Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2024-11-18 22:04:02

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

Yampress napisał(-a):

A słyszał o klonowaniu karty SIM?

https://www.telepolis.pl/wiadomosci/bezpieczenstwo/ … ci-ostrzegaja

Słyszałem. Jak mi artykuł zalinkowałeś to pomyślałem, że jednak jest jakieś bardziej "hakerskie" podejście do tematu. Wszedłem w link, a tam:

SIM swapping ma miejsce, gdy cyberprzestępca uzyska duplikat karty SIM. W tym celu potrzebuje najpierw dostępu do naszych danych (takich jak numer dowodu, numer telefonu oraz imię i nazwisko), które może uzyskać za pomocą technik phishingowych lub socjotechniki.

W kolejnym kroku złoczyńca kontaktuje się z operatorem komórkowym i dzięki zdobytym danym, podszywa się pod właściciela karty SIM – przez telefon, internet, a nawet odwiedzając fizyczny punkt obsługi klienta.

No super metoda kradzieży karty XD tzn no każdemu może się to zdarzyć ale no jednak nie zmienia to faktu że i tak trzeba patrzeć co i gdzie się wpisuje XD

zl23 napisał(-a):

Pavlo950 napisał(-a):

Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku...

Pablo950  – przeczytaj ty może ten wątek od początku, zanim zaczniesz udzielać takich wzniosłych porad.

Przeczytałem. Weryfikacji płatności kartą były sztuk dwie, przynajmniej jak ostatnim razem patrzyłem (i zmieniałem). I chyba były dwa różne scenariusze przewidziane, w sensie płatność kartą i przelewem (nie przez ipko tylko np taki autopay z wtyczką / odnośnikiem ipko) i dla tych dwóch było można ustawić weryfikację zdrapką lub smsem a pytanie czy nie dołożyli właśnie weryfikacji kluczem. Zamiast marudzić o czytaniu wątków, to mógłbyś @zl23 sprawdzić, bo ja bez klucza nie sprawdzę XD

Offline

 

#27  Wczoraj 08:41:23

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Pavlo950

Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.

Zwróć uwagę, że  "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.

Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.

Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).

To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.

Teraz sobie wyobraź, że tak dobrze zabezpieczyłeś konto.
Wchodzisz do sklepu, wybierasz płatność PayU.
A dlaczego by nie – wszak chroni mnie klucz!
Robisz klik, wpisujesz login, hasło, autoryzujesz transakcję kodem jednorazowym (z zdrapki lub sms) robisz klik, zaczynasz otwierać szufladę gdzie schowałeś klucz U2F, ale klucz okazuje się niepotrzebny – forsa już popłynęła.
To gdzie był ten lew?

Takie mniej więcej zapytanie napisałem w reklamacji do banku (@Yampress: dziękuję za motywację).
Reklamację wysłałem wieczorem w niedzielę (17.11).
Otrzymałem potwierdzenie wraz z numerem.
Dzisiaj jest wtorek i ... cicho sza, odpowiedzi brak.
Wniosek:
albo napisałem głupotę nie wartą odpowiedzi
albo dałem im zagwozdkę, że nie mogą się pozbierać.
Tego niestety nie wiem.

Na koniec pozwolę sobie na mały cytat z knurowskiego banku:
https://u2f.okbank.pl/

Klucz U2F to praktyczne i proste w użyciu urządzenie (wygląda jak zwykły Pendrive USB), które zabezpiecza Twoje konto bankowe i dane osobiste, sprawiając, że logowanie jest bezpieczne jak nigdy dotąd. Działa poprzez potwierdzanie Twojej tożsamości za pomocą dodatkowego, fizycznego klucza, który po prostu podłączasz do swojego komputera, dodając warstwę ochrony przed włamaniami i kradzieżą danych.

Zwróć uwagę na słowa: "które zabezpiecza Twoje konto bankowe" i "dodając warstwę ochrony".

Pozdrawiam

Offline

 

#28  Wczoraj 12:21:28

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?

Ja mam teraz ciekawy problem bo probuje mój główny desktop - na FreeBSD zmusić do pracy z kluczem. A tutaj już nie jest tak słodko i prosto  jak pod Debianem czy na windows

