|
Raport o stanie zabezpieczeń polskiej bankowości elektronicznej
Dla zainteresowanych - http://security.psnc.pl/reports/e-ba...ssl_report.pdf
|
no nie, porażka.
serwer inteligo wspiera oraz umożliwia degradację połączenia do przestarzałego i niebezpiecznego protokołu ssl 2 :| natomiast w czołówce nagorzej zabezpieczonych serwerów jest zachwalany przez niektórych mbank :| a wtóruje mu, co nie trudno uwierzyć nasz narodowy moloch pkobp, który jest właścicielem inteligo :O |
Cytat:
|
Witam !
Niestety niewesoło to wygląda; mam konto w Inteligo i trochę mnie to zmartwiło - z tym, że jak widać, w większości banków jest fatalnie - np. w tak popularnym mBank'u. Mam nadzieję, że ten raport dotrze tam gdzie trzeba i szybko coś z tym zrobią - z tego raportu wnioskuję, że nie potrzeba na to jakiś wielkich nakładów tylko trochę pracy ... ro29 |
miałem zamiar to sobie wydrukować i choroba, coś mi drukarka nie odpowiada.......zapomniałem, że kabel oddałem siostrzeńcowi i miałem kupić.....no to mi się przypomniało ^_^
a wracają do tematu to naprawdę odechciało mi się chwilowo zakładać sobie konto internetowe. |
ale np w inteligo bez karty kodow nawet jak ci na konto wejdzie to sobie moze...
|
w mBnaku to samo. bez haseł jednorazowych nic się nie zrobi.
|
ciekawe tylko jak trudno spreparowac takie kody....
w sumie duzo to ja na koncie nie trzymam bo od razu zamieniam gotowke na dobra materialne, ale raport "dosc" alarmujacy .... eh.... |
Witam!
Kodow jednorazowych (hasel) w mBanku nie spreparujesz, poniewaz jest to karteczka z wydrukowanymi, ponumerowanymi haslami, posiadajaca swoj unikalny numer, wydrukowana tylko w jednym egzemplarzu i przeslana do klienta. Zeby z niej korzystac nalezy na stronie mBanku najpierw ja aktywowac dana liste, jesli sie ja zgubi, lub ulegnie zniszczeniu nie da sie odtworzyc hasel i trzeba wystosowac pismo do mBanku o nowa liste z nowymi haslami, a stara wystarczy deaktywowac. Nawet jesli ktos zna nasze haslo i login do konta, to i tak nie wykona zadnych operacji bez owych hasel jednorazowych. Mysle, ze to zabezpieczenie jest lepsze od generatorow kodow :) |
dokladnie to samo ma inteligo wyglada to jak karta do bankomatu
|
Cytat:
tylko jezeli "serwis" wie ze wpisalem dobry numer, to musi skads wiedziec ze ten numer jest na mojej kartce kodow, wiec jakis schemat istnieje... albo baza danych z wszytkimi numerkami z kart... wtedy tez mozna sie wlamac i wykrasc takie dane jak odbywa sie weryfikacja takiego kodu?... |
Cytat:
Sprawa jest złożona - z jednej bowiem strony prawdą jest, że bez karty kodów naprawdę niewiele na koncie można zdziałać - aczkolwiek już sam fakt, że ktoś mógłby na nie wejść i zobaczyć nasze dane (adres, telefon, PESEL !!), oraz stan konta, jest bardzo niepokojący (oczywiście im więcej ktoś ma, tym gorzej ;) ). Natomiast z drugiej strony - jak napisał @Predi - te kody gdzieś w systemie banku są zapisane przecież - jako np. tablica która porównuje to co podamy z tym co ma zapisane pod danym numerem - więc to nie jest tak do końca w jednym unikalnym egzemplarzu - w systemie to jest. I pytanie brzmi - jak dobrze ten system jest zabezpieczony ? Oczywiście tutaj potrzebujemy już naprawdę dobrego hackera - ale przecież nie takie zabezpieczenia ludzie łamią ... Natomiast kwestia tokena - ma raczej plusy - np. kolega ma konto w Lukas Bank i mając token musi go także użyć przy logowaniu - to chyba duży plus. I chyba z założenia token jest bezpieczniejszy - to jednak generator, a nie stałe dane - tylko jak jest tak do końca to sam już nie wiem ;) Oczywiście w kwestii bezpieczeństwa ogólnie rzecz ujmując, dużo zależy od nas samych. Oczywiście do pewnego momentu ... Pozdrawiam ro29 |
Inteligo korzysta z SSL wersji 3.0
http://www.inteligo.pl/infosite/ofer...ieczenstwo.htm Cytat:
|
| Wszystkie czasy w strefie CET. Aktualna godzina: 11:43. |
Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2025, vBulletin Solutions Inc.