eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.misc.elektronikaCoś dla wrażliwych na fale em › Re: Coś dla wrażliwych na fale em
« poprzedni post
następny post »
  • X-Received: by 2002:a25:8042:: with SMTP id a2mr660621ybn.5.1569944374934; Tue, 01
    Oct 2019 08:39:34 -0700 (PDT)
    X-Received: by 2002:a25:8042:: with SMTP id a2mr660621ybn.5.1569944374934; Tue, 01
    Oct 2019 08:39:34 -0700 (PDT)
    Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!2.eu.feeder.erj
    e.net!4.us.feeder.erje.net!feeder.erje.net!weretis.net!feeder6.news.weretis.net
    !feeder.usenetexpress.com!feeder-in1.iad1.usenetexpress.com!border1.nntp.dca1.g
    iganews.com!nntp.giganews.com!o24no7012042qtl.0!news-out.google.com!x7ni456qtf.
    0!nntp.google.com!o24no7012034qtl.0!postnews.google.com!glegroupsg2000goo.googl
    egroups.com!not-for-mail
    Newsgroups: pl.misc.elektronika
    Date: Tue, 1 Oct 2019 08:39:34 -0700 (PDT)
    In-Reply-To: <5d936e64$0$525$65785112@news.neostrada.pl>
    Complaints-To: g...@g...com
    Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=199.202.9.250;
    posting-account=jnRHMAoAAACB5EawItMhNTZMy_yOF2XE
    NNTP-Posting-Host: 199.202.9.250
    References: <a...@n...neostrada.pl>
    <qmv5u9$485$1$viktoriu@news.chmurka.net>
    <5d934e4e$0$499$65785112@news.neostrada.pl>
    <qmvlo5$ctg$1$viktoriu@news.chmurka.net> <qmvpir$12cb$1@gioia.aioe.org>
    <5d936e64$0$525$65785112@news.neostrada.pl>
    User-Agent: G2/1.0
    MIME-Version: 1.0
    Message-ID: <4...@g...com>
    Subject: Re: Coś dla wrażliwych na fale em
    From: s...@g...com
    Injection-Date: Tue, 01 Oct 2019 15:39:35 +0000
    Content-Type: text/plain; charset="UTF-8"
    Content-Transfer-Encoding: quoted-printable
    Lines: 71
    Xref: news-archive.icm.edu.pl pl.misc.elektronika:746736
    [ ukryj nagłówki ]

    W dniu wtorek, 1 października 2019 10:19:02 UTC-5 użytkownik J.F. napisał:
    > Użytkownik "Piotr Wyderski" napisał w wiadomości grup
    > dyskusyjnych:qmvpir$12cb$...@g...aioe.org...
    > viktorius wrote:
    > >> Jak dla mnie, to jedyne dobre wprowadzenie PSD2, nie jakieś tam
    > >> protezy typu dodatkowy sms, z którymi bankowi złodzieje poradzili
    > >> sobie w kilka dni:
    > >> https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlo
    dzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/
    >
    > >Polecam się zaopatrzyć w to:
    > >https://www.yubico.com/product/yubikey-5-nfc
    >
    > >i zrobić sobie MFA z prawdziwego zdarzenia. Sam używam i bardzo sobie
    > >chwalę. Tylko trzeba kupić co najmniej dwa, bo w razie
    > >zagubienia/kradzieży trzeba unieważnić klucz, a jednocześnie nie
    > >odcinać sobie możliwości pracy. Wszystkie serwisy poważnie
    > >podchodzące do kwestii bezpieczeństwa pozwalają na dodanie takiego
    > >dongla.
    >
    > Tylko tak:
    > -nie ma wyswietlacza, wiec nie bedziesz wiedzial co autoryzujesz.
    > przelew 20zl za telefon, czy 200k na konto hackera,
    >
    > -co z telefonami bez NFC ? Na nich nie bede mogl skorzystac, bo nie
    > podlacze ?
    >
    > -ma to jakis przycisk ? Bo nie chcialbym sytuacji, gdy wsadzam do USB,
    > a w komputerze jakis virus przekazuje dalej i autoryzuje sto przelewow
    > po 999zl.
    >
    > -da sie wgrac klucze do roznych systemow? Male to, ale jakbym mial do
    > kazdego banku jeden, to breloczek puchnie :-)
    >
    > -jest to jakos zabezpieczone przed kradzieza ? Chyba nie, to druga
    > czesc autoryzacji musi zabezpieczac ...
    >
    >

    Juz kiedys bylo walkowane.
    MFA pomaga ale nie w przypadku phishingu.

    Problemy sa przynajmniej dwa:
    1. Jak wykryc ze ktos po drugiej stronie druta to klient i do tego nie za "warstwa
    czlowieka posrodku".
    2. Jak wykryc ze to co ktos po drugiej stronie robi/widzi to to co ma zamiar
    zrobic/zobaczyc.

    IMHO, na dzis bez bardzo zaufanej infrastruktury po stronie klienta nie da sie tego
    ogarnac.
    Bo jak widac z arta, cale 4 dni zajelo dorobienie odpowiedniego phishingu wraz z
    infrastruktura dla "man in the middle".

    Uzywane telefonow z ich przywalonymi przegladarkami (gdzie czasem nie widac
    szczegolow certyfikatu) temu nie pomaga.
    Zreszta nawet w chrome te informacje zostaly niedawno poukrywane i nawet mnie zajelo
    sporo klikania zeby sprawdzic czy numer seryjny certyfikatu serwera sie zgadza.

    O fakcie ze zeby znalezc informacje o certyfikacie uzytym dzis przez dany bank to sie
    trzeba nacertolic nawet jak sie ma inne urzadzenie ktore zakladamy ze nie jest
    shackowane juz nie wspominam.

    Krajobraz tutaj jest kiepski i to mimo a czasem dzieki wysilkom duzych.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Polecamy

Artykuły promowane

newsletter rss

Eksperci egospodarka.pl

1 1 1

Najnowsze w serwisie

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: