Okosórába is ilyen tokent, vagy elérhető áron kapaható konfigurálható token. Egy ilyen RSA-s kódgenerátor is meddig elmegy egy elemmel. Egy gomb rá és eink kijelző, és csak gombnyomásra hozza elő a kódot, gombnyomásra vált a generált kódok között. És azt sem értem, miért nem terjedt még el rendesen, amikor minden hónapra jut egy "kiszivárgott háromcsilliárd jelszó".
Az SMS-ben küldött kód meg vicc.
Bélabá
Olvasva a címet, gondolom magamba: Miféle kékfrankos?! 
(De azután nekirugaszkodva még1szer az olvasásnak kiderült, hogy mégsem a borról van/lesz szó... Sajnos...)
Én a promóképeket olvasom mindig félre, dehát kinek mi.
A borospincében elég a kétfaktoros naptej.
Azt pornóképnek, vagy popóképnek olvasod? 
A Cib bank ilyen tokeneket ad. 2 éve használom elég gyakran, kíváncsi vagyok meddig bírja majd az elem benne..
Lenovo Thinkpad X220 :D
Az SMS-ben küldött kód meg vicc.
Leírnád egy laikusnak, hogy miért?
Valamint azt se értem, hogy a token miért olyan nagyon jó. Öt perc utánaolvasás után úgy látom, offline generál egy kódot. Vagyis egy algoritmust használ, ami feltörhető/lemásolható. Még okostelefon token alkalmazás is van, csak hogy ne kelljen forrasztani..
■■■ pisztácia kifogyott, csokoládé nem is volt
Az SMS azért vicc, mert átmegy n+1 emberen, végül ha az ember az összes "free ingyen zseblámpa" alkalmazást felrakja ami az SMS-t is olvashatja, akkor nem beszélünk hozzáadott biztonságról.
>Öt perc utánaolvasás után úgy látom, offline generál egy kódot. Vagyis egy algoritmust használ, ami feltörhető/lemásolható.
Sőt, az algoritmus nyíltan elérhető. Tessék, egy forráskód ilyen alkalmazáshoz: https://github.com/0xbb/otp-authenticator
Attól lesz biztonságos, hogy csak te és a kibocsájtó tudjátok, mi a titkos kódotok (érdemes nem a pornónézős-warezolós gépen igényelni a kódot), ami alapján generálja 30 másodpercenként az új számsort, ezért kell nagyon offline tartani. A hat számjegy ugyan rövidnek tűnik, de viszonylag ritkán adod meg, így következtetni sem lehet kevés adatból, hogy mi lehet a következő kódod. Plusz nem működik az se, hogy valahogy megszerzel 3-4 kódot előre és majd ellövöd, mert 30 másodperc az érvényességi ablak.
Bélabá
Szerintem egyik elmondható a másikról is.
A token igénylésénél úgy tudom, a banki ügyintéző csinálja az egészet, innentől fogva neki konkrét, összekapcsolható adatai vannak. Ha pedig nyilvános az algoritmus, a jelszó visszafejtése sem zárható ki.
Megoldás lehet a nem okostelefon. (Nekem alapból az van, de akár adhatna a bank egy SIM-et, esetleg csak erre jó GSM célkészülékkel, amit a kód fogadásánál kapcsolódik csak a hálózathoz.)
És így, megbízhatatlan alkalmazások (és platform) nélkül nehezen hiszem, hogy egy bűnöző csak úgy hozzájut egy SMS-hez, amíg el nem lopta a készüléket. Ráadásul az is csak rövid ideig érvényes, ahhoz az egyetlen művelethez.
Nem azt mondom, hogy rossz dolog, de azt se hiszem, hogy nagyon jobb lenne egyik a másiknál. Akár a tokent is ellophatja, sőt, ki is cserélheti, hogy ne vegye észre az áldozat.
■■■ pisztácia kifogyott, csokoládé nem is volt
Nem hiszem, hogy ki lehetne jelenteni, hogy az sms-es másodlagos kód atombiztonságos lenne, de már X éve ezzel tolják a bankok (és mi ügyfelek is), eddig azonban sosem volt problémám. (Mármint ilyen biztonsági jellegű.)
