladamy ze nie jest shackowane juz nie wspominam.

Krajobraz tutaj jest kiepski i to mimo a czasem dzieki wysilkom duzych.

Marek
Guest

Tue Oct 01, 2019 6:14 pm   



On Tue, 1 Oct 2019 14:59:44 +0200, RadoslawF <user_at_domain.invalid>
wrote:
Quote:
Na pewno Polski?
Tworzy go firma amerykańska.

Amerykański oddział Polskiej spółki. Taki jest wymóg Kickstartera.

--
Marek

Piotr Wyderski
Guest

Tue Oct 01, 2019 6:19 pm   



J.F. wrote:

Quote:
No to juz trzecia autoryzacja ... wiec po co przeplacac Smile

W tym przypadku masz rację. SMS to też dobra realizacja MFA.

Quote:
Albo producent popelnil jakis blad i sie zlamie latwo.

Nawet jeśli, to bez fizycznego dostępu do klucza nie poszalejesz.

Quote:
Ale stale są ?
To raz ktos podejrzy/podslucha i bedzie znal.

Zawsze są stałe. Czynnik zmienny wprowadza SMS albo inny token lub
klucz. Nie wszystkie moje zasoby są równocenne, a wszystkich haseł nie
podsłuchasz.

Quote:
A moze sms ?

Te cenniejsze portale przesyłają kod jednorazowy SMS.

Quote:
Bo uznac e-mail za bezpieczny ... moze po dobezpieczeniu PGP...

Niemniej tak się na świecie utarło, co zrobisz. W praktyce całość się
sprowadza do tego, by się głupio nie podłożyć. Uciekanie przed
niedźwiedziem nie polega na tym, by być najszybszym biegaczem w grupie.
Wystarczy nie być najwolniejszym.

Quote:
Na początku musisz sobie stworzyć model zagrożenia, przed którym się

Wszystkie Smile

No to Ty niezły kozak jesteś.

Quote:
Ale potem ta dzieciarnia idzie do pracy i pracuje u bogatego szefa.
Albo np w klubie fitness..

Err.. Chewbacca defense?

Pozdrawiam, Piotr

viktorius
Guest

Wed Oct 02, 2019 7:26 am   



W dniu 2019-10-01 o 16:00, RadoslawF pisze:
Quote:
W dniu 2019-10-01 o 15:53, viktorius pisze:

Inny wywiad u tego samego gościa:
https://www.youtube.com/watch?v=y-zKCDqnP3k&t

Tutaj mieli pomysł, zaimplementowali. Ale im udało się wyjść o krok,
duuuży krok dalej, czyli do sprzedaży. I to na zajebiście trudnym
rynku. Bo obok telekomunikacji, to chyba tylko rynek bankowy jest
też tak mocno obwarowany przepisami, regulacjami, nadzorem.

Bardzo ładna teoria.
Poczytał bym opinie kogoś kto tego używał kilka miesięcy.
Bo wedle mojej wiedzy mało kto używa klawiatury zawsze tak samo.
Raz nam się śpieszy, innym razem klepiemy znudzeni w te klawisze
powoli, bywa że jesteśmy zaspani, chorzy czy nie do końca trzeźwi.
Bo facet to tłumaczy że program da radę ale co na to praktyka?


Nikt tego jeszcze nie używał komercyjnie, usługa na razie w fazie
testów, można zapisać się do pilotażu:
https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/
Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
użytkowników, to wewnętrzne testy już dawno zaakceptowane.

Nie mam kont w obu podanych bankach.
Więc spokojnie czekam na opis działanie tego w praktyce.
Ja przewiduje z tą metodą problemy ale poczekamy zobaczymy.


Ja mam mBank, zapisałem się na testy tylko jak odkryłem, że Chrobi macza
w tym palce. Pracowałem z nim dawno temu, jeśli nadal ma taki łeb jak
kiedyś, to ma to szanse działać dobrze. Może agituję, bo znam gościa,
ale jego pomysł z wyeliminowaniem białka w procesie bezpieczeństwa jest
całkiem do rzeczy.

Quote:
Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
sobie w kilka dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/


No ale te SMSy to wynik tej dyrektywy.  :-)


Nie, PSD2 wymusza, żeby uwierzytelnienie było "silne", czyli co najmniej
2 niezależne sposoby uwierzytelniania. Po taniości większość banków
dorzuciła do loginu/hasła wymóg podania treści smsa. Dyrektywę spełnili,
UE się nie doczepi, a jak widać powyżej, 4 dni i po "silnym" zabezpieczeniu.

Quote:
Generalnie bezpieczeństwo w dużej mierze zależy od użyszkodnika.
Jak zainstalujesz pancerne drzwi z kilkoma patentowymi zamkami
a użytkownik zamków nie zamyka to czyja wina? Bo raczej nie drzwi.
Opisana w linku metoda to oszukiwanie użytkownika a nie
systemu bankowego.


Masz racje, ale własnie o to chodzi, żeby zabezpieczyć ogół
użytkowników, który zwykle nie zamyka pancernych drzwi, bo nie jest
dobry tak w bezpieczeństwie jak Piotr Wyderski, który zaopatrzył się w
youbikey.

Sposób wymyślony przez Digital Fingerprints eliminuje białko, czyli
słabości ludzkie.
Nawet jak ktoś wyrwie ci kompa z reki, na którym jesteś zalogowany do
banku, to po sposobie łażenia po tej stronie bankowej aplikacja jest w
stanie wykminic, że to prawdopodobnie to nie ty. Chwilowo zablokuje
dostęp, poprosi wtedy o smsa, próbkę krwi, nerkę, whatever. Ich algorytm
ma za zadanie zapalić lampeczkę, że coś jest na rzeczy, to bank decyduje
co z tą informacja zrobić dalej.

--
viktorius

RadoslawF
Guest

Wed Oct 02, 2019 11:05 am   



W dniu 2019-10-02 o 09:26, viktorius pisze:

Quote:
Inny wywiad u tego samego gościa:
https://www.youtube.com/watch?v=y-zKCDqnP3k&t

Tutaj mieli pomysł, zaimplementowali. Ale im udało się wyjść o
krok, duuuży krok dalej, czyli do sprzedaży. I to na zajebiście
trudnym rynku. Bo obok telekomunikacji, to chyba tylko rynek
bankowy jest też tak mocno obwarowany przepisami, regulacjami,
nadzorem.

Bardzo ładna teoria.
Poczytał bym opinie kogoś kto tego używał kilka miesięcy.
Bo wedle mojej wiedzy mało kto używa klawiatury zawsze tak samo.
Raz nam się śpieszy, innym razem klepiemy znudzeni w te klawisze
powoli, bywa że jesteśmy zaspani, chorzy czy nie do końca trzeźwi.
Bo facet to tłumaczy że program da radę ale co na to praktyka?


Nikt tego jeszcze nie używał komercyjnie, usługa na razie w fazie
testów, można zapisać się do pilotażu:
https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/
Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
użytkowników, to wewnętrzne testy już dawno zaakceptowane.

Nie mam kont w obu podanych bankach.
Więc spokojnie czekam na opis działanie tego w praktyce.
Ja przewiduje z tą metodą problemy ale poczekamy zobaczymy.


Ja mam mBank, zapisałem się na testy tylko jak odkryłem, że Chrobi macza
w tym palce. Pracowałem z nim dawno temu, jeśli nadal ma taki łeb jak
kiedyś, to ma to szanse działać dobrze. Może agituję, bo znam gościa,
ale jego pomysł z wyeliminowaniem białka w procesie bezpieczeństwa jest
całkiem do rzeczy.

Jeśli zadziała tak jak opisują. Z doświadczenia wiem że przeważnie
działa troszeczkę inaczej. Dlatego dalej twierdzę że trzeba poczekać
na kogoś kto tego poużywa kilka miesięcy.

Quote:
Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
sobie w kilka dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/



No ale te SMSy to wynik tej dyrektywy.  :-)


Nie, PSD2 wymusza, żeby uwierzytelnienie było "silne", czyli co najmniej
2 niezależne sposoby uwierzytelniania. Po taniości większość banków
dorzuciła do loginu/hasła wymóg podania treści smsa. Dyrektywę spełnili,
UE się nie doczepi, a jak widać powyżej, 4 dni i po "silnym"
zabezpieczeniu.

