2019. szeptember 23., hétfő

Gyorskeresés

Hozzászólások

(#1) daninet


daninet
(addikt)

"Kiderült az is, hogy gyakorlatilag senki nem tudja alkalmazni az erős ügyfél-hitelesítést önállóan, vagy ha mégis megteszi, akkor a vásárlók nem tudnak fizetni az internetes áruházakban – ismertette az MNB alelnöke."

Ezt nem értem, bocsánat. Ki nem tud mit alkalmazni? A visa és a mastercard adja a megoldást nem a bankok. Ezt "csak" be kell kapcsolni. :F
Vásárlói oldalról meg wtf? Egy fehér oldalon kiírja, hogy kérj sms-ben vagy emailben kódot.

[ Szerkesztve ]

Trust me.. I'm from the internet. ´¯`·.¸¸.·´¯`·.¸><(((º>

(#2) gabor7th


gabor7th
(őstag)

Ez az erős ügyfélazonosítás konkrétan mi? Csak nem valamiféle kétfaktoros azonosítás? Azok ma már nem igazán erősek.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#3) Syl válasza daninet (#1) üzenetére


Syl
(nagyúr)

Ismét csak egy izzadságszagú kifogás a hivatal részéről...

Words cannot express how much i don't care

(#4) Zirowe


Zirowe
(nagyúr)

Én csak annyit látok, hogy mindenhol megjelent a tokenezés és a mobil használat társítása a telefonhoz.
Ok.
De amíg a bankok trágya alkalmazásokat csinálnak, addig ez semmit sem ér!

Konkrétan három bank appját használom: mkb, raiffeisen és gránit.
Gránité a legjobb, mkb elmegy, egyiket se zavarja a root,alap hide-al elvannak.
Na de a raiffeisen!
Mindegy mivel rejtem el előle, egy idő után mindenképpen érzékeli és onnantól nem hajlandó elindulni, míg a többi app vígan megy.
A "régi" raiffeisen appban legalább a belépés és a tranzakció megerősítés mehet root mellett, más appon belüli művelet nem, de az új, csilli villi appal még ez sem megy, és sunyiban elindul háttérben, hogy folyton feldobja a chromeban a weboldalon lévő figyelmeztetést.
Baromi idegesítő.

We've jumped way beyond the Red Line. Limited supplies. Limited fuel, and now no hope! But I promise you one thing. On the memory of those lying here before you, we shall find it. And Earth will become our new home. So say we all!

(#5) Robaj


Robaj
(addikt)

Amit sokan nem tudnak, hogy bankkártyás fizetésnél a bank részére át kell adni a webshopnak adatokat, lásd: [link]

Mivel (többek között) az OTP sem készült el a háttérben az adatok fogadására, nincs teszt felületük sem, így már júniusban lehetett tudni, hogy nem lesz kész a dolog.

Csak a többfaktoros authentikálásról beszél a média, arról nem igazán, hogy egy webes kártyás fizetésnél mit fognak bekérni a webshopoktól amik kártyás fizetést tartalmaznak.

Member of [Lam[PH!]a] PROHARDVER CoD team ––– Köcsööög!!! - by bLaCkDoGoNe ––– Kék pirula nélkül is úgy szájbab@szlak he - by Zsadi ––– Robaj... tökön rúglak miután Zsadi kezéből kirúgtam a járókeretét - by Bagya - http://www.kepatmeretezes.hu

(#6) Ribi válasza gabor7th (#2) üzenetére


Ribi
(nagyúr)

Mivan?
Konkrétan te mire gondolsz, mert ez így magában hülyeség.

(#7) gabor7th válasza Ribi (#6) üzenetére


gabor7th
(őstag)

Arra, hogy már rengeteg hír van arról, hogy hiába van kétfaktoros azonosítás már az sem elég sok esetben. Sőt voltak esetek amikor éppen még csökkentette a biztonságot.

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#8) Ribi válasza gabor7th (#7) üzenetére


Ribi
(nagyúr)

Írd már le mi szerinted a 2 faktoros azonosítás.
3 faktoros jobb? Vagy 4?

(#9) Zirowe válasza Ribi (#8) üzenetére


Zirowe
(nagyúr)

Pedig nemcsak a faktor száma számít. ;] ;] ;]

We've jumped way beyond the Red Line. Limited supplies. Limited fuel, and now no hope! But I promise you one thing. On the memory of those lying here before you, we shall find it. And Earth will become our new home. So say we all!

