Niski poziom emisji w pierwszym polskim telefonie bezpieczny wybór dla wrażliwych!

Tue Oct 01, 2019 1:53 pm   

W dniu 2019-10-01 o 14:59, RadoslawF pisze:


testów, można zapisać się do pilotażu:
https://www.mbank.pl/indywidualny/uslugi/uslugi/dodatkowa-identyfikacja/
Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
użytkowników, to wewnętrzne testy już dawno zaakceptowane.

Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam protezy
typu dodatkowy sms, z którymi bankowi złodzieje poradzili sobie w kilka dni:
https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlodzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/



--
viktorius

Tue Oct 01, 2019 2:00 pm   

W dniu 2019-10-01 o 15:53, viktorius pisze:


Nie mam kont w obu podanych bankach.
Więc spokojnie czekam na opis działanie tego w praktyce.
Ja przewiduje z tą metodą problemy ale poczekamy zobaczymy.


No ale te SMSy to wynik tej dyrektywy. :-)

Generalnie bezpieczeństwo w dużej mierze zależy od użyszkodnika.
Jak zainstalujesz pancerne drzwi z kilkoma patentowymi zamkami
a użytkownik zamków nie zamyka to czyja wina? Bo raczej nie drzwi.
Opisana w linku metoda to oszukiwanie użytkownika a nie
systemu bankowego.


Pozdrawiam

Tue Oct 01, 2019 2:58 pm   

viktorius wrote:


Polecam się zaopatrzyć w to:

https://www.yubico.com/product/yubikey-5-nfc

i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie odcinać
sobie możliwości pracy. Wszystkie serwisy poważnie podchodzące do
kwestii bezpieczeństwa pozwalają na dodanie takiego dongla.

Pozdrawiam, Piotr

Tue Oct 01, 2019 3:16 pm   

Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qmvpir$12cb$1@gioia.aioe.org...
viktorius wrote:

Tylko tak:
-nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
przelew 20zl za telefon, czy 200k na konto hackera,

-co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
podlacze ?

-ma to jakis przycisk ? Bo nie chcialbym sytuacji, gdy wsadzam do USB,
a w komputerze jakis virus przekazuje dalej i autoryzuje sto przelewow
po 999zl.

-da sie wgrac klucze do roznych systemow? Male to, ale jakbym mial do
kazdego banku jeden, to breloczek puchnie :-)

-jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
czesc autoryzacji musi zabezpieczac ...

J.

Tue Oct 01, 2019 4:30 pm   

J.F. wrote:


Przecież to jest MULTIfactor Authentication, a nie zastępnik.
Dobezpiecza, a nie zabezpiecza. A teraz skąd wiesz, co autoryzujesz?
Nic się nie zmieni.


Jak będziesz nosił kabelek USB w kieszeni, to podłączysz.


Ma. To złote pole z logo to właśnie ten przycisk.


Tam się nic nie wgrywa. To potwierdza *swoją* tożsamość jednym z kilku
wspieranych protokołów challenge-response. Nie Twoją.


Breloczkiem dobezpieczasz LastPass, a w LastPass trzymasz hasła do
innych systemów. Oraz swoje konto poczty, bo to jest dla Ciebie miejsce
krytyczne. Mając dostęp do Twojego konta e-mail mogę potwierdzać
polecenie zmiany hasła w innych systemach, więc Twoje bezpieczeństwo
jest dokładnie takie, jak Twojego e-maila. Do Gmaila i Protona ten
kluczyk się da podłączyć.


To jest właśnie literka M w MFA. Musisz mieć np. hasło *oraz* ten
kluczyk. Osobno są bezwartościowe.

Pozdrawiam, Piotr

Tue Oct 01, 2019 4:59 pm   

Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qmvuuj$1s6v$1@gioia.aioe.org...
J.F. wrote:

Teraz przychodzi SMS-sem co autoryzuje ...


Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala :-)


To musialyby sie banki zdecydowac akurat na to.
No i producent musialby zadbac, zeby tego nikt nie zlamal ...


Ale to chyba nie beda zmienne ?


No chyba, ze bank uzna poczte za zbyt niebezpieczna.
Bo w sumie czemu uznac za bezpieczna ...


Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza
ilosc hackerow ktorzy moga to zrobic ...

J.