---------------------------------------------------------

Klucz jest do autoryzacji logowania do konta, nie jest do autoryzacji przelewów

Karta zdrapka, SMS, aplikacja jest do autoryzacji przelewów

Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy


@zl23 trzeba im było jeszcze wysłać link do tej rozmowy.
Mi odpowiedź przysłali po kilku dniach. Najpierw dział bezpieczeństwa i informatyki musi przeanalizować sprawę/problem. Potem dział obsługi klienta musi odpisać . No i oczywiście będziesz mógł się odwołać do pewnych instytucji... A z korporacja nie wygrasz . Ale wskazesz błąd, który jest luka bezpieczeństwa w ich systemie. Nie wiadomo czy sobie w ogóle zdają sprawę o takiej możliwości .Teraz napisałeś to już zauważa problem. I pewnie naprawia wkrótce. Wiesz pewnie brak ludzi do testowania, więc sami użytkownicy im przetestują działanie i zgłoszą błędy. A oni naprawia te błędy,  a potem wystartują z głośnym marketingiem o super usłudze. Zawsze najgorzej jest na początku kiedy coś wprowadzają i potrzeba testów. Dlatego po jakimś czasie od wpuszczenia na świat usługa stają się dopracowana. Więc użytkownik za darmo przetestuje. Wykryje błędy i zgłosi, a oni naprawia. Wszystko co nowe nigdy nie jest do końca dobrze przetestowane i wprowadzone do środowiska produkcyjnego jako stabilna usługa
]:>

Offline

 

#29  Wczoraj 14:34:38

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

zl23 napisał(-a):

@Pavlo950

Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.

Zwróć uwagę, że  "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.

Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.

Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).

To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.

Dobra, spasuję, bo masz rację XD wydawało mi się że cała akcja jest na tyle przemyślana że zabezpieczą jednocześnie płatności internetowe. W takim razie zastosowanie kluczy dla mnie jest na tą chwilę bez sensu.

Yampress napisał(-a):

Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy

No oczywiście że tak.

Yampress napisał(-a):

Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?

A co w przypadku jak Ci ktoś dane karty podejrzy na monitoringu w markecie? Bo przecież może zaistnieć sytuacja, że ktoś się włamie do sieci sklepu, wejdzie w monitoring i o ile mają dobre kamery to podejrzy sobie dane kart z obydwu stron XD

Offline

 

#30  Wczoraj 14:50:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Yubikey 5, Debian, PKOBP – klapa

Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.

Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD

Ostatnio edytowany przez Jacekalex (Wczoraj 14:50:53)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#31  Wczoraj 17:40:38

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Jacekalex napisał(-a):

Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.

Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD

Ale do banku i tak musisz podać login, potem hasło, a potem prosi o klucza, jesli go nie masz, a go powiazałes z kontem to dalej Cie nie puśći... Dalej to juz jest PIN który założyłś sobie na tym kluczu. Także jesli ktos zna login i hasło , a nie ma klucza i nie zna pinu nie dostanie sie do banku... A  jak juz to przejdziesz to dalej znowu pyta  czy dodać przegladarke z której sie logujesz do znanych urzadzeń (wiec kolejny krok zabezpieczenia) bo jesli nie masz dodanej przegladarki musisz  potwierdzic zdrapka/sms/aplikacja w telefonie. No i teraz jestes na koncie. I aby zrobic przelew musisz podac zdrapke/sms/potwierdzic w aplikacji.

Minusem takiego klucza jest, że go możesz zgubić.. dzwonisz wtedy do banku aby zgubiony odpieli, kupujesz nowy za ~250 zl  podpinasz nowy i wszyscy zadowoleni.


"dziwny jest ten swiat"
https://gist.github.com/daemonhorn/bdd77a7bc0ff5842e5a31d999b96e1f1
]:>

Offline

 

#32  Wczoraj 17:44:27

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

14.11.2024 PeKaO SA wprowadziło używanie klucza sprzętowego.
https://www.pekao.com.pl/o-banku/aktualnosci/38eaae … zetowego.html

Ich instrukcja, skrócie, w porównaniu do PKOBP.
1.
Nie narzucają producenta klucza tak jak PKOBP.
2.
Piszą wyraźnie o PIN:

Niektóre klucze zabezpieczone są dodatkowo PIN-em, który należy ustawić podczas pierwszego użycia.

3.
W pytaniach
https://www.pekao.com.pl/klient-indywidualny/bankow … adnikowe.html

Zalecamy posiadanie i sparowanie więcej niż jednego klucza na wypadek utraty lub uszkodzenia jednego z nich.

Ad. 1.
W pytaniach piszą m.in.

Klucz możesz zakupić w większości sklepów ze sprzętem elektronicznym. Znajdziesz je łatwo po wpisaniu w wyszukiwarkę  hasła „klucz sprzętowy”.

Czyli byle gdzie.
Babuleńka albo Julka ma iść i "se kupić klucz"
Moim zdaniem taki sygnał wysłany do osób mających mgliste pojęcie o tych tematach nie jest najlepszym pomysłem.
Mogli polecić kilka firm i zwrócić uwagę, aby klucz kupić u autoryzowanych sprzedawców wyszczególnionych na stronie producenta.
PKOBP wybrał firmę (Yubico), podał w tabeli różne wersji tych kluczy, ale zapomniał napisać o zakupie u autoryzowanego sprzedawcy.
Ad. 2
PKOBP zapomniało napisać o ustawienia PIN-u na kluczu.
Ad. 3
W PKOBP nie ma możliwości sparowania więcej niż jednego klucza

Pozdrawiam.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)