Bankowość internetowa

Odpowiedz
Highlighted

Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP

Cześć i czołem,

ING ponoć jest członkiem FIDO Alliance. Zaiste wpisywanie wybranych znaków, zamiast całego hasła podnosi poziom bezpieczeństwa, ale wystarczą trzy próby i już możliwie jest wygarnięcie całego hasła w ataku MIDM, czy nawet phishingowym podkładaniu lewej witryny.

Logowanie z pomocą klucza U2F znacznie podnosi bezpieczeństwo w takich przypadkach, wręcz uniemożliwia ataki phisingowe. Nawet dodanie głupiego 8 cyfrowego OATH-HOTP z trzykrotnym generowaniem byłoby jakimś utrudnieniem.

Google po dwóch latach analizowania systemu U2F zachwala te modę i reakcję na jej wdrożenie przez użytkowników.

http://fc16.ifca.ai/preproceedings/25_Lang.pdf

Klucze to prosty, tani (zależy), łatwy w obsłudze i zachowujący prywatność system weryfikacji dwuetapowej.

 

Można nawet wdrożyć możliwość (wedle woli) jednego klucza do logowania, a drugiego do autentykacji transakcji.

 

Google wspiera, Facebook wspiera (ba, nawet wziąłbym od nich funkcjonalność szyfrowania maili z pomocą przesłanego im klucza PGP), GitHub wspiera, Windows wspiera, Apple wspiera, DropBox wspiera, GNU/Linuxowe dystrybucje wspierają.

 

Już nie tylko Chrome, ale też Opera (która zaczęła bazować na Chromium)

 

TLDR;

U2F jest spoko, czemu by nie dać takiej możliwości klientom?

Pomian
Doradca z ambicjami
Doradca z ambicjami icon
3
2
06-09-2018
Wiadomość 1 z 5 (7 229 wyświetleń)
Highlighted

Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP

Bezpieczeństwo jest dla nas priorytetem, dlatego też analizujemy i weryfikujemy metodę bezpieczeństwa którą przytoczyłeś powyżej. Nie wykluczamy wprowadzenia jej w przyszłości. Dziękujemy Ci za Twoje zwrócenie uwagi na tak istotne dla nas kwestie Emotikon: Szczęśliwy

Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
ŁukaszW
Moderator
Moderator icon
529
158
12-10-2015
Wiadomość 2 z 5 (7 204 wyświetleń)
Highlighted

Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP

ostatnio sie naczytalem o okradaniu kont internetowych bankow, gdzie kondy transakcji sa przesylane smsem.  A zlodzieje maja zainstalowany program na komorce (w jakims gownianej apce) co przechwytuje smsy...albo robia duplikat karty SIM (podrobiony dowod albo notarialne upowaznienie...)

 

Jak dla mnie wystarczyloby aby na kodzie SMSowym przeslanym na komorke dokonac prostej operacji matematycznej i dopiero jej wynik bylby kodem transakcji.

 

np. kod SMS 123456 + 202020 = 325476 i to wpisujemy dla potwierdzenia transakcji....nawet jakby ktos uzywal kalkulatora a nie swojego mozgu.

 

oczywiscie nie jest to idealne zabezpieczenie, ale jest. Przechwycenie kodu sms nie umozliwia autoryzacji transakcji trzeba jeszcze troche arytmetyki.

Odpowiedz
0 Lajków
misiekzg
Nowy w branży
Nowy w branży icon
1
0
15-09-2018
Wiadomość 3 z 5 (7 075 wyświetleń)
Highlighted

Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP

Obawiam się, że oszuści również poradziliby sobie z rozwiązaniem tego zadania Emotikon: Bardzo szczęśliwy

Pomian
Doradca z ambicjami
Doradca z ambicjami icon
3
2
06-09-2018
Wiadomość 4 z 5 (6 804 wyświetleń)
Highlighted

Re: Weryfikacja dwuetapowa podczas logowania do banku - OATH-HOTP / Challenge Response / OTP

misiegz, aleś wymyślił skomplikowany algorytm Emotikon: Mrugający)))))))))

Odpowiedz
0 Lajków
zett1
Doradca z ambicjami
Doradca z ambicjami icon
20
1
28-10-2017
Wiadomość 5 z 5 (4 812 wyświetleń)
Ostatnie wpisy na forum
Wpłatomat zjadł 200 zł Wolbrom

Witam, proszę o szybką interwencję o numerze 020698/052020

31 maja 2020 roku o godzinie 21:20
W Piłsudskiego 1, 32-340 Wolbrom
Wpłatomat urządzenie o numerze RNETN308 zjadło 200 zl
Włożyłem kartę nacisnoł...

31-05-2020
oddzialne konto oszczednosciowe, rozdzielne konta w małżeństwie

witam, 

mam konto direct gdzie zona jest pelnomocnikiem, mamy tez konta oszczednosciowe oko i co pare msc zamieniamy sobie srodki na nowe miedzy soba , tworzac oko bonus, do tego tez sa pelnomocnictwa

...

31-05-2020
Re: Nie udało się pobrać danych WRP0000

Witam,
chciałam się dowiedzieć czy w ogóle są prowadzone jakieś prace w kierunku uruchomienia aplikacji dla każdego klienta? Mija już kolejny miesiąc kiedy nie mogę się zalogować do aplikacji na telefo

...

31-05-2020
Najbardziej pomocni użytkownicy