- Subskrybuj źródło RSS
- Oznacz temat jako nowy
- Oznacz temat jako przeczytany
- Przyklej wątek Wątek u bieżącego użytkownika
- Zakładka
- Subskrybuj
- Strona dopasowana do drukarki
Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
06-09-2018 10:53
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
Cześć i czołem,
ING ponoć jest członkiem FIDO Alliance. Zaiste wpisywanie wybranych znaków, zamiast całego hasła podnosi poziom bezpieczeństwa, ale wystarczą trzy próby i już możliwie jest wygarnięcie całego hasła w ataku MIDM, czy nawet phishingowym podkładaniu lewej witryny.
Logowanie z pomocą klucza U2F znacznie podnosi bezpieczeństwo w takich przypadkach, wręcz uniemożliwia ataki phisingowe. Nawet dodanie głupiego 8 cyfrowego OATH-HOTP z trzykrotnym generowaniem byłoby jakimś utrudnieniem.
Google po dwóch latach analizowania systemu U2F zachwala te modę i reakcję na jej wdrożenie przez użytkowników.
http://fc16.ifca.ai/preproceedings/25_Lang.pdf
Klucze to prosty, tani (zależy), łatwy w obsłudze i zachowujący prywatność system weryfikacji dwuetapowej.
Można nawet wdrożyć możliwość (wedle woli) jednego klucza do logowania, a drugiego do autentykacji transakcji.
Google wspiera, Facebook wspiera (ba, nawet wziąłbym od nich funkcjonalność szyfrowania maili z pomocą przesłanego im klucza PGP), GitHub wspiera, Windows wspiera, Apple wspiera, DropBox wspiera, GNU/Linuxowe dystrybucje wspierają.
Już nie tylko Chrome, ale też Opera (która zaczęła bazować na Chromium)
TLDR;
U2F jest spoko, czemu by nie dać takiej możliwości klientom?
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
07-09-2018 11:06
Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
Bezpieczeństwo jest dla nas priorytetem, dlatego też analizujemy i weryfikujemy metodę bezpieczeństwa którą przytoczyłeś powyżej. Nie wykluczamy wprowadzenia jej w przyszłości. Dziękujemy Ci za Twoje zwrócenie uwagi na tak istotne dla nas kwestie
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
16-09-2018 00:11
Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
ostatnio sie naczytalem o okradaniu kont internetowych bankow, gdzie kondy transakcji sa przesylane smsem. A zlodzieje maja zainstalowany program na komorce (w jakims gownianej apce) co przechwytuje smsy...albo robia duplikat karty SIM (podrobiony dowod albo notarialne upowaznienie...)
Jak dla mnie wystarczyloby aby na kodzie SMSowym przeslanym na komorke dokonac prostej operacji matematycznej i dopiero jej wynik bylby kodem transakcji.
np. kod SMS 123456 + 202020 = 325476 i to wpisujemy dla potwierdzenia transakcji....nawet jakby ktos uzywal kalkulatora a nie swojego mozgu.
oczywiscie nie jest to idealne zabezpieczenie, ale jest. Przechwycenie kodu sms nie umozliwia autoryzacji transakcji trzeba jeszcze troche arytmetyki.
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
19-09-2018 16:41
Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
Obawiam się, że oszuści również poradziliby sobie z rozwiązaniem tego zadania
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
17-03-2019 10:59
Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
misiegz, aleś wymyślił skomplikowany algorytm )))))))))
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
15-09-2021 06:00
Re.: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
16-09-2021 06:37
Re: Re.: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
Logowanie do naszych systemów jest zgodne z wymaganiami PSD2. W przeglądarce jest to login i hasło oraz kod sms, który wysyłamy do klientów, gdy system zdecyduje, że jest to konieczne. W aplikacji mobilnej wymagamy logowania z zaufanego urządzenia z podaniem kodu PIN lub danych biometrycznych. Czasami poprosimy również w tym przypadku o kod, który wyślemy w wiadomości sms. W najbliższym czasie nie planujemy zmian w tym zakresie, ale Twoje sugestie przesłaliśmy do zespołu, który opiekuje się u nas tym tematem.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
17-03-2022 18:16
Re: Re.: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
Jako klientowi ING także brakuje mi autoryzacje kluczem U2F. Wiadomości tekstowe są łatwiejsze do przechwycenia, a takze przy dobrze skonstruowanym ataku fishingowym nie chronią one w ogóle użytkownika - gdyż tak jak można wyłudzić od człowieka hasła, tak mozna i kod. Klucza U2F już nie, bo fizycznie znajduje się w naszym posiadaniu.
Pozdrawiam
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
18-03-2022 18:24
Re: Re.: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość
Dziękuję za Twoją opinię w tej sprawie. Przekazałem ją do zespołu, który zajmuje się u nas bezpieczeństwem.
-----------------
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie.
Jeśli chcesz szybciej uzyskać odpowiedź, zachęcamy Cię do kontaktu na czacie w Moim ING lub skorzystania z Wirtualnego Asystenta.
- Oznacz jako nowe
- Zakładka
- Subskrybuj
- Subskrybuj źródło RSS
- Wyróżnij
- Drukuj
- Zgłoś nieodpowiednią zawartość