J.F. wrote:

> Tylko tak:
> -nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
> przelew 20zl za telefon, czy 200k na konto hackera,

Przecież to jest MULTIfactor Authentication, a nie zastępnik.
Dobezpiecza, a nie zabezpiecza. A teraz skąd wiesz, co autoryzujesz?
Nic się nie zmieni.

> -co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
> podlacze ?

Jak będziesz nosił kabelek USB w kieszeni, to podłączysz.

> -ma to jakis przycisk ?

Ma. To złote pole z logo to właśnie ten przycisk.

> -da sie wgrac klucze do roznych systemow?

Tam się nic nie wgrywa. To potwierdza *swoją* tożsamość jednym z kilku
wspieranych protokołów challenge-response. Nie Twoją.

> Male to, ale jakbym mial do
> kazdego banku jeden, to breloczek puchnie :-)

Breloczkiem dobezpieczasz LastPass, a w LastPass trzymasz hasła do
innych systemów. Oraz swoje konto poczty, bo to jest dla Ciebie miejsce
krytyczne. Mając dostęp do Twojego konta e-mail mogę potwierdzać
polecenie zmiany hasła w innych systemach, więc Twoje bezpieczeństwo
jest dokładnie takie, jak Twojego e-maila. Do Gmaila i Protona ten
kluczyk się da podłączyć.

> -jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga czesc
> autoryzacji musi zabezpieczac ...

To jest właśnie literka M w MFA. Musisz mieć np. hasło *oraz* ten
kluczyk. Osobno są bezwartościowe.

Pozdrawiam, Piotr

do góry

Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qmvuuj$1s6v$...@g...aioe.org...
J.F. wrote:
>> Tylko tak:
>> -nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
>> przelew 20zl za telefon, czy 200k na konto hackera,

>Przecież to jest MULTIfactor Authentication, a nie zastępnik.
>Dobezpiecza, a nie zabezpiecza. A teraz skąd wiesz, co autoryzujesz?
>Nic się nie zmieni.

Teraz przychodzi SMS-sem co autoryzuje ...

>> -co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
>> podlacze ?
>Jak będziesz nosił kabelek USB w kieszeni, to podłączysz.

Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala :-)

>> -ma to jakis przycisk ?
>Ma. To złote pole z logo to właśnie ten przycisk.

>> -da sie wgrac klucze do roznych systemow?
>Tam się nic nie wgrywa. To potwierdza *swoją* tożsamość jednym z
>kilku
>wspieranych protokołów challenge-response. Nie Twoją.

To musialyby sie banki zdecydowac akurat na to.
No i producent musialby zadbac, zeby tego nikt nie zlamal ...

>> Male to, ale jakbym mial do kazdego banku jeden, to breloczek
>> puchnie :-)

>Breloczkiem dobezpieczasz LastPass, a w LastPass trzymasz hasła do
>innych systemów.

Ale to chyba nie beda zmienne ?

> Oraz swoje konto poczty, bo to jest dla Ciebie miejsce
>krytyczne. Mając dostęp do Twojego konta e-mail mogę potwierdzać
>polecenie zmiany hasła w innych systemach, więc Twoje bezpieczeństwo
>jest dokładnie takie, jak Twojego e-maila. Do Gmaila i Protona ten
>kluczyk się da podłączyć.

No chyba, ze bank uzna poczte za zbyt niebezpieczna.
Bo w sumie czemu uznac za bezpieczna ...

>> -jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
>> czesc autoryzacji musi zabezpieczac ...

>To jest właśnie literka M w MFA. Musisz mieć np. hasło *oraz* ten
>kluczyk. Osobno są bezwartościowe.

Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza
ilosc hackerow ktorzy moga to zrobic ...

J.

do góry

J.F. wrote:

> Teraz przychodzi SMS-sem co autoryzuje ...

I dalej będzie przychodzić. :-)

> Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala :-)

Owszem, to jest koszt znacznego podniesienia poziomu bezpieczeństwa.