Tue Oct 01, 2019 5:22 pm   

J.F. wrote:


I dalej będzie przychodzić. :-)


Owszem, to jest koszt znacznego podniesienia poziomu bezpieczeństwa.


Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie.
No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z
Twoich problemów. :-)


Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla
każdego portalu/serwisu. Nawet ja nie znam swoich.
Znam tylko hasło do googla i do LastPassa. Oba dobezpieczyłem kluczykiem.


Musi istnieć jakiś sposób komunikacji z klientem, choćby
celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być e-mail
-- a czemu nie, jeden pies. Tak czy inaczej ten kanał to jest Twój
główny zasób do ochrony, bo dzięki niemu rozbezpieczysz/przejmiesz
pozostałe.


I widzi babcia. :-)

Na początku musisz sobie stworzyć model zagrożenia, przed którym się
bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od tysiąca
przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa przemysłowego,
inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz HVT
(High Value Target), to nikt raczej nie będzie się bawił w atak na
Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych ataków
jest na białko. Podstawi Ci się cycatą blondynę or compatible i
podbijesz statystykę. W wersji soft pewnego słonecznego dnia znajdziesz
na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest... :-)

Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy.
Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.

Pozdrawiam, Piotr

Tue Oct 01, 2019 5:29 pm   

Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qn020i$bk4$1@gioia.aioe.org...
J.F. wrote:

No to juz trzecia autoryzacja ... wiec po co przeplacac :-)


Albo producent popelnil jakis blad i sie zlamie latwo.


Ale stale są ?
To raz ktos podejrzy/podslucha i bedzie znal.


A moze sms ?
Bo uznac e-mail za bezpieczny ... moze po dobezpieczeniu PGP...


Wszystkie :-)


Ale potem ta dzieciarnia idzie do pracy i pracuje u bogatego szefa.
Albo np w klubie fitness..

J.

Tue Oct 01, 2019 5:39 pm   

W dniu wtorek, 1 października 2019 10:19:02 UTC-5 użytkownik J.F. napisał:

Juz kiedys bylo walkowane.
MFA pomaga ale nie w przypadku phishingu.

Problemy sa przynajmniej dwa:
1. Jak wykryc ze ktos po drugiej stronie druta to klient i do tego nie za "warstwa czlowieka posrodku".
2. Jak wykryc ze to co ktos po drugiej stronie robi/widzi to to co ma zamiar zrobic/zobaczyc.

IMHO, na dzis bez bardzo zaufanej infrastruktury po stronie klienta nie da sie tego ogarnac.
Bo jak widac z arta, cale 4 dni zajelo dorobienie odpowiedniego phishingu wraz z infrastruktura dla "man in the middle".

Uzywane telefonow z ich przywalonymi przegladarkami (gdzie czasem nie widac szczegolow certyfikatu) temu nie pomaga.
Zreszta nawet w chrome te informacje zostaly niedawno poukrywane i nawet mnie zajelo sporo klikania zeby sprawdzic czy numer seryjny certyfikatu serwera sie zgadza.

O fakcie ze zeby znalezc informacje o certyfikacie uzytym dzis przez dany bank to sie trzeba nacertolic nawet jak sie ma inne urzadzenie ktore zakladamy ze nie jest shackowane juz nie wspominam.

Krajobraz tutaj jest kiepski i to mimo a czasem dzieki wysilkom duzych.

Tue Oct 01, 2019 6:14 pm   

On Tue, 1 Oct 2019 14:59:44 +0200, RadoslawF <user@domain.invalid>
wrote:

Amerykański oddział Polskiej spółki. Taki jest wymóg Kickstartera.

--
Marek

Tue Oct 01, 2019 6:19 pm   

J.F. wrote:


W tym przypadku masz rację. SMS to też dobra realizacja MFA.


Nawet jeśli, to bez fizycznego dostępu do klucza nie poszalejesz.


Zawsze są stałe. Czynnik zmienny wprowadza SMS albo inny token lub
klucz. Nie wszystkie moje zasoby są równocenne, a wszystkich haseł nie
podsłuchasz.


Te cenniejsze portale przesyłają kod jednorazowy SMS.


Niemniej tak się na świecie utarło, co zrobisz. W praktyce całość się
sprowadza do tego, by się głupio nie podłożyć. Uciekanie przed
niedźwiedziem nie polega na tym, by być najszybszym biegaczem w grupie.
Wystarczy nie być najwolniejszym.