(#10) gabor7th válasza Ribi (#8) üzenetére


gabor7th
(őstag)

Például amikor online bankolásnál még be kell írnod egy sms-ben elküldött ideiglenes kódot is, hogy be tudj lépni a fiókodba.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#11) daninet válasza Robaj (#5) üzenetére


daninet
(addikt)

Van egyáltalán olyan oldal aminek saját payment systemje van, és nem egy banki oldalra irányít át? Ezeket az adatokat a webshopban be sem szokták pötyögni az emberek.

Trust me.. I'm from the internet. ´¯`·.¸¸.·´¯`·.¸><(((º>

(#12) Ribi válasza gabor7th (#10) üzenetére


Ribi
(nagyúr)

De mi lenne a megoldás? Több faktor jobb?
Vagy csak szimplán a most használatos második faktor a gyenge, mert akkor azt írd.

(#13) Akkor azt kérdezd, mert magában két faktoros azonosítás nem lesz elavult. Attól függ mi a második faktor. Sms azonosítással mi a gond?
Én nem hallottam, hogy ezeket rutin szerűen kijátszanák.

[ Szerkesztve ]

(#13) gabor7th válasza Ribi (#12) üzenetére


gabor7th
(őstag)

Azt akartam csak megtudni, hogy mit értenek konkrétan "erős ügyfélazonosítás" alatt, mert lehet, hogy valami újdonságot, lehet hogy a ma már rutinszerűen kijátszott kétfaktoros azonosítást.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#14) gabor7th válasza Ribi (#12) üzenetére


gabor7th
(őstag)

Sok szakmai hír volt róla pedig. Sőt már a kivezetésést javasolják, mert többet árt mint használ. Például:

" Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az sms-alapú, kétfaktoros azonosítást ki kellene vezetni."

"Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később egy olyan technológia, melyet internetnek nevezünk, életünk minden részét átitatja - írja a G Data. A cég szakemberei szerint az sms-üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni."

Ha adnak egy saját tokent az jobb, de azzal kapcsolatban is vannak hírek, hogy ki lehet játszani... Nem általánosan mint az SMS-t, de volt már jópár eset amikor így vagy úgy kijátszották azt is.

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#15) gabor7th válasza Ribi (#12) üzenetére


gabor7th
(őstag)

Egy másik hírből:

"az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást"

Sok más hasonló van...

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#16) Ribi válasza gabor7th (#14) üzenetére


Ribi
(nagyúr)

Clear textben küldött kód tény, hogy nem a legjobb, de ezen felül még kell pár dolog, hogy ezt ki is használják.
Pont ahogy a http-t is kerülik, az SMS-t is valszeg ki akarják emiatt vezetni. De ettől ez a cikk még nem a rutinszerű kihasználásáról szól, hanem a technológiájáról. Legtöbbször mégsem az SMS-ben küldés lesz a gond, hanem hogy Pistike hátul 3x húzza le a kártyát, vagy a pinnel együtt lopják el a kártyát. Ezen pedig más faktor se segít, amíg ott a pin használatának lehetősége.

Mindent ki lehet játszani, ezeken a 8 faktor se segít. Amikor már a gépeden csücsülnek akkor hiába a faktor. Azon csak a vírus irtó segít. Szóval ez így megint nem releváns.

[ Szerkesztve ]

(#17) Male válasza daninet (#11) üzenetére


Male
(veterán)

Külföldön gyakori sajnos... ehelyett az SMS-es kínlódás helyett (korábban volt nekem a VISA féle, 10-ből kb hatszor nem tudtam fizetni a kártyámmal miatta) pont ezt kéne bevezetni mindenütt, ami Magyarországon alap: amikor fizetsz, átkerülsz a bank oldalára, és csak ott adod meg a kártyád adatait... nem a Józsika által készített webshop formjában amivel becsszó nem fognak visszaélni, és biztonságosan tárolnak :U

Gyors számolás: 260 milliárdos forgalom, 0.02% alatti a kár összege, az 52 millió Ft... mennyibe is kerül ez a rendszer évente? Megéri egyáltalán? :U

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#18) _nyuszika7h_ válasza Male (#17) üzenetére


_nyuszika7h_
(csendes tag)

Egyáltalán nem így működik a dolog. Van pár "payment gateway" (Stripe, Braintree, stb.) és az oldalak 90%-a ezek egyikét használja, maga az oldal soha nem tárolja a bankkártya-adataidat, csak egy hash-t kap a gateway-től ami alapján be tud azonosítani. Nagyon szigorúan veszik a PCI DSS szabályozást, eleve megfelelni neki is nagyon nehéz, sokba kerülne a saját megoldás kiépítése, ha meg kiderül, hogy nem feleltek meg, akár milliókra perelhetik a cégeket. (Ez persze nem jelenti azt, hogy nem léteznek csalók.)

[ Szerkesztve ]

(#19) sphe válasza Male (#17) üzenetére


sphe
(senior tag)

Hogy megéri e, az európai átlagot kellene nézni, nem a magyart, a több faktoros hitelesítés nem magyar találmány. Én is feleslegesnek tartom ezt a plusz hercehurcát azonban.

(#20) gabor7th válasza Ribi (#16) üzenetére


gabor7th
(őstag)

Rutinszerű mert rengeteg trójai, meg hasonlók vannak amik hatástalánítják, megkerülik a kétfaktor biztonsági megoldást manapság. A másik ESET-es példa egy volt a sok közül.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#21) TheAquir


TheAquir
(csendes tag)

Mekkora kamu ez, Angliaban mar 7 (het!!) evvel ezelott is mukodott ez..."nem magyar sajatossag" nem a lopikulat nem! A vilag kulturaltabb felen ez mar a mindennapok resze.
Ilyen oskori dinoszauruszokkal mint az OTP soha nem fog ez menni...koltenei kene ra es ez nem tetszik nekik

Born too late to discover the Earth, born too early to discover the Cosmos

(#22) Ribi válasza gabor7th (#20) üzenetére


Ribi
(nagyúr)

De mi lenne a megoldás, mert ez alapján maga a zinternetes vásárlás nem biztonságos.

(#23) Male válasza _nyuszika7h_ (#18) üzenetére


Male
(veterán)

Khm, de, vannak külföldi webshopok (főleg amerikai), ahol az ő hülye felületükön adod meg a kártya adatokat... erről beszélek. Van egy tippem, hogy a csalások kb 99%-a az ilyeneken történik. Szerencsére Magyarországon ezzel még sehol nem találkoztam. Tessék egy példa, ahol bizony simán az oldalon lévő formon várják a kártya adatokat. (Hm, csak nálam rontja el a PNG-t most a PH! feltöltéskor? ...mindegy, olvasható így is.)

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#24) gabor7th válasza Ribi (#22) üzenetére


gabor7th
(őstag)

Mondjuk csinálsz egy számlát csak netes vásárláshoz és beállítasz a bankodál napi limitet.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#25) WhiteWalker válasza Zirowe (#4) üzenetére


WhiteWalker
(veterán)

Megy az ;) [link]

PES & ISS PRO only

(#26) Robaj válasza daninet (#11) üzenetére


Robaj
(addikt)

Mi is az otp-ét használjuk, de jelen állás szerint a mi felületünkön kell bekérni adatokat, amit az otp-nek kell továbbítani (jelen doksi alapján - nincs technikai dokumentáció még!)

Azt nem értem, hogy ezeket miért nem az OTP saját felülete kéri be...

Remélem még átgondolják ezt :)

Member of [Lam[PH!]a] PROHARDVER CoD team ––– Köcsööög!!! - by bLaCkDoGoNe ––– Kék pirula nélkül is úgy szájbab@szlak he - by Zsadi ––– Robaj... tökön rúglak miután Zsadi kezéből kirúgtam a járókeretét - by Bagya - http://www.kepatmeretezes.hu

(#27) Male válasza gabor7th (#24) üzenetére


Male
(veterán)

Ez kb az OTP webkártya, nem? ...csak annyi pénzt teszel át rá, amennyiért épp vásárolni akarsz. (nem vagyok OTP-s, csak másoknál láttam ezt)

#19 sphe: Igen, de arról sajnos nem volt adat a cikkben. Ha valaki tudja, akkor ugyan így kiszámolható.

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#28) Kopi31415 válasza Robaj (#26) üzenetére


Kopi31415
(félisten)

Ezt nem értem, mert pl. a Telekomnál fizetésnél átirányít az OTP-hez.

Part to Part | Status:122% completed | Estimated time remaining:1193hr 2min 30sec ----- Converting Data | Status: 425% completed | Estimated time remaining: 1193hr46sec

(#29) Xpod válasza gabor7th (#24) üzenetére


Xpod
(őstag)

És ez hogy oldja meg a 2FA problémát, amit írtál? Így max kevesebb pénzzel tudnak lenyúlni, cserébe fizethetsz még egy számlavezetési díjat + esetleg még utalási díjat is, mert a vásárlós számlára valahogy pénzt kell tenned a normál számláról.

Egyébként sem értem teljesen a dolgot. Ha lehallgatják az SMS forgalmat, mégis honnan fogják tudni, hogy az egy banki fizetéshez egy token kód, és pont az enyém?
Max akkor, ha a támadó konkrétan tudja, hogy mit csinálok, és milyen számra várom a kódot. Ha pedig ezt a 2 dolgot tudja, akkor konkrétan bent van a gépemen és a telefonomban. Ebben az esetben már tök mindegy, hogy titkosítva jön az SMS vagy sem.

Nem kell minden baromságot leszedni store-ból, nem kell minden hülye linkre rákattintani, és kártya adatot meg csak banki oldalon adunk meg. (természetesen az URL-t is ellenőrizni kell minden esetben) Ezzel kb 99%-át ki is védtük a csalásoknak, támadásoknak.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#30) gabor7th válasza Male (#27) üzenetére


gabor7th
(őstag)

Én se vagyok OTP-s.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#31) gabor7th válasza Xpod (#29) üzenetére


gabor7th
(őstag)

" Így max kevesebb pénzzel tudnak lenyúlni,"

Így van, kockázatcsökkentés. Így már nyugodtan vásárolhatsz neten, picit drágább, de megéri. Évi kb. 5000 forintba kerül.

Azt, hogy hogyan oldják meg, hogy kijátszák van pár módszer és újakat is kitalálnak.
Nemrég találtak ki ezt:

Új trükkel nyúlhatják le az egyszer használatos jelszavainkat

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#32) gabor7th


gabor7th
(őstag)

Jó lett volna, ha kiderül teljesen egyértelműen... Ez érinti ezt a 5000Ft-os érintés nélküli kártya dolgot is, vagy azt nem?

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#33) _nyuszika7h_ válasza Male (#23) üzenetére


_nyuszika7h_
(csendes tag)

Igen, általában nem irányít át, hanem a webshop oldalán kell megadni az adatokat, viszont a háttérben végül a gateway-nek küldi az adatokat, maga az oldal nem tárolja őket. Nem tudom konkrétan ennél az oldalnál hogy megy. Stripe látványos szokott lenni, amikor azt használják, a többi nem feltétlenül.

(#34) Male válasza _nyuszika7h_ (#33) üzenetére


Male
(veterán)

Direkt azért nyitottam ki, látszik, hogy az adatok nekik mennek. Innentől teljesen mindegy, hogy elvileg ők csak tovább adják, a lehetőségük megvan a tárolásra.
Ezért sokkal jobb az, ha átdob a bank oldalára, és ott adom meg az adatokat... így a webshop csak annyit kap meg, hogy sikeres a fizetés, a többi adat át sem megy rajta.

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#35) Shyciii válasza gabor7th (#14) üzenetére


Shyciii
(addikt)

Bocs, de amit írtál az igencsak nagy ferdítés. Az hogy a 2 faktor rosszabb, mint az egy, az nettó baromság. Az általad bevágott részlet sem azt mondja, hogy szar az sms, hanem hogy mást javasolnak, de nem azért, mert rossz, hanem mert kényelmetlen. Pl a Google Auth program használata mérföldekkel kényelmesebb és gyorsabb, vagy pl a Revolut ujjlenyomatazonosítása. SMS-t sem lehet csak úgy kijátszani malware ide vagy oda akármit linkelsz be, mert pl anno amikor még a Budapest Bank-nál voltam, akkor az SMS-ben kiküldött kód második faktor gyanánt 30mp-ig élt, és utána inaktívvá vált, szal elkaphatja akármi, semmit nem fog érni vele. A másik, hogy az én gépemen levő malware mi alapján kerüli meg a 2 faktort? Főleg hogy a 2 faktort nem a gépem igényli, hanem a szolgáltató, tehát tökmindegy mivel van fertőzve az én gépem.

Amúgy a linked: "Szerencsére ennek a technikának is megvannak a határai: a támadók "csak" az értesítés terjedelmének megfelelő szöveghez férnek hozzá, így nem garantált, hogy ez a rész tartalmazza az egyszer használatos jelszavakat."

No meg aki egy appnak minden hozzáférést megad, az meg is érdemli.

[ Szerkesztve ]

(#36) Sanraith válasza Male (#23) üzenetére


Sanraith
(tag)

Nyugi ezzel az oldallal nincs gond. Hiszen oda van írva, hogy "Pay Securely"... :D

[ Szerkesztve ]

(#37) Ribi válasza Shyciii (#35) üzenetére


Ribi
(nagyúr)

"Főleg hogy a 2 faktort nem a gépem igényli, hanem a szolgáltató, tehát tökmindegy mivel van fertőzve az én gépem." Ez így nem igaz. A szolgáltató téged kérdez, hogy mehet-e az utalás, vagy belépés vagy valami.
Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be. Te is látod, hogy beléptél, csak a kamu oldalon. Utalásnál meg amit elküldesz címet, azt ők kicserélik és máshova más összeget küldenek. A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik.
Jó esetben olyan ellen védelem van, hogy SMS-ben küldött kódot ellopják és azzal lépnek be. Jó esetben ilyenkor a rendszer érzékeli, hogy ugyan azzal a kóddal 2 helyről próbáltak belépni és azonnal tilt. Ez igazából +1 faktor. De ha a te géped meg van fertőzve akkor a hely is stimmel.
Pont ezért nem nagyon lehet mindent kivédeni, mert ha a te gépeden ülnek, akkor igazából bármit ki lehet játszani és csak a vírusirtó véd meg. Lehet akármilyen authentikátorod.

(#38) Shyciii válasza Ribi (#37) üzenetére


Shyciii
(addikt)

"Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be."

A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít.

"A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik."

Akkor újra. Az utaláskor kapott sms kód csak 30 mp-ig él, és azzal a kóddal te csak az általam kért utalást vagy egyéb dolgot lehet jóváhagyni. Azzal a kóddal más csinálni, pl belépni, más utalást indítani stb nem lehet! Arról nem beszélve, hogy eddig akárhány banknál voltam, minden műveletről küldtek értesítést. És akkor még nem említettem, hogy olyna is volt, hogy nagyobb összeg leemelésekor telefonon felhívtak, hogy ez tényleg én vagyok, és jóváhagyhatják. Amúgy meg az én gépemen ülhetnek, mert a 2 faktor lényege az, hogy több eszköz hitelesítése szükséges, úgyhogy ülhetnek a gépemen nyugodtan...

(#39) Ribi válasza Shyciii (#38) üzenetére


Ribi
(nagyúr)

Ha a browseredben csücsül a malware, ami tartalmaz egy tanúsítványt is a másik oldalra, akkor se a browsered nem visít, se te nem biztos, hogy észreveszed.
Ezeket rendszerint már nem emberek pötyögik, hanem automatán sw csinálja és figyeli.
Innentől annak a 30 mp az egy örökké valóság+1.
Te ami kódot kapsz azt már az ő átutalásukra kapod(kapják), nem arra amit te írtál be, mert te a kamu oldalon pötyögsz.
Mind1, nyilván nem az itt lévőek lesznek a célközönség, aki figyel ezekre, hanem egység Gizi aki nem nézi se az átirányítást, se a böngésző címsorát, és nem is Brave browsert használ. Itt nagy tömegekre mennek, pár úgyis bejön. PH közösség tipikusan nem reprezentatív ebből a szempontból.

(#40) Xpod válasza gabor7th (#31) üzenetére


Xpod
(őstag)

El olvasva a linkelt cikket, az akkor működik, ha valaki van olyan hülye, hogy ugyanazon a telefonon jelentkezik be a pénzügyi alkalmazásba, amire a token fel van rakva, vagy amire az SMS érkezik.