I telefon który każdy nosi przy sobie więc może go zgubić lub
łatwo go ukraść ma być silniejsze od kodów jednorazowych?
Które u mnie zlikwidowali bo zastąpili SMSami.

Quote:
Generalnie bezpieczeństwo w dużej mierze zależy od użyszkodnika.
Jak zainstalujesz pancerne drzwi z kilkoma patentowymi zamkami
a użytkownik zamków nie zamyka to czyja wina? Bo raczej nie drzwi.
Opisana w linku metoda to oszukiwanie użytkownika a nie
systemu bankowego.


Masz racje, ale własnie o to chodzi, żeby zabezpieczyć ogół
użytkowników, który zwykle nie zamyka pancernych drzwi, bo nie jest
dobry tak w bezpieczeństwie jak Piotr Wyderski, który zaopatrzył się w
youbikey.

Sposób wymyślony przez Digital Fingerprints eliminuje białko, czyli
słabości ludzkie.
Nawet jak ktoś wyrwie ci kompa z reki, na którym jesteś zalogowany do
banku, to po sposobie łażenia po tej stronie bankowej aplikacja jest w
stanie wykminic, że to prawdopodobnie to nie ty. Chwilowo zablokuje
dostęp, poprosi wtedy o smsa, próbkę krwi, nerkę, whatever. Ich algorytm
ma za zadanie zapalić lampeczkę, że coś jest na rzeczy, to bank decyduje
co z tą informacja zrobić dalej.

Tyle teoria.
A ja się zastanawiam czy nie będzie prosił o te potwierdzenia bo
w poniedziałek to ja będę wczorajszy, we wtorek przeziębiony
a w środę będę klepał w nerwowym pospiechu bo w pracy coś tam.

I nastąpi efekt bardzo silnego hasła wymuszanego przez firmowych
informatyków które każdy z pracowników zapisuje na blacie lub
kartce i chowa pod klawiaturą. W efekcie hasła jakby nie było.

Tu jak nastąpią takie zbędne i niepotrzebne uwierzytelniania
to ludzie lub nawet bank zrezygnują z usługi.


Pozdrawiam

Marek
Guest

Wed Oct 02, 2019 11:56 am   



On Wed, 2 Oct 2019 13:05:19 +0200, RadoslawF <user_at_domain.invalid>
wrote:
Quote:
I telefon który każdy nosi przy sobie więc może go zgubić lub
łatwo go ukraść ma być silniejsze od kodów jednorazowych?
Które u mnie zlikwidowali bo zastąpili SMSami.

No jak Twoje kody jednorazowe mają face id ewentualnie pytają o pin
przed dostępem to ja też takie chcę.
Chociaż po zastanowieniu - jednak nie, telefon wygodniejszy

--
Marek

Queequeg
Guest

Fri Oct 04, 2019 12:34 pm   



viktorius <viktorius_at_interia.pl> wrote:

Quote:
Co prawda nie chodzi o ból głowy człowieka, tylko chwilowy ból "głowy"
elektroniki:

https://www.facebook.com/tomasz.uob/posts/3588476914511378

Oj tam, sygnalizatory. Mi się udało tak "sterować" windą, w której byłem.
Odległość mniejsza, ale moc też (4 W).

Schindler.

Quote:
Nie znam się na normach, ale czy "amatorskie radio" o mocy "raptem" 50W
to jest dozwolone przepisami?

Zależy, czy masz pozwolenie radiowe lub licencję na konkretną
częstotliwość.

Ja mam w pozwoleniu wpisane 150 W. Było wydane na 10 lat, wygaśnie
w połowie 2020 r. i wtedy będę mógł dostać (jeśli nic się w międzyczasie
nie zmieniło) 500 W. Inna sprawa, że w życiu nie używałem nawet 50 W.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

Goto page Previous  1, 2, 3  Next

elektroda NewsGroups Forum Index - Elektronika Polska - Coś dla wrażliwych na fale em

NOWY TEMAT

Regulamin - Zasady uzytkowania Polityka prywatnosci Kontakt RTV map News map