W dniu wtorek, 1 października 2019 10:19:02 UTC-5 użytkownik J.F. napisał:
> Użytkownik "Piotr Wyderski" napisał w wiadomości grup
> dyskusyjnych:qmvpir$12cb$...@g...aioe.org...
> viktorius wrote:
> >> Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
> >> protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
> >> sobie w kilka dni:
> >> https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlo
dzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/
>
> >Polecam się zaopatrzyć w to:
> >https://www.yubico.com/product/yubikey-5-nfc
>
> >i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
> >chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
> >zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie
> >odcinać sobie możliwości pracy. Wszystkie serwisy poważnie
> >podchodzące do kwestii bezpieczeństwa pozwalają na dodanie takiego
> >dongla.
>
> Tylko tak:
> -nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
> przelew 20zl za telefon, czy 200k na konto hackera,
>
> -co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
> podlacze ?
>
> -ma to jakis przycisk ? Bo nie chcialbym sytuacji, gdy wsadzam do USB,
> a w komputerze jakis virus przekazuje dalej i autoryzuje sto przelewow
> po 999zl.
>
> -da sie wgrac klucze do roznych systemow? Male to, ale jakbym mial do
> kazdego banku jeden, to breloczek puchnie :-)
>
> -jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
> czesc autoryzacji musi zabezpieczac ...
>
>

Juz kiedys bylo walkowane.
MFA pomaga ale nie w przypadku phishingu.

Problemy sa przynajmniej dwa:
1. Jak wykryc ze ktos po drugiej stronie druta to klient i do tego nie za "warstwa
czlowieka posrodku".
2. Jak wykryc ze to co ktos po drugiej stronie robi/widzi to to co ma zamiar
zrobic/zobaczyc.

IMHO, na dzis bez bardzo zaufanej infrastruktury po stronie klienta nie da sie tego
ogarnac.
Bo jak widac z arta, cale 4 dni zajelo dorobienie odpowiedniego phishingu wraz z
infrastruktura dla "man in the middle".

Uzywane telefonow z ich przywalonymi przegladarkami (gdzie czasem nie widac
szczegolow certyfikatu) temu nie pomaga.
Zreszta nawet w chrome te informacje zostaly niedawno poukrywane i nawet mnie zajelo
sporo klikania zeby sprawdzic czy numer seryjny certyfikatu serwera sie zgadza.

O fakcie ze zeby znalezc informacje o certyfikacie uzytym dzis przez dany bank to sie
trzeba nacertolic nawet jak sie ma inne urzadzenie ktore zakladamy ze nie jest
shackowane juz nie wspominam.

Krajobraz tutaj jest kiepski i to mimo a czasem dzieki wysilkom duzych.