Ha mindkét faktor ugyanazon a készüléken van, akkor az egész semmit nem ér.

És ha jól gondolom, akkor a többi cikk is ilyen lehet, amire hivatkozol, hogy a 2FA feltörhető.

Ha így nézzük, akkor a harvderes token, csak annyival jobb, hogy fizikailag külön eszköz. Ha akarnád sem tudnád a két hitelesítést egy eszközben használni.

"Így van, kockázatcsökkentés. Így már nyugodtan vásárolhatsz neten, picit drágább, de megéri. Évi kb. 5000 forintba kerül."
Ez azért jóval több is lehet. Számlavezetési díj, utalás számlák között, bankkártya éves díja, a kényelmetlenség, hogy mielőtt vásárolsz fel kell tölteni a számlát. Ha valaki arra nem figyel, hogy a 2FA két külön eszközön legyen megvalósítva, akkor biztos nem fog 2 számlát és két bankkártyát használni.

Shyciii #38 "A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít."

Ahogy írtad is, csak akkor jelez, ha bejelentett támadó / adathalász a weboldal. Ahhoz, hogy valaki bejelentse azért eltelik nem kis idő, és addig jó pár embert le lehet nyúlni. Az utóbbi időben jó pár oldallal ami nagyon jól meg volt szerkesztve. Sok ráadásul magyarul volt (OTP, Posta, Telekom), így nem hiszem, hogy túl sok bejelentés érkezett volna, hogy "heló, felnyomták az oldaladat, és most épp phising oldalt üzemeltetsz, jó lenne ha csinálnál valamit".

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

(#41) Male válasza Sanraith (#36) üzenetére


Male
(veterán)

Igen, azzal engem is majdnem meggyőztek! :DDD

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#42) Kékes525 válasza daninet (#1) üzenetére


Kékes525
(veterán)

Ugyanez lenne az én kérdésem is. A bankoknak annyi teendőjük van, hogy értesíteni kellene a felhasználóikat. Meg kell fogalmazni az egység levelet és szétküldeni az ügyfeleknek e-mailben. Nem több mint 30 perc. Akkor több, ha ezt bele kell fogalmazni szabályzatukba és az ügyfelekkel aláíratni. Valószínűleg ez az amit nem tudnak időre megtenni.

[ Szerkesztve ]

A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az, hogy még nem próbáltak kapcsolatba lépni velünk.

(#43) Egon válasza Zirowe (#4) üzenetére


Egon
(nagyúr)

Ember, egy normálisan sérülékenységvizsgált mobilappot soha az életben nem fogsz tudni használni root-olt készüléken, a te érdekedben... :U
Az, hogy nálunk divat a sufnituning meg a trükközés, a határok feszegetése, nehogymár negatívum legyen egy jól megírt mobilapp vonatkozásában... Mindenesetre jó tudni, hogy a Gránitbank appja a jelek szerint nem teljesítni az IT biztonsági elvárásokat.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#44) Sidorovich válasza Ribi (#37) üzenetére


Sidorovich
(aktív tag)

Nem tudom más bankoknál hogy van, de OTP-nél nem csak egy kódot kapsz SMS-ben. Utalásnál pl. a számlaszámot és az összeget is megkapod, amire utalni készülsz, és a kódot, amivel jóváhagyhatod csak azt az utalást. Azaz ha az asztali géped teljesen kompromittálódott és egy tökéletes phising oldalon vagy, és a valódi utalásod adatait a háttérben megmásítják, akkor feltűnhet, hogy SMS-ben nem azt a számlaszámot és összeget küldte a bank, amit te begépeltél a gépeden. Az más kérdés persze, hogy ezt ki ellenőrzi (én szoktam :D ) és kinek tűnne fel.