Valaki olvassa itt a fórumot, akinek "loptak" már el így pénzét? Leírhatná a körülményeket.
Erre az összes "free lámpa alkalmazásra": ja, hát persze. Aki telesz@rja mindenféle hülyeséggel a(z) (okos)telefonját, az meg is érdemli... 
Azon a PC-n sem intézném a bankügyeimet, amin a netes pornót nézem, miközben nincs rajta vírusirtó sem. (Persze ilyenkor szokták megmagyarázni, hogy az átlag user nem ért ilyen szinten a PC-hez, így igazából nem az ő hibája. Kérdem én: ha nem ért a PC-hez, akkor mit várunk el egy okostelefon kapcsán, ami valljuk be, egy mini számítógép telefonálási funkcióval.)
Nem mellesleg nekem már az is fura (ha már a mindenféle programmal tele telepített telefonról beszélünk), hogy vannak akik felrakják a bank saját app-ját a telefonra, arra, amire kapják ezt az sms-t is... Nekem eszembe nem jutna ilyesmi. A PC-n lépek be a bank felületére és a telefonra kapom az sms-t. Eddig nem tűnt el lóvé. (Pedig még root-olt is a teló, szóval "veszélyesen" élek. ![;]](http://cdn.rios.hu/dl/s/v1.gif)
)
"Sokkal könnyebb gazdagon boldognak lenni, mint szegényen" (Moldován András)
> Aki telesz@rja mindenféle hülyeséggel a(z) (okos)telefonját, az meg is érdemli..
Sajnos az a helyzet, hogy nem erdemli meg. Az emberek nem direkt szednek le adware-t, etc. hanem mert nem abbol all az eletuk, mint az atlag mobilarena-olvasonak.
while (!sleep) sheep++;
Siman lehet erositeni a dolgon nalam pl igy nez ki:
rsa secure key + rsa jelszo +user nev + user jelszo + 2 factor auth code.
Elegge valoszinutlen hogy mindegyiket megszerezzek...
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
Valaki rákényszeríti őket, hogy percenként 5 új app-ot telepítsenek a telefonra?
Amúgy (felnőtt embereknél) sosem értettem, hogy miért kell a Play! összes programját felrakni a készülékre? Egyik ismerősöm kislánya megcsinálta (Samsung tablet-et vettek neki), hogy 2 hét alatt úgy televerte mindenféle ilyen Én kicsi pónimos kifestővel, meg Disney hercegnő öltöztető játékkal, hogy kiírta a Droid, hogy Game Over. Nem viccelek. Namost egy ilyen személynek nyilván nem a banki dolgok lesznek a mérvadóak. De egy fél-felnőttnek, vagy méginkább felnőttnek legyen már annyi felelősségtudata, hogy ne rakjon már fel mindenféle marhaságot a telefonjára. Már jó ideje a Play!-nél is rögtön a telepítéskor kiírja, hogy a telepítendő app mikhez kér jogosultságot... Picit olvasni kell. (És nem a Mobilarénára gondolok.)
(#12) Snoop-y: superuser! 
[ Szerkesztve ]
"Sokkal könnyebb gazdagon boldognak lenni, mint szegényen" (Moldován András)
> Valaki rákényszeríti őket, hogy percenként 5 új app-ot telepítsenek a telefonra?
Nem kenyszeriti ra. A dolog ugy megy, hogy pl. felrakjak a Vibert, vagy a Tuneint, vagy hasonlo adware-t, es az meg feldob egy ablakot, hogy 'lassu a telefonod -- klikk ide, es gyorsabb lesz!'. Es raklikkelnek. Es ezek nem buta emberek, csak epp nem fiatalok es nem is feltetelezik, hogy az altaluk megvasarolt eszkozzel igy kell vigyazni (hogy minden masodik szembejovo informacio hazugsag). Ugyanez ment az IE-ben a toolbarokkal regen.
Es ettol meg nem lesznek butak (mint ahogy a fozott romokat felpakolo Pistike sem hozzaerto, csak max egy unatkozo, otlettelen tizeneves..)
[ Szerkesztve ]
while (!sleep) sheep++;
Es ezek nem buta emberek, csak epp nem fiatalok es nem is feltetelezik, hogy az altaluk megvasarolt eszkozzel igy kell vigyazni (hogy minden masodik szembejovo informacio hazugsag).
Megint visszakanyarodunk az eredeti kijelentésemhez, hogy ezeket a (hangsúlyosan NEM buta embereket) ugyanúgy becsapják a PC-n is a felugró ablakokkal, mint a telefonon. Ez ellen józan paraszti ésszel kellene védekezni mindegyik (!) platformon. Ugyanez a való életben is, amikor becsönget valaki (direkt nem írok rasszt), hogy "jaj, szomjas vagyok, bejöhet-e egy pohár vízért?", meg hasonlóak. Ha valaki beengedi az ilyeneket, azzal nem tudsz mit kezdeni. Sajnos.
Ezért sajnálom azokat a (jellemzően) idős embereket, akiket átvertek ezzel az "unokás-telefonálós" becsapással. A kollégám nagymamájával is megcsinálták. Az megint más kérdés, hogy pár telefonnal a családon belül (teszem azt a szüleit felhívta volna) kivédhető lett volna az egész átverés. Persze oké, könnyen "pofázok" így 36 évesen, lehet 70 évesen én is így reagálok majd. 
"Sokkal könnyebb gazdagon boldognak lenni, mint szegényen" (Moldován András)
>A token igénylésénél úgy tudom, a banki ügyintéző csinálja az egészet, innentől fogva neki konkrét, összekapcsolható adatai vannak.
Ha hardveres tokent kapsz kézhez, akkor nem megy vele sokra:
- a kiírt számokkal még mindig emberfeletti próbálkozás visszakeresni a seedet (amiből generálja az aktuális kódot): nagyon sok számot kell rögzíteni és nem két nap mire visszafejted
- a ráírt sorozatszám alapján Gizike még mindig nem juthat információhoz, mert a sorozatszámból nem következik a seed, hanem valahol, "atombiztonságosan" van megőrizve hogy "Horvát Jenő a 4527482533-as sorszámú tokent kapta", a 4527482533-as token seedje pedig "piszok hosszú alfanumerikus sor".
>Ha pedig nyilvános az algoritmus, a jelszó visszafejtése sem zárható ki.
Még mindig a befektetett energia: vissza lehet fejteni mindent, legrosszabb esetben végigpróbálkozással. A doksi szerint http://www.ietf.org/rfc/rfc4226.txt : the shared secret MUST be at least 128 bits. This document RECOMMENDs a shared secret length of 160 bits
Na most számoljunk a minimál 128 bittel és azzal, hogy egyenletes eloszlásúnak lehet venni a generált számokat. Egyszer elkapod a kódját Horvát Jenőnek, megvan mikor mi volt a kódja. 6 számjegy: 1 millió lehetőség, log2(1m) durván 20, tehát legrosszabb esetben, azaz a legkisebb kódot használva egyszerre 2^108, azaz legalább 1m*1m*1m*1m*1m kóddal van egyezés. Ezt szorozd meg 128 bittel, azaz 16 byte-tal: (10^6)^5=10^30*16 byte = 16*10^27 kB, 10^24 MB, 10^21 GB, 10^18 TB, 10^15 PB, 10^12 EB, 10^9 ZB, 10^6 YB, 10^3 BB, azaz 16 Geopbyte, csak hogy leírd az összes kódot, amivel egyezést mutat. Első kör. Megéri kiszámolni Horvát Jenő elkapott kódjából így a seedet? Nem, mivel még csak a 128 bites kódokról beszéltünk, az ajánlott 160 bites kódok nincsenek is közte.