> To musialyby sie banki zdecydowac akurat na to.
> No i producent musialby zadbac, zeby tego nikt nie zlamal ...

Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie.
No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z
Twoich problemów. :-)

> Ale to chyba nie beda zmienne ?

Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla
każdego portalu/serwisu. Nawet ja nie znam swoich. :-)
Znam tylko hasło do googla i do LastPassa. Oba dobezpieczyłem kluczykiem.

> No chyba, ze bank uzna poczte za zbyt niebezpieczna.
> Bo w sumie czemu uznac za bezpieczna ...

Musi istnieć jakiś sposób komunikacji z klientem, choćby
celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być e-mail
-- a czemu nie, jeden pies. Tak czy inaczej ten kanał to jest Twój
główny zasób do ochrony, bo dzięki niemu rozbezpieczysz/przejmiesz
pozostałe.

> Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza
> ilosc hackerow ktorzy moga to zrobic ...

I widzi babcia. :-)

Na początku musisz sobie stworzyć model zagrożenia, przed którym się
bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od tysiąca
przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa przemysłowego,
inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz HVT
(High Value Target), to nikt raczej nie będzie się bawił w atak na
Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych ataków
jest na białko. Podstawi Ci się cycatą blondynę or compatible i
podbijesz statystykę. W wersji soft pewnego słonecznego dnia znajdziesz
na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest... :-)

Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy.
Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.

Pozdrawiam, Piotr

do góry

Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:qn020i$bk4$...@g...aioe.org...
J.F. wrote:
>> Teraz przychodzi SMS-sem co autoryzuje ...

>I dalej będzie przychodzić. :-)

No to juz trzecia autoryzacja ... wiec po co przeplacac :-)

>> To musialyby sie banki zdecydowac akurat na to.
>> No i producent musialby zadbac, zeby tego nikt nie zlamal ...

>Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie.
>No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z
>Twoich problemów. :-)

Albo producent popelnil jakis blad i sie zlamie latwo.

>> Ale to chyba nie beda zmienne ?
>Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla
>każdego portalu/serwisu. Nawet ja nie znam swoich. :-)

Ale stale są ?
To raz ktos podejrzy/podslucha i bedzie znal.

>> No chyba, ze bank uzna poczte za zbyt niebezpieczna.
>> Bo w sumie czemu uznac za bezpieczna ...

>Musi istnieć jakiś sposób komunikacji z klientem, choćby
>celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być
>e-mail -- a czemu nie, jeden pies.

A moze sms ?
Bo uznac e-mail za bezpieczny ... moze po dobezpieczeniu PGP...

>> Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz
>> ogranicza ilosc hackerow ktorzy moga to zrobic ...

>I widzi babcia. :-)

>Na początku musisz sobie stworzyć model zagrożenia, przed którym się

Wszystkie :-)

>bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od
>tysiąca
>przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa
>przemysłowego,
>inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz
>HVT
>(High Value Target), to nikt raczej nie będzie się bawił w atak na
>Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych
>ataków
>jest na białko. Podstawi Ci się cycatą blondynę or compatible i
>podbijesz statystykę. W wersji soft pewnego słonecznego dnia
>znajdziesz
>na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest...
>:-)

>Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy.
>Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.

Ale potem ta dzieciarnia idzie do pracy i pracuje u bogatego szefa.
Albo np w klubie fitness..

J.

do góry

On Tue, 1 Oct 2019 14:59:44 +0200, RadoslawF <u...@d...invalid>
wrote:
> Na pewno Polski?
> Tworzy go firma amerykańska.

Amerykański oddział Polskiej spółki. Taki jest wymóg Kickstartera.

--
Marek

do góry

J.F. wrote:

> No to juz trzecia autoryzacja ... wiec po co przeplacac :-)

W tym przypadku masz rację. SMS to też dobra realizacja MFA.

> Albo producent popelnil jakis blad i sie zlamie latwo.