No to Ty niezły kozak jesteś.


Err.. Chewbacca defense?

Pozdrawiam, Piotr

Wed Oct 02, 2019 7:26 am   

W dniu 2019-10-01 o 16:00, RadoslawF pisze:

Ja mam mBank, zapisałem się na testy tylko jak odkryłem, że Chrobi macza
w tym palce. Pracowałem z nim dawno temu, jeśli nadal ma taki łeb jak
kiedyś, to ma to szanse działać dobrze. Może agituję, bo znam gościa,
ale jego pomysł z wyeliminowaniem białka w procesie bezpieczeństwa jest
całkiem do rzeczy.


Nie, PSD2 wymusza, żeby uwierzytelnienie było "silne", czyli co najmniej
2 niezależne sposoby uwierzytelniania. Po taniości większość banków
dorzuciła do loginu/hasła wymóg podania treści smsa. Dyrektywę spełnili,
UE się nie doczepi, a jak widać powyżej, 4 dni i po "silnym" zabezpieczeniu.


Masz racje, ale własnie o to chodzi, żeby zabezpieczyć ogół
użytkowników, który zwykle nie zamyka pancernych drzwi, bo nie jest
dobry tak w bezpieczeństwie jak Piotr Wyderski, który zaopatrzył się w
youbikey.

Sposób wymyślony przez Digital Fingerprints eliminuje białko, czyli
słabości ludzkie.
Nawet jak ktoś wyrwie ci kompa z reki, na którym jesteś zalogowany do
banku, to po sposobie łażenia po tej stronie bankowej aplikacja jest w
stanie wykminic, że to prawdopodobnie to nie ty. Chwilowo zablokuje
dostęp, poprosi wtedy o smsa, próbkę krwi, nerkę, whatever. Ich algorytm
ma za zadanie zapalić lampeczkę, że coś jest na rzeczy, to bank decyduje
co z tą informacja zrobić dalej.

--
viktorius

Wed Oct 02, 2019 11:05 am   

W dniu 2019-10-02 o 09:26, viktorius pisze:


Jeśli zadziała tak jak opisują. Z doświadczenia wiem że przeważnie
działa troszeczkę inaczej. Dlatego dalej twierdzę że trzeba poczekać
na kogoś kto tego poużywa kilka miesięcy.


I telefon który każdy nosi przy sobie więc może go zgubić lub
łatwo go ukraść ma być silniejsze od kodów jednorazowych?
Które u mnie zlikwidowali bo zastąpili SMSami.


Tyle teoria.
A ja się zastanawiam czy nie będzie prosił o te potwierdzenia bo
w poniedziałek to ja będę wczorajszy, we wtorek przeziębiony
a w środę będę klepał w nerwowym pospiechu bo w pracy coś tam.

I nastąpi efekt bardzo silnego hasła wymuszanego przez firmowych
informatyków które każdy z pracowników zapisuje na blacie lub
kartce i chowa pod klawiaturą. W efekcie hasła jakby nie było.

Tu jak nastąpią takie zbędne i niepotrzebne uwierzytelniania
to ludzie lub nawet bank zrezygnują z usługi.


Pozdrawiam

Wed Oct 02, 2019 11:56 am   

On Wed, 2 Oct 2019 13:05:19 +0200, RadoslawF <user@domain.invalid>
wrote:

No jak Twoje kody jednorazowe mają face id ewentualnie pytają o pin
przed dostępem to ja też takie chcę.
Chociaż po zastanowieniu - jednak nie, telefon wygodniejszy

--
Marek

Fri Oct 04, 2019 12:34 pm   

viktorius <viktorius@interia.pl> wrote:


Oj tam, sygnalizatory. Mi się udało tak "sterować" windą, w której byłem.
Odległość mniejsza, ale moc też (4 W).

Schindler.


Zależy, czy masz pozwolenie radiowe lub licencję na konkretną
częstotliwość.

Ja mam w pozwoleniu wpisane 150 W. Było wydane na 10 lat, wygaśnie
w połowie 2020 r. i wtedy będę mógł dostać (jeśli nic się w międzyczasie
nie zmieniło) 500 W. Inna sprawa, że w życiu nie używałem nawet 50 W.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0