J.F. <j...@p...onet.pl> wrote:
> Użytkownik "ydziO" napisał w wiadomości grup
> dyskusyjnych:5ffc5072$0$545$6...@n...neostrada.
pl...
> J.F. <j...@p...onet.pl> wrote:
>> Użytkownik "kk" napisał w wiadomości grup
>>>>> Nie fanzol o inaczach, tylko napisz, jak Ty się zalogujesz do
>>>>> mojego
>>>>> banku i zrobisz przelew z mego konta, gdy pozostawię na biurku
>>>>> niezablokowany telefon i wyjdę na 5 minut do sracza.
>>
>>>> Normalnie: zaloguje się do banku danymi, które pozyskał cyfrowo po
>>>> poprzednim pozostawieniu telefonu na biurku.
>>
>>> Raczej nie. Te apki ukrywaja login do ST, haslo tez inne, no chyba,
>>> ze
>>> jakis hacker potrafi z apki wyciagnac dane.
>>> Ale ... mowa byla o SMS a nie o apce
>
>>> ... no chyba, ze by tak zajrzec do przegladarki w telefonie, moze
>>> tam
>>> zapamietany login.
>
>> Też nie. :-)
>> Pole hasło jest maskowane i żadna przeglądarka nie zapamiętuje, bo za
>> każdym razem musisz wpisać inne litery/cyfry/znaki.
>
> Hm, a mnie firefox proponuje zapamietanie hasla do mbanku, bo nie jest
> maskowane.
>
Maskowane też zaproponuje tylko że zapamięta jedną literę/znak (sprawdzałem
na chrome, firefoxa już nie używam).

>> Ostatnio spotkałem sie że bank Santander pozwalał na autoryzację
>> niemaskowanym hasłem, tylko pełnym. Ale to na wyraźne ustawienie
>> użytkownika konta. Oczywiście jest to wielce niezalecane.
>
> Z drugiej strony mamy taki alior, gdzie czesto wystarczy podac 3 znaki
> z hasla.


I to jest właśnie maskowanie hasła. Losowo za każdym razem masz wpisać inny
znak z hasła. A to jest po to, że jak byś miał na komputerze keylogera, to
masz hasło jak na dłoni. Wymyślili więc maskowanie hasła. A jak byś chciał
złożyć to hasło po zebraniu tych "kawałków", to wtedy też są reguły zmiany
hasła narzucone przez bank, ktore spowodują że zmienisz hasło zanim ktoś
złoży po tych wpisywanych 3 znakach twoje hasło.
Drugim sposobem na keylogera jest klawiatura ekranowa, ktorą można wybrać
podczas logowania. Wtedy na keylogerze bedziesz miał tylko "klik, klik,
klik", bo tylko to przechwyci.

W każdym razie jak jest dostęp do telefonu bez pin i jeszcze do komputera
ofiary, to już wystarczy poznać login i hasło do banku ofiary. A do tego
wystarczy zmiana DNS na komputerze lub wysłać e-mail.
Jeżeli ktoś ma uśpioną czujność, bo nie blokuje telefonu PIN-em, to jest
naprawdę spore prawdopodobieństwo pozyskania jego pieniędzy.

Nie wiem też czy czasem nie ma keylogerów, ktore przechwytują znaki z pól
stron internetowych. Wtedy klawiatura ekranowa nie pomoże.

>
> Jest spora szansa trafienia losowego ..
>
Wierzysz w to, że po kilku nieudanych próbach zgadywania, bank nie
zastosuje jakichś mechanizmów zabezpieczających to konto?

> J.
>
>