Nawet jeśli, to bez fizycznego dostępu do klucza nie poszalejesz.

> Ale stale są ?
> To raz ktos podejrzy/podslucha i bedzie znal.

Zawsze są stałe. Czynnik zmienny wprowadza SMS albo inny token lub
klucz. Nie wszystkie moje zasoby są równocenne, a wszystkich haseł nie
podsłuchasz.

> A moze sms ?

Te cenniejsze portale przesyłają kod jednorazowy SMS.

> Bo uznac e-mail za bezpieczny ... moze po dobezpieczeniu PGP...

Niemniej tak się na świecie utarło, co zrobisz. W praktyce całość się
sprowadza do tego, by się głupio nie podłożyć. Uciekanie przed
niedźwiedziem nie polega na tym, by być najszybszym biegaczem w grupie.
Wystarczy nie być najwolniejszym.

>> Na początku musisz sobie stworzyć model zagrożenia, przed którym się
>
> Wszystkie :-)

No to Ty niezły kozak jesteś.

> Ale potem ta dzieciarnia idzie do pracy i pracuje u bogatego szefa.
> Albo np w klubie fitness..

Err.. Chewbacca defense?

Pozdrawiam, Piotr

do góry

W dniu 2019-10-01 o 16:00, RadoslawF pisze:
> W dniu 2019-10-01 o 15:53, viktorius pisze:
>
>>>> Inny wywiad u tego samego gościa:
>>>> https://www.youtube.com/watch?v=y-zKCDqnP3k&t
>>>>
>>>> Tutaj mieli pomysł, zaimplementowali. Ale im udało się wyjść o krok,
>>>> duuuży krok dalej, czyli do sprzedaży. I to na zajebiście trudnym
>>>> rynku. Bo obok telekomunikacji, to chyba tylko rynek bankowy jest
>>>> też tak mocno obwarowany przepisami, regulacjami, nadzorem.
>>>
>>> Bardzo ładna teoria.
>>> Poczytał bym opinie kogoś kto tego używał kilka miesięcy.
>>> Bo wedle mojej wiedzy mało kto używa klawiatury zawsze tak samo.
>>> Raz nam się śpieszy, innym razem klepiemy znudzeni w te klawisze
>>> powoli, bywa że jesteśmy zaspani, chorzy czy nie do końca trzeźwi.
>>> Bo facet to tłumaczy że program da radę ale co na to praktyka?
>>>
>>>
>> Nikt tego jeszcze nie używał komercyjnie, usługa na razie w fazie
>> testów, można zapisać się do pilotażu:
>> https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
>> Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
>> użytkowników, to wewnętrzne testy już dawno zaakceptowane.
>
> Nie mam kont w obu podanych bankach.
> Więc spokojnie czekam na opis działanie tego w praktyce.
> Ja przewiduje z tą metodą problemy ale poczekamy zobaczymy.
>

Ja mam mBank, zapisałem się na testy tylko jak odkryłem, że Chrobi macza
w tym palce. Pracowałem z nim dawno temu, jeśli nadal ma taki łeb jak
kiedyś, to ma to szanse działać dobrze. Może agituję, bo znam gościa,
ale jego pomysł z wyeliminowaniem białka w procesie bezpieczeństwa jest
całkiem do rzeczy.

>> Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
>> protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
>> sobie w kilka dni:
>> https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlo
dzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/
>
>
> No ale te SMSy to wynik tej dyrektywy.  :-)
>

Nie, PSD2 wymusza, żeby uwierzytelnienie było "silne", czyli co najmniej
2 niezależne sposoby uwierzytelniania. Po taniości większość banków
dorzuciła do loginu/hasła wymóg podania treści smsa. Dyrektywę spełnili,
UE się nie doczepi, a jak widać powyżej, 4 dni i po "silnym" zabezpieczeniu.

> Generalnie bezpieczeństwo w dużej mierze zależy od użyszkodnika.
> Jak zainstalujesz pancerne drzwi z kilkoma patentowymi zamkami
> a użytkownik zamków nie zamyka to czyja wina? Bo raczej nie drzwi.
> Opisana w linku metoda to oszukiwanie użytkownika a nie
> systemu bankowego.
>

Masz racje, ale własnie o to chodzi, żeby zabezpieczyć ogół
użytkowników, który zwykle nie zamyka pancernych drzwi, bo nie jest
dobry tak w bezpieczeństwie jak Piotr Wyderski, który zaopatrzył się w
youbikey.

Sposób wymyślony przez Digital Fingerprints eliminuje białko, czyli
słabości ludzkie.
Nawet jak ktoś wyrwie ci kompa z reki, na którym jesteś zalogowany do
banku, to po sposobie łażenia po tej stronie bankowej aplikacja jest w
stanie wykminic, że to prawdopodobnie to nie ty. Chwilowo zablokuje
dostęp, poprosi wtedy o smsa, próbkę krwi, nerkę, whatever. Ich algorytm
ma za zadanie zapalić lampeczkę, że coś jest na rzeczy, to bank decyduje
co z tą informacja zrobić dalej.

--
viktorius

do góry

W dniu 2019-10-02 o 09:26, viktorius pisze:

>>>>> Inny wywiad u tego samego gościa:
>>>>> https://www.youtube.com/watch?v=y-zKCDqnP3k&t
>>>>>
>>>>> Tutaj mieli pomysł, zaimplementowali. Ale im udało się wyjść o
>>>>> krok, duuuży krok dalej, czyli do sprzedaży. I to na zajebiście
>>>>> trudnym rynku. Bo obok telekomunikacji, to chyba tylko rynek
>>>>> bankowy jest też tak mocno obwarowany przepisami, regulacjami,
>>>>> nadzorem.
>>>>
>>>> Bardzo ładna teoria.
>>>> Poczytał bym opinie kogoś kto tego używał kilka miesięcy.
>>>> Bo wedle mojej wiedzy mało kto używa klawiatury zawsze tak samo.
>>>> Raz nam się śpieszy, innym razem klepiemy znudzeni w te klawisze
>>>> powoli, bywa że jesteśmy zaspani, chorzy czy nie do końca trzeźwi.
>>>> Bo facet to tłumaczy że program da radę ale co na to praktyka?
>>>>
>>>>
>>> Nikt tego jeszcze nie używał komercyjnie, usługa na razie w fazie
>>> testów, można zapisać się do pilotażu:
>>> https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
>>> Ale skoro bank już chce to testować na jakiejś tam grupie chętnych
>>> użytkowników, to wewnętrzne testy już dawno zaakceptowane.
>>
>> Nie mam kont w obu podanych bankach.
>> Więc spokojnie czekam na opis działanie tego w praktyce.
>> Ja przewiduje z tą metodą problemy ale poczekamy zobaczymy.
>>
>
> Ja mam mBank, zapisałem się na testy tylko jak odkryłem, że Chrobi macza
> w tym palce. Pracowałem z nim dawno temu, jeśli nadal ma taki łeb jak
> kiedyś, to ma to szanse działać dobrze. Może agituję, bo znam gościa,
> ale jego pomysł z wyeliminowaniem białka w procesie bezpieczeństwa jest
> całkiem do rzeczy.

Jeśli zadziała tak jak opisują. Z doświadczenia wiem że przeważnie
działa troszeczkę inaczej. Dlatego dalej twierdzę że trzeba poczekać
na kogoś kto tego poużywa kilka miesięcy.

>>> Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
>>> protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
>>> sobie w kilka dni:
>>> https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlo
dzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/
>>
>>
>>
>> No ale te SMSy to wynik tej dyrektywy.  :-)
>>
>
> Nie, PSD2 wymusza, żeby uwierzytelnienie było "silne", czyli co najmniej
> 2 niezależne sposoby uwierzytelniania. Po taniości większość banków
> dorzuciła do loginu/hasła wymóg podania treści smsa. Dyrektywę spełnili,
> UE się nie doczepi, a jak widać powyżej, 4 dni i po "silnym"
> zabezpieczeniu.

I telefon który każdy nosi przy sobie więc może go zgubić lub
łatwo go ukraść ma być silniejsze od kodów jednorazowych?
Które u mnie zlikwidowali bo zastąpili SMSami.

>> Generalnie bezpieczeństwo w dużej mierze zależy od użyszkodnika.
>> Jak zainstalujesz pancerne drzwi z kilkoma patentowymi zamkami
>> a użytkownik zamków nie zamyka to czyja wina? Bo raczej nie drzwi.
>> Opisana w linku metoda to oszukiwanie użytkownika a nie
>> systemu bankowego.
>>
>
> Masz racje, ale własnie o to chodzi, żeby zabezpieczyć ogół
> użytkowników, który zwykle nie zamyka pancernych drzwi, bo nie jest
> dobry tak w bezpieczeństwie jak Piotr Wyderski, który zaopatrzył się w
> youbikey.
>
> Sposób wymyślony przez Digital Fingerprints eliminuje białko, czyli
> słabości ludzkie.
> Nawet jak ktoś wyrwie ci kompa z reki, na którym jesteś zalogowany do
> banku, to po sposobie łażenia po tej stronie bankowej aplikacja jest w
> stanie wykminic, że to prawdopodobnie to nie ty. Chwilowo zablokuje
> dostęp, poprosi wtedy o smsa, próbkę krwi, nerkę, whatever. Ich algorytm
> ma za zadanie zapalić lampeczkę, że coś jest na rzeczy, to bank decyduje
> co z tą informacja zrobić dalej.

Tyle teoria.
A ja się zastanawiam czy nie będzie prosił o te potwierdzenia bo
w poniedziałek to ja będę wczorajszy, we wtorek przeziębiony
a w środę będę klepał w nerwowym pospiechu bo w pracy coś tam.

I nastąpi efekt bardzo silnego hasła wymuszanego przez firmowych
informatyków które każdy z pracowników zapisuje na blacie lub
kartce i chowa pod klawiaturą. W efekcie hasła jakby nie było.

Tu jak nastąpią takie zbędne i niepotrzebne uwierzytelniania
to ludzie lub nawet bank zrezygnują z usługi.


Pozdrawiam

do góry

On Wed, 2 Oct 2019 13:05:19 +0200, RadoslawF <u...@d...invalid>
wrote:
> I telefon który każdy nosi przy sobie więc może go zgubić lub
> łatwo go ukraść ma być silniejsze od kodów jednorazowych?
> Które u mnie zlikwidowali bo zastąpili SMSami.

No jak Twoje kody jednorazowe mają face id ewentualnie pytają o pin
przed dostępem to ja też takie chcę.
Chociaż po zastanowieniu - jednak nie, telefon wygodniejszy

--
Marek

do góry

viktorius <v...@i...pl> wrote:

> Co prawda nie chodzi o ból głowy człowieka, tylko chwilowy ból "głowy"
> elektroniki:
>
> https://www.facebook.com/tomasz.uob/posts/3588476914
511378

Oj tam, sygnalizatory. Mi się udało tak "sterować" windą, w której byłem.
Odległość mniejsza, ale moc też (4 W).

Schindler.

> Nie znam się na normach, ale czy "amatorskie radio" o mocy "raptem" 50W
> to jest dozwolone przepisami?

Zależy, czy masz pozwolenie radiowe lub licencję na konkretną
częstotliwość.

Ja mam w pozwoleniu wpisane 150 W. Było wydane na 10 lat, wygaśnie
w połowie 2020 r. i wtedy będę mógł dostać (jeśli nic się w międzyczasie
nie zmieniło) 500 W. Inna sprawa, że w życiu nie używałem nawet 50 W.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

do góry