--> Archiwum Forum
yasiu [ Senator ]
bezpieczeństwo użytkownika konta internetowego
mam do napisania tekst na temat widoczny u góry... nie mam niestety za wiele czasu na szukanie materiałów :/ więc pytanie do was - jakie zabezpieczenia chroniące użytkowników rachunków internetowych znacie?
o czym należy pamiętać. dla mnie te kwestie są oczywiste, więc mogę coś pominąc =]
i jeszcze jedna rzecz - apropos lewych stron imitujących banki... co da potencjalnemu złodziejowy moje hasło do rachunku, skoro żeby wykonać jakąkolwiek transakcję, muszę ją potwierdzić (w moim przypadku smsem dostaję kod zatwierdzający operację)?
mirencjum [ operator kursora ]
W moim banku oprócz wpisania numeru konta i indywidualnego hasła używa się tokenu.
"Token to niewielkie urządzenie elektroniczne pozwalające na identyfikację posiadacza rachunku. Co minutę generuje nowy ciąg liczb, którego poprawne podanie podczas logowania niezbędne jest do uzyskania dostępu do rachunku oraz przeprowadzania operacji w internecie. Wykorzystanie tego typu identyfikatorów uznawane jest za rozwiązanie gwarantujące najwyższy poziom bezpieczeństwa, ponieważ w przeciwieństwie np. do listy haseł jednorazowych każdy kod ważny jest najwyżej 1 minutę."
Jak banki bronią nas przed hakerami? Najpopularniejsze zabezpieczenia - od najmniej bezpiecznych do najlepszych.
# Login - podstawowy identyfikator klienta łączącego się zdalnie z bankiem.
# Hasło stałe - łącząc się z bankiem, podajemy je w całości, narażając się na jego "podpatrzenie" przez hakera.
# Hasło maskowane - podajemy tylko niektóre cyfry z hasła. Haker ma utrudnione zadanie, bo za jednym razem nie pozna całego hasła.
# Hasło jednorazowe z listy - bank przesyła na adres domowy klienta zalakowaną kartę kodów. Podajemy, je definiując lub wykonując przelewy. Dla utrudnienia życia podglądaczom hasła mogą być zakryte (zdrapki) lub bank może prosić o ich podanie losowo, a nie po kolei.
# Hasło SMS - na zarejestrowany w banku numer telefonu bank wysyła jednorazowe hasło, którym zatwierdzamy transakcję. Bardziej zaawansowana i bezpieczniejsza forma haseł jednorazowych.
# Klucz prywatny - specjalny plik komputerowy zainstalowany na serwerze banku lub (tak jest bezpieczniej) w komputerze użytkownika. Przed wykonaniem przelewu trzeba wskazać jego położenie.
# Token - miniaturowy generator kodów. Aby go uruchomić potrzebujemy specjalnego hasła, potem na wyświetlaczu pokazuje się ciąg cyfr, które trzeba wpisać przed wykonaniem przelewu. Hasło zmienia się co 30 sekund. Haker, nawet gdyby je przechwycił, nie zdąży zrobić z niego użytku.
legrooch [ MPO Squad Member ]
yasiu ==> Zabezpieczenia są podzielone na dwie części:
- zabezpieczenia informacji przesyłanych na linii użytkownik-bank
- zabezpieczenia operacji na koncie
To pierwsze to SSL. Bezpieczna wymiana informacji przeglądarki z serwerem
To drugie to jak mirencjum napisał - token. Odchodzi się już od operacji na kartach/zestawie kluczy.
zbm [ I Herd U Liek Mudkipz? ]
token jest chyba ok.
z tego co oglądałem nawet na tvn uwaga cośtam:) pokazywali dwóch studenciaków informatyki, którzy podłączają się pod stację GSM i moga przechwytywać/wysyłać/odbierać Twoje smsy.
więc zakładając, że mamy takiego studenciaka to:
przechwytuje twoje hasło fake stroną.
1loguje się,
2.sprawdza, jaki masz numer telefonu podany do smskodów.
3a. zmienia numer na swój prepaid (bo przechwyci smsa z autoryzacją)
3b. dokona przelewu na twój numer (bo przechwyci smsa z smskodem)
4.konto czyściutkie:)
oczyweiście nie wiem na ile jest to sprawa dostepna studentom telekomunikacji:)
więc chyba token lepszy
pozdrawiam
Zapruder [ Man_Moment_Machine ]
W internetowym koncie w bzwbk wprowadzili ostatnio hasło maskowane.
sprawdź tutaj, sporo jest na temat zabezpieczen w tym banku napisane :)
yasiu [ Senator ]
akurat sam mam konto w bzwbk, miałem w inteligo i mialem w lukasie - wiec hasla maskowane, tokeny i zdrapki przecwiczylem
ale juz bazujac na tym co mirencjum zapodal moge tekscik napisac :) do tego oczywiscie info o ssl, a to od zbm to w ramach ciekawostki :)
yasiu [ Senator ]
a upne jeszcze, moze ktos cos ciekawego napisze :)
yasiu [ Senator ]
upne raz jeszcze, może coś dodam do tekstu :)
mirencjum [ operator kursora ]
Historia bankowości internetowej
Inne metody podnoszące bezpieczeństwo:
* spójne procedury operacyjne dla administratorów sieci oraz doradców klienta - niejasne i niekompletne wewnętrzne zarządzania banku mogą spowodować, że człowiek będzie najsłabszym ogniwem
* firewall - zabezpiecza przed niedozwolonymi sposobami komunikacji z serwerem (nie pozwala na komunikację na innych portach TCP/IP niż dozwolone). Firewall zapewnia ochronę systemu przed bezpośrednimi atakami hakerów
* rejestracja aktywności - zapisywanie wszelkich śladów aktywności użytkownika oraz operacji jakie były wykonywane (np. próby logowania do systemu, odczyt historii konta, wykonanie przelewu itd.), zapisywane dane obejmują również adres IP użytkownika
* blokowanie konta - automatyczna blokada konta w przypadku kilkukrotnego (zwykle trzykrotnego) podania złych danych podczas logowania (podejrzenie że nastąpiła próba włamania)
* automatycze wylogowanie - automatyczne wylogowanie użytkownika z systemu, jeśli stwierdzono brak aktywności przez jakiś czas (np. 10 minut).
Obrona przed phishingiem
Anti-Phishing Working Group przedstawiła listę zaleceń, jakich należy przestrzegać w celu uniknięcia phishingu. Znajdują się wśród nich między innymi:
* Zwracanie szczególnej uwagi na e-maile, gdzie odbiorca proszony jest o podanie poufnych informacji, np. finansowych. Często zawarta jest prośba o podanie numeru karty kredytowej, hasła PIN itp. E-maile będące próbą phishingu w znacznej części nie są personalizowane, tzn. w nagłówku listu nie jest zaznaczone do kogo jest on kierowany, podczas gdy w oficjalnej korespondencji taki element zazwyczaj występuje. Zdarzają się przypadki, kiedy e-maile zawierają fałszywe wyciągi z konta, co ma na celu szybką reakcje adresata listu. Jeżeli e-mail nie zawiera podpisu elektronicznego, nie można mieć pewności, że jest autentyczny.
* Nieużywanie linków zawartych w liście elektronicznym, jeżeli istnieje podejrzenie, że e-mail nie jest autentyczny.
* Unikanie wypełniania formularzy w wiadomościach e-mailowych, gdzie wymagane jest podanie poufnych informacji osobowych.
* Regularne logowanie się do konta przez internet i sprawdzanie wszystkich dokonywanych operacji.
* Przekazywanie kopii e-maili będących próbą wyłudzenia poufnych informacji do organów zajmujących się ściganiem przestępstw .
MasterDD [ :-D ]