eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.misc.elektronikaCoś dla wrażliwych na fale emRe: Coś dla wrażliwych na fale em
  • Data: 2019-10-01 17:39:34
    Temat: Re: Coś dla wrażliwych na fale em
    Od: s...@g...com szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    W dniu wtorek, 1 października 2019 10:19:02 UTC-5 użytkownik J.F. napisał:
    > Użytkownik "Piotr Wyderski" napisał w wiadomości grup
    > dyskusyjnych:qmvpir$12cb$...@g...aioe.org...
    > viktorius wrote:
    > >> Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
    > >> protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
    > >> sobie w kilka dni:
    > >> https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlo
    dzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/
    >
    > >Polecam się zaopatrzyć w to:
    > >https://www.yubico.com/product/yubikey-5-nfc
    >
    > >i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
    > >chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
    > >zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie
    > >odcinać sobie możliwości pracy. Wszystkie serwisy poważnie
    > >podchodzące do kwestii bezpieczeństwa pozwalają na dodanie takiego
    > >dongla.
    >
    > Tylko tak:
    > -nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
    > przelew 20zl za telefon, czy 200k na konto hackera,
    >
    > -co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
    > podlacze ?
    >
    > -ma to jakis przycisk ? Bo nie chcialbym sytuacji, gdy wsadzam do USB,
    > a w komputerze jakis virus przekazuje dalej i autoryzuje sto przelewow
    > po 999zl.
    >
    > -da sie wgrac klucze do roznych systemow? Male to, ale jakbym mial do
    > kazdego banku jeden, to breloczek puchnie :-)
    >
    > -jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
    > czesc autoryzacji musi zabezpieczac ...
    >
    >

    Juz kiedys bylo walkowane.
    MFA pomaga ale nie w przypadku phishingu.

    Problemy sa przynajmniej dwa:
    1. Jak wykryc ze ktos po drugiej stronie druta to klient i do tego nie za "warstwa
    czlowieka posrodku".
    2. Jak wykryc ze to co ktos po drugiej stronie robi/widzi to to co ma zamiar
    zrobic/zobaczyc.

    IMHO, na dzis bez bardzo zaufanej infrastruktury po stronie klienta nie da sie tego
    ogarnac.
    Bo jak widac z arta, cale 4 dni zajelo dorobienie odpowiedniego phishingu wraz z
    infrastruktura dla "man in the middle".

    Uzywane telefonow z ich przywalonymi przegladarkami (gdzie czasem nie widac
    szczegolow certyfikatu) temu nie pomaga.
    Zreszta nawet w chrome te informacje zostaly niedawno poukrywane i nawet mnie zajelo
    sporo klikania zeby sprawdzic czy numer seryjny certyfikatu serwera sie zgadza.

    O fakcie ze zeby znalezc informacje o certyfikacie uzytym dzis przez dany bank to sie
    trzeba nacertolic nawet jak sie ma inne urzadzenie ktore zakladamy ze nie jest
    shackowane juz nie wspominam.

    Krajobraz tutaj jest kiepski i to mimo a czasem dzieki wysilkom duzych.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: