> Ez marhaság, hogy megkerüli a PC-t. Hogy kerülné, mikor USB-vel a géphez van csatlakoztatva? Nem a kütyün írja be a pinkódot, hanem a számítógépen!
Ez itt a lenyeg. Innettol kezdve az egesz kuka.
> ... a mailware program ezt is simán tudja figyelni ...
Az "malware", nem "mailware" --> malicious software.
A fentire pedig van ket eleg hatekony megoldas: 1. Linux vagy FreeBSD-s live cd. 2. Felhasznalo azonositas: nev + szamlaszam + min 16 jegyu jelszonak CSAK 2 vagy 3 karakteret keri be veletlenszeruen, soha nem az egeszet.
Dolgoztam régebben ilyen "szakembereknek", és az alapján amit írtál, hogy bocsássuk el õket, és vegyünk fel a helyükre amatõröket nem igazán hozna minõségbeli változást a biztonsági megoldásaikban.
Ettõl mind a lentebb említett SMS-es megoldás, mind a WoW-ban alkalmazott authentication token megoldás sokkal hatékonyabb. Tokenes megoldás lényege az, hogy van egy kis kulcstartó méretû, sorozatszámmal ellátott (ezt regnél meg kell adni) külsõ behatásoknak ellenálló, felbonthatatlan, semmihez sem csatlakoztatható, kb 10 évig mûködõ kütyüd, amin ha megnyomsz egy gombot kiír egy 6 jegyû számot. Ezt a számot bejelentkezéskor a neved és jelszavad mellett meg kell adni. A fogadó szerver tudja, hogy mely számról indult el az adott kütyü (sorozatszám+reg miatt), és hogy most "hol tart". Nyilván a számok nem egyesével változnak, hanem egy algoritmus alapján. A 6 jegyû szám csupán pár másodpercig, azon belül is csak 1 bejelentkezésig él. Vagyis ha ellopják a jelszavad és a 6 jegyû kódot is, akkor sem tudnak azzal a kóddal újra bejelentkezni, mivel te már bejelentkeztél 1x. Ha ezt blokkolnák, akkor is van max 15 másodpercük - ami alatt te beírtad a számokat. Persze ha a kütyüt megszerzik, és a jelszavad is tudják, akkor bukta, de netes bûnözésnél az nem túl valószínû hogy az asztalodon lévõ cuccost is ellopják.
Nos én úgy vélem,ha ez egy bootolható eszköz, ami saját bankterminált indít és azon keresztül lehet belépni, akkor elég biztonságos lehet,de a jelszót és felhasználói nevet akkor is meg kéne hagyni.
Szerintem bocsássuk el a Zurich Labs munkatársait, és küldjünk offereket az innovatív SG.hu fórumozóknak. Láthatóan hozzáértõbbek. Szólok is Samnek :)
Az uzletben ("biznicben") nem az a biztonsag szamit, ami van, hanem az, amit az ugyfel hisz hogy van. Ugyanez az allitas igaz a minoseggel kapcsolatban is, es mas dolgokkal kapcsolatban is... ...mig vegul eljutunk oda, hogy semmivel kapcsolatban sem az szamit ami van, hanem amit az ember hisz hogy van. Ezert a mai fura vilagban, mindenhol ahol csak megjelenik az emberi faktor, ott a hiedelmek apolasa mindig fontosabb, mint az hogy mi a valosag.
hmm. Nekem még mindig elég biztonságosnak tûnik az, hogy a belépési adatok megadása után (azonosító, felhasználói név - ami nem feltételnül az ügyfélnév, jelszó) sms-ben kapott kóddal (ami 10 percig érvénes) léphetek be a netbankba. Bármilyen pénzmozgáshoz újabb sms-ben kapott kód kell.
Keyloggerrel le lophatják a jelszót, de az így már nem elég mint eddig, magát az eszközt is el kell lopni. Azt pedig gyorsan észreveszi az ember.
Ha ellopják, nem érnek el vele a világon semmit, mert a jelszó közvetlenül nincs rajta tárolva. Valószínû a szoftvere a jelszót úgy tárolja, hogy a te gépeden van egy része a kódnak a másik az eszközön...legalábbis remélem. Vagy valamilyen MD5 megoldás. Szóval ha banki tranzakciót tud indítani jelszó nélkül, ahhoz a géped is kell.
Csodás masina. De nem biztonságosabb mint a jelenlegi módszerek, semmivel sem.Jahogy miért?
Mert itt arról van szó, hogy a tranzakciós adatok nem a PC kábelén mennek, hanem a kütyü GSM "vonalán", vagy ha van wifi akkor arra csatlakozik, tehát a PC-n keresztüli utat valóban megkerüli.
Nade.
Ez marhaság, hogy megkerüli a PC-t. Hogy kerülné, mikor USB-vel a géphez van csatlakoztatva? Nem a kütyün írja be a pinkódot, hanem a számítógépen! Innentõl kezdve a mailware program ezt is simán tudja figyelni, vagy akár egy puszta keylogger.
Na a másik dolog, meg, hogy ugye vannak ezek a kedves mailek, amiben a bank másolt oldalát elküldik, és kérik hogy írd be a jelszót!
1 bites user beírja Ez a kütyü megkerülve agyontitkosítva elküldi a szervernek a csomagot. A kütyü fogadja a szervertõl a csomagot, hogy sikeres a tranzakció, amit a HAMIS oldaltól kapott. Cracker szellemû egyén meg ismét meggazdagodik.
Emberi hülyeségtõl ez sem véd meg. A legtöbb lopás, nem úgy történik, hogy közbeékelõdik akármi...hanem keyloggerekkel, mailware programokkal, hidrákkal,hamis banki oldalakkal. Ezek ellen ez pontosan 0 védelmet nyújt. Viszont sok ostoba meg fogja kaljálni, aztán jól befürdik vele.
nekem ilyenekkel nincs problémám, egyik haverom a saját szobámban nyúlta le a hitelkártya adataim és nullázta a számlámat.
"Az eszköznek köszönhetõen nincs szükség PIN-kódokra, titkosításokra vagy egy tranzakció külön, akár jelszó megadásával történõ megerõsítésére. " "bárhol, akár útközben, idegen számítógépeken is alkalmazható és a használatához nincs szükség kiegészítõ szoftver telepítésére sem." aha. szóval ha ellopják, akkor a tolvaj az elsõ hotspot-nál minden különösebb manõver nélkül percek alatt leemelhet mindent a számlámról.