Ennél sokkal jobb ha sokszor kapod el a kódját. Ha tudod az időpillanatot és a kódot (ja, arról még nem is beszéltünk hogy nem plaintextben küldöd el, tehát minden alkalommal megtörted/megszerezted a kódot) akkor hány ilyen kell, hogy biztosan kijelentsd: biztos a seed-kód egyezés? Durván számolva legalább hétszer kéne megszerezni a kódot (ez nem tűnik keménynek) hogy legjobb esetben meglegyen a biztos találat. 160 bit esetén 8-9-szer, hogy szép kerek szám legyen, számoljunk 10-zel.
Log2(10) kerekítve 3, azaz legrosszabb esetben 2^131-en szer kell ezt a számítást elvégezni (de lehet több, mert ugye ott vannak a legalább ajánlott 160 bitesek, és nincs maximalizálva):
function GoogleAuthenticatorCode(string secret)
key := base32decode(secret)
message := floor(current Unix time / 30)
hash := HMAC-SHA1(key, message)
offset := last nibble of hash
truncatedHash := hash[offset..offset+3] //4 bytes starting at the offset
Set the first bit of truncatedHash to zero //remove the most significant bit
code := truncatedHash mod 1000000
pad code with 0 until length of code is 6
return code
És akkor nem is beszéltünk arról, hogy többször érdemes elkapni a kódot hogy biztos legyen az egyezés.
Ez hány művelet? Kimondhatatlanul sok. Mekkora szerverfarm kéne hozzá? Állati. "Megéri" az ellopott kódokból visszafejteni a seedet? Jelenleg és a következő pár évben-évtizedben nem. Ha meg elérjük hogy megéri, akkor egyszerűen váltunk nagyobb jelszavakra és bithosszúságra.
>Megoldás lehet a nem okostelefon. (Nekem alapból az van, de akár adhatna a bank egy SIM-et, esetleg csak erre jó GSM célkészülékkel
Ha régi, 2G-s GSM telóról beszélünk, akkor hajrá, mondd merre laksz, kiteszek oda egy ebayről is beszerezhető kamu GSM adótornyot, és máris tudom az SMS tartalmát, amint átment rajtam. Márpedig át fog, mert az fogja a legerősebb jelet sugározni
>Akár a tokent is ellophatja
Meg fegyverrel is kényszeríthet a pénzed odaadására. Ha el/kinnhagyod a tokened, akkor te hibád.
@iMaverick
>Nem hiszem, hogy ki lehetne jelenteni, hogy az sms-es másodlagos kód atombiztonságos lenne, de már X éve ezzel tolják a bankok (és mi ügyfelek is), eddig azonban sosem volt problémám.
Persze, és a bankos PH-zók is szokták mondani, hogy a kártyára írt adatokkal (szám, név, lejárat, ccv) sem szoktak visszaélni olyan gyakran. De ha meg lehet oldani biztonságosabban, miért ne? (plusz egyes bankok szeretnek sms díjat is felszámolni)
A hülye júzertől pedig nem csak a hülye júzert, hanem a rendszert is védeni kell. Hülye júzer lehet alkalmazott is. Kap egy céges okostelefont és már megy is fel rá a Messenger meg minden. A megelőzésen van a hangsúly.
Bélabá
Az SMS kód sem biztonságos, abban az értelemben, hogy a telefonszám is ellopható, így hamisítható az SMS. Mivel tökéletes biztonság nincs és ezzel még nem igazán éltek vissza, így megfelelőek tűnik.
Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.
> a kiírt számokkal még mindig emberfeletti próbálkozás visszakeresni a seedet
Lehetetlen, nem emberfeletti.
while (!sleep) sheep++;
(plusz egyes bankok szeretnek sms díjat is felszámolni)
Melyek ezek? Mármint amelyik annyira hülye, hogy a netfelületre történő belépéshez küldött sms-ért díjat számol fel? Az ilyet ott kell hagyni!!!! (Eddig az OTP-nél, a K&H-nál és most az Erste-nél vezetettem a számlámat és nem tapasztaltam ilyesmit.)
A hülye júzertől pedig nem csak a hülye júzert, hanem a rendszert is védeni kell. Hülye júzer lehet alkalmazott is. Kap egy céges okostelefont és már megy is fel rá a Messenger meg minden. A megelőzésen van a hangsúly.
