Forum Debian Users Gang

Pavlo950 · 2024-11-18 22:04:02

Yampress napisał(-a):
A słyszał o klonowaniu karty SIM?

https://www.telepolis.pl/wiadomosci/bezpieczenstwo/ … ci-ostrzegaja

Słyszałem. Jak mi artykuł zalinkowałeś to pomyślałem, że jednak jest jakieś bardziej "hakerskie" podejście do tematu. Wszedłem w link, a tam:

SIM swapping ma miejsce, gdy cyberprzestępca uzyska duplikat karty SIM. W tym celu potrzebuje najpierw dostępu do naszych danych (takich jak numer dowodu, numer telefonu oraz imię i nazwisko), które może uzyskać za pomocą technik phishingowych lub socjotechniki.

W kolejnym kroku złoczyńca kontaktuje się z operatorem komórkowym i dzięki zdobytym danym, podszywa się pod właściciela karty SIM – przez telefon, internet, a nawet odwiedzając fizyczny punkt obsługi klienta.

No super metoda kradzieży karty XD tzn no każdemu może się to zdarzyć ale no jednak nie zmienia to faktu że i tak trzeba patrzeć co i gdzie się wpisuje XD

zl23 napisał(-a):
Pavlo950 napisał(-a):
Być może trzeba zmienić metodę weryfikacji. Ja ze zdrapek w pko nie korzystam od początku...
Pablo950 – przeczytaj ty może ten wątek od początku, zanim zaczniesz udzielać takich wzniosłych porad.

Przeczytałem. Weryfikacji płatności kartą były sztuk dwie, przynajmniej jak ostatnim razem patrzyłem (i zmieniałem). I chyba były dwa różne scenariusze przewidziane, w sensie płatność kartą i przelewem (nie przez ipko tylko np taki autopay z wtyczką / odnośnikiem ipko) i dla tych dwóch było można ustawić weryfikację zdrapką lub smsem a pytanie czy nie dołożyli właśnie weryfikacji kluczem. Zamiast marudzić o czytaniu wątków, to mógłbyś @zl23 sprawdzić, bo ja bez klucza nie sprawdzę XD

zl23 · Wczoraj 08:41:23

@Pavlo950

Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.

Zwróć uwagę, że "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.

Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.

Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).

To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.

Teraz sobie wyobraź, że tak dobrze zabezpieczyłeś konto.
Wchodzisz do sklepu, wybierasz płatność PayU.
A dlaczego by nie – wszak chroni mnie klucz!
Robisz klik, wpisujesz login, hasło, autoryzujesz transakcję kodem jednorazowym (z zdrapki lub sms) robisz klik, zaczynasz otwierać szufladę gdzie schowałeś klucz U2F, ale klucz okazuje się niepotrzebny – forsa już popłynęła.
To gdzie był ten lew?

Takie mniej więcej zapytanie napisałem w reklamacji do banku (@Yampress: dziękuję za motywację).
Reklamację wysłałem wieczorem w niedzielę (17.11).
Otrzymałem potwierdzenie wraz z numerem.
Dzisiaj jest wtorek i ... cicho sza, odpowiedzi brak.
Wniosek:
albo napisałem głupotę nie wartą odpowiedzi
albo dałem im zagwozdkę, że nie mogą się pozbierać.
Tego niestety nie wiem.

Na koniec pozwolę sobie na mały cytat z knurowskiego banku:
https://u2f.okbank.pl/

Klucz U2F to praktyczne i proste w użyciu urządzenie (wygląda jak zwykły Pendrive USB), które zabezpiecza Twoje konto bankowe i dane osobiste, sprawiając, że logowanie jest bezpieczne jak nigdy dotąd. Działa poprzez potwierdzanie Twojej tożsamości za pomocą dodatkowego, fizycznego klucza, który po prostu podłączasz do swojego komputera, dodając warstwę ochrony przed włamaniami i kradzieżą danych.

Zwróć uwagę na słowa: "które zabezpiecza Twoje konto bankowe" i "dodając warstwę ochrony".

Pozdrawiam

Yampress · Wczoraj 12:21:28

Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?