Összességében igaz, hogy a 2FA csak akkor ér valamit, ha 2 különböző rendszeren van a két faktor, és az SMS-nél nem csak kódot kapsz, hanem arról is kapsz információt, hogy milyen műveletet végrehajtására kaptad azt a kódot. Bankkártyáknál a napi limitet is érdemes haszálni, én pl. minimum összegre (napi 50.000) állítom, és csak akkor állítom át, ha valami nagyobbat vásárolni készülök. Szerencsére ennél nagyobb összeget 24 óra alatt váratlanul nem gyakran szoktam elkölteni. :)

Egyébként ha valaki ilyen netbankos malware, phising, akármi áldozata lesz, és elutalják a pénzét külföldre, akkor azt kártalanítja a bank? Vagy minden felelősség az ügyfélé, hogy miért nem IT biztonsági szakértő? :U

[ Szerkesztve ]

(#45) Male válasza Sidorovich (#44) üzenetére


Male
(veterán)

Máshol képernyő azonosító van az SMS-ben hozzá... az rövidebb, és ugyan erre jó.
(Igen, és pont ez a szétválasztás nincs meg szerintem a mobilbank appoknál... hiszen minden ugyan azon a készüléken megy.... persze tudom, hozzá kell férni a feloldott állapotban lévő telefonhoz, és kell az mPIN ismerete... de ez egyszerűbb problémának tűnik, mint az, hogy ismeri a netbank nevemet, jelszavamat (ami nem egy hatszámjegyű kód, mint az mPIN esetén... és sokaknál van egy tippem, hogy születési év hónap), és hozzá kell férnie a feloldott telefonomhoz is)

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#46) Sidorovich válasza Male (#45) üzenetére


Sidorovich
(aktív tag)

Egy eszközről mindent azért sem érdemes, mert így elég egy eszközt feltörni. Itt en a szoftveres réseket kihasználó malwarekre gondolok, nem arra, hogy képernyot feloldva ott hagytam valahol. Android és iOS is tele van 0-day sebezhetőséggel, amiről a Google vagy Apple se tud. Dark weben lehet venni.

PC + telefon 2FA-nal 2 különböző OS-nek kell tudni a gyenge pontját egyszerre. Pl. Windows 10 + Android. Jóval kisebb az esélye.

[ Szerkesztve ]

(#47) Male válasza Sidorovich (#46) üzenetére


Male
(veterán)

Igen, ez a másik fele, és ez a bajom a sok mobil bankos megoldás erőltetésével. Persze lehet azt mondani, hogy vigyázz mit telepítesz, de hányszor került már fel a Playbe olyan app, amiről később kiderült, hogy vírusos.

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#48) gabor7th válasza Shyciii (#35) üzenetére


gabor7th
(őstag)

Vannak példák rá, hogy a kétfaktotos azonosítás volt a probléma forrása pl.:

"A kétlépcsős védelem nyitott kaput a Reddit-adatlopás előtt"

"Adatlopás áldozata lett a Reddit, amelyhez a támadók épp az oldal védelmét erősíteni hivatott SMS-alapú kétfaktoros beléptetést használták ki. Az akció során az oldal belső adatai mellett felhasználónevek, email címek és titkosított jelszavak is kiszivárogtak."

Xpod:

Nem, mint többször is írtam, vannak teljesen más módszerek is.

"a kényelmetlenség, hogy mielőtt vásárolsz fel kell tölteni a számlát."

Inkább mint fuss a pénzed után, de ez évente mondjuk kétszer tényleg kellemetlen. Attól függ mennyit raksz fel és mennyit költesz.


[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#49) tomp válasza Ribi (#12) üzenetére


tomp
(veterán)

Amit az OTP netbank használ szerintem nem rossz. Belépés QR kóddal.
Az oldal megjeleníti a kódot. Telefonos SmartBank app beolvassa majd kéri az ujjlenyomatot. Ha oké akkor a netbank tovább megy és belép.

(#50) gabor7th válasza tomp (#49) üzenetére


gabor7th
(őstag)

Nem rossz, de a hackerek azért mindig előrébbjárnak:

"Ujjlenyomatokat és retinaadatokat is képes lenyúlni a legújabb bankvírus"

"Egy rendkívül kifinomult banki vírus kezdte el támadni a brazil vállalatokat, ami akár a felhasználó biomatikus adatait (pl. ujjlenyomat, retina, arckép) is ellophatja - derítették ki az IBM X-Force biztonsági szakemberei. "

"A vírus a biometrikus azonosítást is át tudja verni, ha van ilyen hitelesítésre szolgáló eszköze az ügyfélnek, a CamuBot üzemeltetői egy saját driver telepítésével egyszerűen lenyúlják az ügyfél biometrikus adatai által generált kódot és felhasználják a belépésre."

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Copyright © 2000-2019 PROHARDVER Informatikai Kft.