Ez alap tézis, nem is vita tárgya. A Messenger-re: most melyikre gondolsz? Csak azért kérdem, mert amit maga a Google csinál, abban nem hinném, hogy adware-k lennének... Hacsak magát a Google-t nem tekintjük egy hatalmas nagy adware-nek. 
"Sokkal könnyebb gazdagon boldognak lenni, mint szegényen" (Moldován András)
Veletlenul sikerult igy a user/passt ki akartam eredetileg iktatni aztan most mar mindegy 
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
Miért, a mostani csúcs-szuperszámítógép kínában tud 125,435 TFlops/s-t. Ez csak megfeleltethető durván ennyi int32 műveletnek, nem? (nem vagyok ebben annyira benne)
2^131 művelet (a számítás teljesen párhuzamosítható és teljesen lineárisan skálázódik, így "1" műveletnek hadd vegyem egy kód ellenőrzését, legfeljebb egy konstans szorzással tér el)
az (10^6)^7 ~ 10^42 művelet nagyon durván. 10^18 ops/s kerekítve akkor a kínai csúcsgép, tehát röpke 10^24 másodperc, az alig több mint 31709791983 évmilliárd, miről beszélsz, hogy lehetetlen
@iMaverick:
FB messengerre gondoltam, de igen, a google magában kimeríti a spyware fogalmát
Plusz a bloatware-díjra is pályázik, kicsit régebbi telefonokkal csodát tud művelni egy tiszta droid.
[ Szerkesztve ]
Bélabá
Amennyire én tudom (szuperszámítógép felhasználóként) accountot csak úgy adnak bármelyik felhasználónak, hogy leírják és rögzítik, hogy mikre nem használható a gép. Általában a jelszótörés/visszafejtés pont olyan, amire nem használható semmilyen gép sem, -hiába van elegendő számításai kapacitása hozzá. (Nem kötekedés volt, csak egy megjegyzés.)
"Általában a jelszótörés/visszafejtés pont olyan, amire nem használható semmilyen gép sem, -hiába van elegendő számításai kapacitása hozzá. (Nem kötekedés volt, csak egy megjegyzés.)"
Mivel egy általános PC egyben Turner gép, ezért mindenre, így erre is használható. Legbeljebb a sebessége lehet gond.
Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.
De ez a szuperszámítógép felhasználásra vonatkozó dolog... Megjegyzésem arra hívta csak fel a figyelmet, hogy a szuperszámítógépeket nem lehet ilyen jellegű feladatra használni. (Meg az egésznek mi köze a PC-hez?)
[ Szerkesztve ]
Törvényileg igen, fizikailag nem.
Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.
Ja persze... Nálunk pl. "figyelik", hogy ki mire használja a gépet. (Hogy nehogy megint félreértsd: gép=szuperszámítógép.) És amikor valaki "véletlenül" elindít egy bányászó job-ot, akkor azt lelövik és figyelmeztetik az usert.
Jó, a felvetésed is jogos, de arról van szó, hogy dollármilliókból épített szuperszámítógép is harmatgyenge az ilyen célra, nem elég egy Teslát betenni otthon és elindítani a hack.exé-t.
Bélabá
Nem hinnem hogy azt a szamitasi kapacitast arra hasznalnak hogy ellopjanak a szamladrol 100K HUF-ot a gep berlese ennek tobbszorose lenne.
Amugy meg csak realisan kell gondolkodni :
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
Pontosan erről van szó. Még a SWIFT-alkalmazottak tokenjeit sem lenne értelme ezért lehallgatni és visszafejteni, amennyi pénzbe kerülne a visszafejtés inkább alapítani kell egy saját bankot. Majd a kvantumszámítógépek tömeges elterjedésekor térjünk vissza a kérdésre
Bélabá
Ha még a kínai szuperszámítógép is harmatgyenge hozzá, akkor még vegyük figyelembe azt is, hogy az már jelenleg kb. 60%-os "töltöttségi szinten" üzemel... (Ezt az infót a mi szuperszámítógépes fejtágítónkon mondták, amikor kivesézték, hogy az új kínai fejlesztésű csúcsprocik 260 magosak, amikre a szuperszámítógép épül.)