Ja mam teraz ciekawy problem bo probuje mój główny desktop - na FreeBSD zmusić do pracy z kluczem. A tutaj już nie jest tak słodko i prosto jak pod Debianem czy na windows

---------------------------------------------------------

Klucz jest do autoryzacji logowania do konta, nie jest do autoryzacji przelewów

Karta zdrapka, SMS, aplikacja jest do autoryzacji przelewów

Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy

@zl23 trzeba im było jeszcze wysłać link do tej rozmowy.
Mi odpowiedź przysłali po kilku dniach. Najpierw dział bezpieczeństwa i informatyki musi przeanalizować sprawę/problem. Potem dział obsługi klienta musi odpisać . No i oczywiście będziesz mógł się odwołać do pewnych instytucji... A z korporacja nie wygrasz . Ale wskazesz błąd, który jest luka bezpieczeństwa w ich systemie. Nie wiadomo czy sobie w ogóle zdają sprawę o takiej możliwości .Teraz napisałeś to już zauważa problem. I pewnie naprawia wkrótce. Wiesz pewnie brak ludzi do testowania, więc sami użytkownicy im przetestują działanie i zgłoszą błędy. A oni naprawia te błędy, a potem wystartują z głośnym marketingiem o super usłudze. Zawsze najgorzej jest na początku kiedy coś wprowadzają i potrzeba testów. Dlatego po jakimś czasie od wpuszczenia na świat usługa stają się dopracowana. Więc użytkownik za darmo przetestuje. Wykryje błędy i zgłosi, a oni naprawia. Wszystko co nowe nigdy nie jest do końca dobrze przetestowane i wprowadzone do środowiska produkcyjnego jako stabilna usługa
]:>

Pavlo950 · Wczoraj 14:34:38

zl23 napisał(-a):
@Pavlo950

Wybacz, ale zaczynam niegrzecznie podejrzewać, że nie rozumiesz po co banki wprowadzają klucze U2F.

Zwróć uwagę, że "weryfikacja płatności" (raczej: autoryzacja, ale mniejsza z tym) to jedno, a "dostęp do konta" to drugie.

Klucze U2F wprowadza się jako DODATKOWE zabezpieczenie dostępu do konta.
Mają go chronić jak lew.

Klucz U2F nie likwiduje jednorazowych kodów autoryzacji (ze zdrapki czy jak ty wolisz: sms).

To pierwsze nie ma nic wspólnego z drugim – klucz U2F jest kolejnym schodkiem na który musisz wejść aby dostać się do swojego konta.

Dobra, spasuję, bo masz rację XD wydawało mi się że cała akcja jest na tyle przemyślana że zabezpieczą jednocześnie płatności internetowe. W takim razie zastosowanie kluczy dla mnie jest na tą chwilę bez sensu.

Yampress napisał(-a):
Jak i tak nadal uważam, że do autoryzacji przelewów powinien być token sprzętowy oczywiście też zabezpieczony pinem. Może kiedyś banki dojrzeją go takiej dwuskładnikowej ochrony konta klienta. Klucz + token sprzetowy

No oczywiście że tak.

Yampress napisał(-a):
Trzeba podejść do ochrony konta kompleksowo. Wiadomo autoryzacja SMS jest wygodna.
No a co w przypadku sklonowania karty SIM?
Co w przypadku kradzieży telefonu?
Co w przypadku zgubienia telefonu?

A co w przypadku jak Ci ktoś dane karty podejrzy na monitoringu w markecie? Bo przecież może zaistnieć sytuacja, że ktoś się włamie do sieci sklepu, wejdzie w monitoring i o ile mają dobre kamery to podejrzy sobie dane kart z obydwu stron XD

Jacekalex · Wczoraj 14:50:35

Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.

Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD

Ostatnio edytowany przez Jacekalex (Wczoraj 14:50:53)

Yampress · Wczoraj 17:40:38

Jacekalex napisał(-a):
Klucze U2F to zapora przed hasłami na karteczkach i stronami pishingowymi udającymi strony banku.
Chociaż ciężko mi zrozumieć, dlaczego klucze zewnętrze jak karta chipowa czy Yubikey bank jeden czy drugi akceptuje, ale klucza TPM-2.0 w PieCu domowym już nie.

Pendraka (Yubikey) czy kartę chipową trudniej zgubić niż obudowę midi-tower?
xD

Ale do banku i tak musisz podać login, potem hasło, a potem prosi o klucza, jesli go nie masz, a go powiazałes z kontem to dalej Cie nie puśći... Dalej to juz jest PIN który założyłś sobie na tym kluczu. Także jesli ktos zna login i hasło , a nie ma klucza i nie zna pinu nie dostanie sie do banku... A jak juz to przejdziesz to dalej znowu pyta czy dodać przegladarke z której sie logujesz do znanych urzadzeń (wiec kolejny krok zabezpieczenia) bo jesli nie masz dodanej przegladarki musisz potwierdzic zdrapka/sms/aplikacja w telefonie. No i teraz jestes na koncie. I aby zrobic przelew musisz podac zdrapke/sms/potwierdzic w aplikacji.

Minusem takiego klucza jest, że go możesz zgubić.. dzwonisz wtedy do banku aby zgubiony odpieli, kupujesz nowy za ~250 zl podpinasz nowy i wszyscy zadowoleni.

"dziwny jest ten swiat"
https://gist.github.com/daemonhorn/bdd77a7bc0ff5842e5a31d999b96e1f1
]:>

zl23 · Wczoraj 17:44:27

14.11.2024 PeKaO SA wprowadziło używanie klucza sprzętowego.
https://www.pekao.com.pl/o-banku/aktualnosci/38eaae … zetowego.html

Ich instrukcja, skrócie, w porównaniu do PKOBP.
1.
Nie narzucają producenta klucza tak jak PKOBP.
2.
Piszą wyraźnie o PIN:

Niektóre klucze zabezpieczone są dodatkowo PIN-em, który należy ustawić podczas pierwszego użycia.

3.
W pytaniach
https://www.pekao.com.pl/klient-indywidualny/bankow … adnikowe.html

Zalecamy posiadanie i sparowanie więcej niż jednego klucza na wypadek utraty lub uszkodzenia jednego z nich.

Ad. 1.
W pytaniach piszą m.in.

Klucz możesz zakupić w większości sklepów ze sprzętem elektronicznym. Znajdziesz je łatwo po wpisaniu w wyszukiwarkę hasła „klucz sprzętowy”.

Czyli byle gdzie.
Babuleńka albo Julka ma iść i "se kupić klucz"
Moim zdaniem taki sygnał wysłany do osób mających mgliste pojęcie o tych tematach nie jest najlepszym pomysłem.
Mogli polecić kilka firm i zwrócić uwagę, aby klucz kupić u autoryzowanych sprzedawców wyszczególnionych na stronie producenta.
PKOBP wybrał firmę (Yubico), podał w tabeli różne wersji tych kluczy, ale zapomniał napisać o zakupie u autoryzowanego sprzedawcy.
Ad. 2
PKOBP zapomniało napisać o ustawienia PIN-u na kluczu.
Ad. 3
W PKOBP nie ma możliwości sparowania więcej niż jednego klucza

Pozdrawiam.

Forum Debian Users Gang

Ogłoszenie

#26 2024-11-18 22:04:02

Pavlo950 - człowiek pasjonat :D

Re: Yubikey 5, Debian, PKOBP – klapa

Yampress napisał(-a):

zl23 napisał(-a):

Pavlo950 napisał(-a):

#27 Wczoraj 08:41:23

zl23 - Użytkownik

Re: Yubikey 5, Debian, PKOBP – klapa

#28 Wczoraj 12:21:28

Yampress - Imperator

Re: Yubikey 5, Debian, PKOBP – klapa

#29 Wczoraj 14:34:38

Pavlo950 - człowiek pasjonat :D

Re: Yubikey 5, Debian, PKOBP – klapa

zl23 napisał(-a):

Yampress napisał(-a):

Yampress napisał(-a):

#30 Wczoraj 14:50:35

Jacekalex - Podobno człowiek...;)

Re: Yubikey 5, Debian, PKOBP – klapa

#31 Wczoraj 17:40:38

Yampress - Imperator

Re: Yubikey 5, Debian, PKOBP – klapa

Jacekalex napisał(-a):

#32 Wczoraj 17:44:27

zl23 - Użytkownik

Re: Yubikey 5, Debian, PKOBP – klapa

Stopka forum