Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Yampress napisał(-a):
A słyszał o klonowaniu karty SIM?
https://www.telepolis.pl/wiadomosci/bezpieczenstwo/ … ci-ostrzegaja
Słyszałem. Jak mi artykuł zalinkowałeś to pomyślałem, że jednak jest jakieś bardziej "hakerskie" podejście do tematu. Wszedłem w link, a tam:
SIM swapping ma miejsce, gdy cyberprzestępca uzyska duplikat karty SIM. W tym celu potrzebuje najpierw dostępu do naszych danych (takich jak numer dowodu, numer telefonu oraz imię i nazwisko), które może uzyskać za pomocą technik phishingowych lub socjotechniki.
W kolejnym kroku złoczyńca kontaktuje się z operatorem komórkowym i dzięki zdobytym danym, podszywa się pod właściciela karty SIM – przez telefon, internet, a nawet odwiedzając fizyczny punkt obsługi klienta.
No super metoda kradzieży karty XD tzn no każdemu może się to zdarzyć ale no jednak nie zmienia to faktu że i tak trzeba patrzeć co i gdzie się wpisuje XD
zl23 napisał(-a):
Pavlo950 napisał(-a):
Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku...
Pablo950 – przeczytaj ty może ten wątek od początku, zanim zaczniesz udzielać takich wzniosłych porad.
Przeczytałem. Weryfikacji płatności kartą były sztuk dwie, przynajmniej jak ostatnim razem patrzyłem (i zmieniałem). I chyba były dwa różne scenariusze przewidziane, w sensie płatność kartą i przelewem (nie przez ipko tylko np taki autopay z wtyczką / odnośnikiem ipko) i dla tych dwóch było można ustawić weryfikację zdrapką lub smsem a pytanie czy nie dołożyli właśnie weryfikacji kluczem. Zamiast marudzić o czytaniu wątków, to mógłbyś @zl23 sprawdzić, bo ja bez klucza nie sprawdzę XD
Offline
@Pavlo950
Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.
Zwróć uwagę, że "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.
Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.
Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).
To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.
Teraz sobie wyobraź, że tak dobrze zabezpieczyłeś konto.
Wchodzisz do sklepu, wybierasz płatność PayU.
A dlaczego by nie – wszak chroni mnie klucz!
Robisz klik, wpisujesz login, hasło, autoryzujesz transakcję kodem jednorazowym (z zdrapki lub sms) robisz klik, zaczynasz otwierać szufladę gdzie schowałeś klucz U2F, ale klucz okazuje się niepotrzebny – forsa już popłynęła.
To gdzie był ten lew?
Takie mniej więcej zapytanie napisałem w reklamacji do banku (@Yampress: dziękuję za motywację).
Reklamację wysłałem wieczorem w niedzielę (17.11).
Otrzymałem potwierdzenie wraz z numerem.
Dzisiaj jest wtorek i ... cicho sza, odpowiedzi brak.
Wniosek:
albo napisałem głupotę nie wartą odpowiedzi
albo dałem im zagwozdkę, że nie mogą się pozbierać.
Tego niestety nie wiem.
Na koniec pozwolę sobie na mały cytat z knurowskiego banku:
https://u2f.okbank.pl/
Klucz U2F to praktyczne i proste w użyciu urządzenie (wygląda jak zwykły Pendrive USB), które zabezpiecza Twoje konto bankowe i dane osobiste, sprawiając, że logowanie jest bezpieczne jak nigdy dotąd. Działa poprzez potwierdzanie Twojej tożsamości za pomocą dodatkowego, fizycznego klucza, który po prostu podłączasz do swojego komputera, dodając warstwę ochrony przed włamaniami i kradzieżą danych.
Zwróć uwagę na słowa: "które zabezpiecza Twoje konto bankowe" i "dodając warstwę ochrony".
Pozdrawiam
Offline
Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?
Ja mam teraz ciekawy problem bo probuje mój główny desktop - na FreeBSD zmusić do pracy z kluczem. A tutaj już nie jest tak słodko i prosto jak pod Debianem czy na windows
---------------------------------------------------------
Klucz jest do autoryzacji logowania do konta, nie jest do autoryzacji przelewów
Karta zdrapka, SMS, aplikacja jest do autoryzacji przelewów
Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy
@zl23 trzeba im było jeszcze wysłać link do tej rozmowy.
Mi odpowiedź przysłali po kilku dniach. Najpierw dział bezpieczeństwa i informatyki musi przeanalizować sprawę/problem. Potem dział obsługi klienta musi odpisać . No i oczywiście będziesz mógł się odwołać do pewnych instytucji... A z korporacja nie wygrasz . Ale wskazesz błąd, który jest luka bezpieczeństwa w ich systemie. Nie wiadomo czy sobie w ogóle zdają sprawę o takiej możliwości .Teraz napisałeś to już zauważa problem. I pewnie naprawia wkrótce. Wiesz pewnie brak ludzi do testowania, więc sami użytkownicy im przetestują działanie i zgłoszą błędy. A oni naprawia te błędy, a potem wystartują z głośnym marketingiem o super usłudze. Zawsze najgorzej jest na początku kiedy coś wprowadzają i potrzeba testów. Dlatego po jakimś czasie od wpuszczenia na świat usługa stają się dopracowana. Więc użytkownik za darmo przetestuje. Wykryje błędy i zgłosi, a oni naprawia. Wszystko co nowe nigdy nie jest do końca dobrze przetestowane i wprowadzone do środowiska produkcyjnego jako stabilna usługa
]:>
Offline
zl23 napisał(-a):
@Pavlo950
Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.
Zwróć uwagę, że "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.
Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.
Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).
To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.
Dobra, spasuję, bo masz rację XD wydawało mi się że cała akcja jest na tyle przemyślana że zabezpieczą jednocześnie płatności internetowe. W takim razie zastosowanie kluczy dla mnie jest na tą chwilę bez sensu.
Yampress napisał(-a):
Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy
No oczywiście że tak.
Yampress napisał(-a):
Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?
A co w przypadku jak Ci ktoś dane karty podejrzy na monitoringu w markecie? Bo przecież może zaistnieć sytuacja, że ktoś się włamie do sieci sklepu, wejdzie w monitoring i o ile mają dobre kamery to podejrzy sobie dane kart z obydwu stron XD
Offline
Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.
Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD
Ostatnio edytowany przez Jacekalex (2024-11-19 14:50:53)
Offline
Jacekalex napisał(-a):
Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.
Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD
Ale do banku i tak musisz podać login, potem hasło, a potem prosi o klucza, jesli go nie masz, a go powiazałes z kontem to dalej Cie nie puśći... Dalej to juz jest PIN który założyłś sobie na tym kluczu. Także jesli ktos zna login i hasło , a nie ma klucza i nie zna pinu nie dostanie sie do banku... A jak juz to przejdziesz to dalej znowu pyta czy dodać przegladarke z której sie logujesz do znanych urzadzeń (wiec kolejny krok zabezpieczenia) bo jesli nie masz dodanej przegladarki musisz potwierdzic zdrapka/sms/aplikacja w telefonie. No i teraz jestes na koncie. I aby zrobic przelew musisz podac zdrapke/sms/potwierdzic w aplikacji.
Minusem takiego klucza jest, że go możesz zgubić.. dzwonisz wtedy do banku aby zgubiony odpieli, kupujesz nowy za ~250 zl podpinasz nowy i wszyscy zadowoleni.
"dziwny jest ten swiat"
https://gist.github.com/daemonhorn/bdd77a7bc0ff5842e5a31d999b96e1f1
]:>
Offline
14.11.2024 PeKaO SA wprowadziło używanie klucza sprzętowego.
https://www.pekao.com.pl/o-banku/aktualnosci/38eaae … zetowego.html
Ich instrukcja, skrócie, w porównaniu do PKOBP.
1.
Nie narzucają producenta klucza tak jak PKOBP.
2.
Piszą wyraźnie o PIN:
Niektóre klucze zabezpieczone są dodatkowo PIN-em, który należy ustawić podczas pierwszego użycia.
3.
W pytaniach
https://www.pekao.com.pl/klient-indywidualny/bankow … adnikowe.html
Zalecamy posiadanie i sparowanie więcej niż jednego klucza na wypadek utraty lub uszkodzenia jednego z nich.
Ad. 1.
W pytaniach piszą m.in.
Klucz możesz zakupić w większości sklepów ze sprzętem elektronicznym. Znajdziesz je łatwo po wpisaniu w wyszukiwarkę hasła „klucz sprzętowy”.
Czyli byle gdzie.
Babuleńka albo Julka ma iść i "se kupić klucz"
Moim zdaniem taki sygnał wysłany do osób mających mgliste pojęcie o tych tematach nie jest najlepszym pomysłem.
Mogli polecić kilka firm i zwrócić uwagę, aby klucz kupić u autoryzowanych sprzedawców wyszczególnionych na stronie producenta.
PKOBP wybrał firmę (Yubico), podał w tabeli różne wersji tych kluczy, ale zapomniał napisać o zakupie u autoryzowanego sprzedawcy.
Ad. 2
PKOBP zapomniało napisać o ustawienia PIN-u na kluczu.
Ad. 3
W PKOBP nie ma możliwości sparowania więcej niż jednego klucza
Pozdrawiam.
Offline
Wygląda jak reklama banku z logiem żubra...
A tak w ogóle u nas w kraju zaczyna takie rozwiązanie dopiero startować i uważam, że z czasem i pod wpływem konkurencji możliwości jeszcze się rozwiną. Tu bardziej chodziło o to aby pokazać, że jest się jednym z pierwszych posiadając już takie rozwiazanie... żeby zdążyć przed konkurencją. Wszakże rozwiązanie takie zwiększa bezpieczeństwo naszego konta i bardzo utrudnia dostęp do niego osobom obcym.
"OTAKE Polskę walczyłem"
=8[]
Ps. Babuleńka to idzie do oddziału banku do okienka z dowodem i wyciąga pieniądze osobiście. Reszta opanowała płacenie i operowanie karta bankomatową...
Istnieje jeszcze listonosz, który przynosi emeryturę i daje pieniądze do reki emerytowi, a Babuleńka chowa ja do skarpetki albo do skrytki w domu bez cyfrowych zabezpieczeń. I tak też da się żyć.
Offline
Hurra!
Dzisiaj (26.11) dostałem odpowiedź z PKOBP na moje zapytanie (reklamację) wysłaną 17.11.
Treść mojego zapytania:
Klucz Yubikey podpięty do konta.
Płatność w sklepie internetowym za pomocą PayU nie wymaga klucza Yubikey, pieniądze są przelewane po podaniu kodu jednorazowego z tzw. zdrapki.
Czy to jest prawidłowe?
Odpowiedź banku PKOBP:
Szanowny Panie,
potwierdzamy, że do płatności typu Płacę z iPKO lub dokonywanych w ramach usług otwartej bankowości,
nie wykorzystujemy kluczy bezpieczeństwa.
Nie wykluczamy wprowadzenia w tym zakresie zmian ale obecnie nie mamy możliwości wskazania terminu
ewentualnego ich wdrożenia.
Jeśli nie zgadza się Pan z naszym stanowiskiem, może Pan wnieść ... [i dalej dużo pisaniny co to nie mogę zrobić].
Jak to ładnie napisali:
w ramach usług otwartej bankowości,
nie wykorzystujemy kluczy bezpieczeństwa
To po jakiego groma je wprowadzali?
W swoich reklamach piszą: "Niezawodna ochrona", "Pewność logowania".
Także piszą w tych reklamach: "Klucz ochroni Cię nawet, gdy oszust pozna Twój login i hasło"
Ale fakt, nie dopisali "oraz kodu ze zdrapki".
Wniosek:
najlepszym zabezpieczeniem konta jest więc stara, dobra zdrapka.
Ciekawe, czy w innych bankach, które stosują klucze (ING, PeKaO SA, OK Knurów i być może inne), podczas transakcji za pomocą tzw. "usług otwartej bankowości" (myślę, że to chodzi np. o PayU) też nie stosują klucza U2F. A może stosują?
Może ktoś podzieli się taką informacją?
Pozdrawiam.
Offline