Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2024-11-18 22:04:02

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

Yampress napisał(-a):

A słyszał o klonowaniu karty SIM?

https://www.telepolis.pl/wiadomosci/bezpieczenstwo/ … ci-ostrzegaja

Słyszałem. Jak mi artykuł zalinkowałeś to pomyślałem, że jednak jest jakieś bardziej "hakerskie" podejście do tematu. Wszedłem w link, a tam:

SIM swapping ma miejsce, gdy cyberprzestępca uzyska duplikat karty SIM. W tym celu potrzebuje najpierw dostępu do naszych danych (takich jak numer dowodu, numer telefonu oraz imię i nazwisko), które może uzyskać za pomocą technik phishingowych lub socjotechniki.

W kolejnym kroku złoczyńca kontaktuje się z operatorem komórkowym i dzięki zdobytym danym, podszywa się pod właściciela karty SIM – przez telefon, internet, a nawet odwiedzając fizyczny punkt obsługi klienta.

No super metoda kradzieży karty XD tzn no każdemu może się to zdarzyć ale no jednak nie zmienia to faktu że i tak trzeba patrzeć co i gdzie się wpisuje XD

zl23 napisał(-a):

Pavlo950 napisał(-a):

Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku...

Pablo950  – przeczytaj ty może ten wątek od początku, zanim zaczniesz udzielać takich wzniosłych porad.

Przeczytałem. Weryfikacji płatności kartą były sztuk dwie, przynajmniej jak ostatnim razem patrzyłem (i zmieniałem). I chyba były dwa różne scenariusze przewidziane, w sensie płatność kartą i przelewem (nie przez ipko tylko np taki autopay z wtyczką / odnośnikiem ipko) i dla tych dwóch było można ustawić weryfikację zdrapką lub smsem a pytanie czy nie dołożyli właśnie weryfikacji kluczem. Zamiast marudzić o czytaniu wątków, to mógłbyś @zl23 sprawdzić, bo ja bez klucza nie sprawdzę XD

Offline

 

#27  2024-11-19 08:41:23

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

@Pavlo950

Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.

Zwróć uwagę, że  "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.

Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.

Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).

To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.

Teraz sobie wyobraź, że tak dobrze zabezpieczyłeś konto.
Wchodzisz do sklepu, wybierasz płatność PayU.
A dlaczego by nie – wszak chroni mnie klucz!
Robisz klik, wpisujesz login, hasło, autoryzujesz transakcję kodem jednorazowym (z zdrapki lub sms) robisz klik, zaczynasz otwierać szufladę gdzie schowałeś klucz U2F, ale klucz okazuje się niepotrzebny – forsa już popłynęła.
To gdzie był ten lew?

Takie mniej więcej zapytanie napisałem w reklamacji do banku (@Yampress: dziękuję za motywację).
Reklamację wysłałem wieczorem w niedzielę (17.11).
Otrzymałem potwierdzenie wraz z numerem.
Dzisiaj jest wtorek i ... cicho sza, odpowiedzi brak.
Wniosek:
albo napisałem głupotę nie wartą odpowiedzi
albo dałem im zagwozdkę, że nie mogą się pozbierać.
Tego niestety nie wiem.

Na koniec pozwolę sobie na mały cytat z knurowskiego banku:
https://u2f.okbank.pl/

Klucz U2F to praktyczne i proste w użyciu urządzenie (wygląda jak zwykły Pendrive USB), które zabezpiecza Twoje konto bankowe i dane osobiste, sprawiając, że logowanie jest bezpieczne jak nigdy dotąd. Działa poprzez potwierdzanie Twojej tożsamości za pomocą dodatkowego, fizycznego klucza, który po prostu podłączasz do swojego komputera, dodając warstwę ochrony przed włamaniami i kradzieżą danych.

Zwróć uwagę na słowa: "które zabezpiecza Twoje konto bankowe" i "dodając warstwę ochrony".

Pozdrawiam

Offline

 

#28  2024-11-19 12:21:28

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?

Ja mam teraz ciekawy problem bo probuje mój główny desktop - na FreeBSD zmusić do pracy z kluczem. A tutaj już nie jest tak słodko i prosto  jak pod Debianem czy na windows

---------------------------------------------------------

Klucz jest do autoryzacji logowania do konta, nie jest do autoryzacji przelewów

Karta zdrapka, SMS, aplikacja jest do autoryzacji przelewów

Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy


@zl23 trzeba im było jeszcze wysłać link do tej rozmowy.
Mi odpowiedź przysłali po kilku dniach. Najpierw dział bezpieczeństwa i informatyki musi przeanalizować sprawę/problem. Potem dział obsługi klienta musi odpisać . No i oczywiście będziesz mógł się odwołać do pewnych instytucji... A z korporacja nie wygrasz . Ale wskazesz błąd, który jest luka bezpieczeństwa w ich systemie. Nie wiadomo czy sobie w ogóle zdają sprawę o takiej możliwości .Teraz napisałeś to już zauważa problem. I pewnie naprawia wkrótce. Wiesz pewnie brak ludzi do testowania, więc sami użytkownicy im przetestują działanie i zgłoszą błędy. A oni naprawia te błędy,  a potem wystartują z głośnym marketingiem o super usłudze. Zawsze najgorzej jest na początku kiedy coś wprowadzają i potrzeba testów. Dlatego po jakimś czasie od wpuszczenia na świat usługa stają się dopracowana. Więc użytkownik za darmo przetestuje. Wykryje błędy i zgłosi, a oni naprawia. Wszystko co nowe nigdy nie jest do końca dobrze przetestowane i wprowadzone do środowiska produkcyjnego jako stabilna usługa
]:>

Offline

 

#29  2024-11-19 14:34:38

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

zl23 napisał(-a):

@Pavlo950

Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.

Zwróć uwagę, że  "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.

Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.

Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).

To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.

Dobra, spasuję, bo masz rację XD wydawało mi się że cała akcja jest na tyle przemyślana że zabezpieczą jednocześnie płatności internetowe. W takim razie zastosowanie kluczy dla mnie jest na tą chwilę bez sensu.

Yampress napisał(-a):

Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy

No oczywiście że tak.

Yampress napisał(-a):

Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?

A co w przypadku jak Ci ktoś dane karty podejrzy na monitoringu w markecie? Bo przecież może zaistnieć sytuacja, że ktoś się włamie do sieci sklepu, wejdzie w monitoring i o ile mają dobre kamery to podejrzy sobie dane kart z obydwu stron XD

Offline

 

#30  2024-11-19 14:50:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Yubikey 5, Debian, PKOBP – klapa

Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.

Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD

Ostatnio edytowany przez Jacekalex (2024-11-19 14:50:53)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#31  2024-11-19 17:40:38

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Jacekalex napisał(-a):

Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.

Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD

Ale do banku i tak musisz podać login, potem hasło, a potem prosi o klucza, jesli go nie masz, a go powiazałes z kontem to dalej Cie nie puśći... Dalej to juz jest PIN który założyłś sobie na tym kluczu. Także jesli ktos zna login i hasło , a nie ma klucza i nie zna pinu nie dostanie sie do banku... A  jak juz to przejdziesz to dalej znowu pyta  czy dodać przegladarke z której sie logujesz do znanych urzadzeń (wiec kolejny krok zabezpieczenia) bo jesli nie masz dodanej przegladarki musisz  potwierdzic zdrapka/sms/aplikacja w telefonie. No i teraz jestes na koncie. I aby zrobic przelew musisz podac zdrapke/sms/potwierdzic w aplikacji.

Minusem takiego klucza jest, że go możesz zgubić.. dzwonisz wtedy do banku aby zgubiony odpieli, kupujesz nowy za ~250 zl  podpinasz nowy i wszyscy zadowoleni.


"dziwny jest ten swiat"
https://gist.github.com/daemonhorn/bdd77a7bc0ff5842e5a31d999b96e1f1
]:>

Offline

 

#32  2024-11-19 17:44:27

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

14.11.2024 PeKaO SA wprowadziło używanie klucza sprzętowego.
https://www.pekao.com.pl/o-banku/aktualnosci/38eaae … zetowego.html

Ich instrukcja, skrócie, w porównaniu do PKOBP.
1.
Nie narzucają producenta klucza tak jak PKOBP.
2.
Piszą wyraźnie o PIN:

Niektóre klucze zabezpieczone są dodatkowo PIN-em, który należy ustawić podczas pierwszego użycia.

3.
W pytaniach
https://www.pekao.com.pl/klient-indywidualny/bankow … adnikowe.html

Zalecamy posiadanie i sparowanie więcej niż jednego klucza na wypadek utraty lub uszkodzenia jednego z nich.

Ad. 1.
W pytaniach piszą m.in.

Klucz możesz zakupić w większości sklepów ze sprzętem elektronicznym. Znajdziesz je łatwo po wpisaniu w wyszukiwarkę  hasła „klucz sprzętowy”.

Czyli byle gdzie.
Babuleńka albo Julka ma iść i "se kupić klucz"
Moim zdaniem taki sygnał wysłany do osób mających mgliste pojęcie o tych tematach nie jest najlepszym pomysłem.
Mogli polecić kilka firm i zwrócić uwagę, aby klucz kupić u autoryzowanych sprzedawców wyszczególnionych na stronie producenta.
PKOBP wybrał firmę (Yubico), podał w tabeli różne wersji tych kluczy, ale zapomniał napisać o zakupie u autoryzowanego sprzedawcy.
Ad. 2
PKOBP zapomniało napisać o ustawienia PIN-u na kluczu.
Ad. 3
W PKOBP nie ma możliwości sparowania więcej niż jednego klucza

Pozdrawiam.

Offline

 

#33  2024-11-21 11:11:17

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

Wygląda jak reklama banku z logiem żubra...

A tak w ogóle u nas w kraju zaczyna takie rozwiązanie dopiero startować i uważam, że z czasem i pod wpływem konkurencji możliwości jeszcze się rozwiną. Tu bardziej chodziło o to aby pokazać, że jest się jednym z pierwszych posiadając już takie rozwiazanie... żeby zdążyć przed konkurencją. Wszakże  rozwiązanie takie zwiększa  bezpieczeństwo naszego konta i bardzo utrudnia dostęp do niego osobom obcym.

"OTAKE Polskę walczyłem"
=8[]

Ps. Babuleńka to idzie do oddziału banku do okienka z dowodem i wyciąga pieniądze osobiście. Reszta opanowała płacenie i operowanie karta bankomatową...
Istnieje jeszcze listonosz, który przynosi emeryturę i daje  pieniądze do reki emerytowi, a Babuleńka chowa ja do skarpetki albo do skrytki w domu bez cyfrowych zabezpieczeń. I tak też da się żyć.

Offline

 

#34  Dzisiaj 13:52:54

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Yubikey 5, Debian, PKOBP – klapa

Hurra!
Dzisiaj (26.11) dostałem odpowiedź z PKOBP na moje zapytanie (reklamację) wysłaną 17.11.
Treść mojego zapytania:

Klucz Yubikey podpięty do konta.
Płatność w sklepie internetowym za pomocą PayU nie wymaga klucza Yubikey, pieniądze są przelewane po podaniu kodu jednorazowego z tzw. zdrapki.
Czy to jest prawidłowe?

Odpowiedź banku PKOBP:

Szanowny Panie,
potwierdzamy, że do płatności typu Płacę z iPKO lub dokonywanych w ramach usług otwartej bankowości,
nie wykorzystujemy kluczy bezpieczeństwa.
Nie wykluczamy wprowadzenia w tym zakresie zmian ale obecnie nie mamy możliwości wskazania terminu
ewentualnego ich wdrożenia.
Jeśli nie zgadza się Pan z naszym stanowiskiem, może Pan wnieść ... [i dalej dużo pisaniny co to nie mogę zrobić].

Jak to ładnie napisali:

w ramach usług otwartej bankowości,
nie wykorzystujemy kluczy bezpieczeństwa

To po jakiego groma je wprowadzali?
W swoich reklamach piszą: "Niezawodna ochrona", "Pewność logowania".
Także piszą w tych reklamach: "Klucz ochroni Cię nawet, gdy oszust pozna Twój login i hasło"
Ale fakt, nie dopisali "oraz kodu ze zdrapki".

Wniosek:
najlepszym zabezpieczeniem konta jest więc stara, dobra zdrapka.

Ciekawe, czy w innych bankach, które stosują klucze (ING, PeKaO SA, OK Knurów i być może inne), podczas transakcji za pomocą tzw. "usług otwartej bankowości" (myślę, że to chodzi np. o PayU) też nie stosują klucza U2F. A może stosują?

Może ktoś podzieli się taką informacją?

Pozdrawiam.

Offline

 

#35  Dzisiaj 18:16:31

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: Yubikey 5, Debian, PKOBP – klapa

A co maja odpowiedziec. Pracowalem kiedys w dziale obslugi klienta i doskonale wiem  jak to sie tam odbywa
To może ja im wystrugam za jakiś czas podobne  pismo z reklamacja, wiec może wprowadzą.. Wiesz koszty... koszty wprowadzenia takiej funkcjonalności to są.
I otrzymałeś standardowy bełkot ze możesz się odwołać... wiesz sprawdzili konto - tyle ma piniedzy wiec z nami nie wygra. A jeśli będzie chciał  dalej walczyć
pójdziemy z nim na wojnę "na wycieńczenie/wykończenie". czyli sprawę będą przeciągać latami aby delikwenta wypłukać z "piniedzy", chęci do walki, ciągłego pojawiania się na sprawach i abyś sam zrezygnował po drodze. to jest korpo. z nimi nie wygrasz.  Zreszta na samym początku dojdziesz do wniosku " o takie g mam przeprowadzić batalię sądową?
Może kiedyś funkcjonalność wprowadza...

Pewnie ze zdrapka i żadnych aplikacji w telefonie  :P  I klasyczny przelew - żadnych automatów wypełniajacych dane do przelewu.

Może by tak sprawę zgłosić do pewnego portalu, który zajmuje się bankowościa i aby sprawe opisał aby bank ośmieszył i jergo pseudo bezpieczeństwo  na oczach całego kraju. Wtedy w pośpiechu wprowadzą zgłoszoną przez ciebie lukę w bezpieczeństwie mechanizmu uwierzytelniania...
]:>

Offline

 

#36  Dzisiaj 19:06:24

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: Yubikey 5, Debian, PKOBP – klapa

No i konkluzja 35 postów:
- klucz jest potrzebny do zalogowania się do własnego konta. Nie ma klucza, to nawet jak znasz login i hasło to do konta się nie dostaniesz.
I tu nie chodzi o autoryzację przelewu czy płatności.
Kiedyś gdy były tokeny to aby zalogować się na konto, musiałem podać wygenerowany kod z tokena. Podobnie było z płatnością. Jeżeli odbiorca kasy nie był dopisany do zaufanych, to płatność też trzeba było potwierdzić tokenem.
Bank stwierdził, że to za drogie dla nich, i zlikwidowali tokeny - oferując w zamian autoryzację zdrapką lub aplikacją mobilną.
Zrezygnowałem z ich usług i przeniosłem się do innego banku. Po pół roku zrobili to samo.
@Yampress dobrze pisze - to jest korpo. Jak się nie podoba to "spadaj dziadu".


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
http://www.freebsd.org/gifs/powerlogo.gif
Beskid Niski

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)