Token:
1.) netbankos belépési adatokat megszerzik. Trójaival, távcsővel, akármivel. Jelszótörő itt nem működhet, hisz néhány elrontott próbálkozás után aznapra tiltva van a belépés.
2.) ellopja a tokent, mert miért ne lehetne. Főleg, ha otthon tárolja, mikor elmegy dolgozni. Ha egy banda ilyesmire specializálódik, látszólag megérheti a befektetett munka.
3.) a token pár számjegyű PIN kódját is megszerzi. Akár kilesi, akár szervezettebb módon. Vagy valami olyasmi módszerrel, amit részleteztél.
SMS:
1.) mint fent
2.) ellopja az okostelefont (ami lehet kóddal némileg védett). Ezt hamar észreveszi, ha leesik neki, értesíti a bankot. Vagy zseblámpaalkalmazást juttat célirányosan az adott személy telefonjára. Vagy vesz egy GSM jeladót, ami kérdés, hosszabb távon mennyire marad titokban, vagy egyáltalán úgy működik-e, mint a kínai írja.
3.) -
Plusz egy a token javára, csak ezeket figyelembe véve valóban jobbnak tűnik.
De! Az akkor is egy offline eszköz a kódalapként használt PIN-kódjával is, így csak azt kell tudni szimulálni. Miután ez megvan, sok embernél aktív beavatkozás nélkül (GSM) lehet lopni.
Mellesleg előfordulnak egyáltalán ilyen jellegű lopások, akármelyik oldalnál is? Ha a gépen nincs trójai, illetéktelen be sem tud lépni a netbankba. Ahhoz meg tényleg kevés ész kell, hogy valaki nyilvános gépen írja be a jelszavát.
■■■ pisztácia kifogyott, csokoládé nem is volt
A hátulján kéne lennie egy dátumnak, addig bírja! 
"Az akkor is egy offline eszköz a kódalapként használt PIN-kódjával is, így csak azt kell tudni szimulálni"
A pin eszkoz egy shared secret alapjan general jelszot. Fentebb kitargyaltuk hogy azt nem olyan egyszeru megtorni.
Hiaba negy jegyu csak a pin ami vedi 3 probalkozasod van utana az eszkoznek annyi (legalabbis az enyem igy mukodik sajnos mar tesztelve is volt mert elcsereltem az asszonyeval veletlenul 
)
Persze a fentebb linkelt (kiverik beloled a kodot) metodus ellen nem ved
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
A Vasco digipadok kb 5 evig birjak
New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need
A hátulján csak a gyártási dátum van, de anno az ügyintéző 5-6évet mondott
Lenovo Thinkpad X220 :D
Melóhelyen mekkora riadalom volt, amikor behalt a token, mivel lejárt...
Mutogatni való hater díszpinty
De azután egy satupadban egy kalapáccsal újraindítottátok...
Nem, rájöttek, hogy szólni kéne a service managernek, hogy rendelje le az ügyféltől a pótlást... 
Mutogatni való hater díszpinty
Felesleges volt ennyit bajlódni vele... Ügyeskezű ember mindenhol akad (ha esetleg te nem lennél az), aki egy bicskával szétpattintja a tokent és a cínezőpisztollyal már esik is neki... (Egyszer egy számítástechnikai boltban kértem az eladótól 80 eres IDE kábelt. Mutatta, hogy tessék itt van. Mondtam neki, hogy ez nem lesz jó, mert túl rövid, nekem hosszabb kell. Erre mondta, hogy semmi gond, délután jön a másik kolléga, az majd méretre vágja... Minden megoldható! Érted!)
Na jó - ha kismillió free soft-ot felteszel , ekkor ne csodálkozz hogy minden adatod amit a telefonodon tárolsz - közkincsé válik.
1151,AM4,1366,2011, - Lapok,procik,vinyók,tápok,vga-k -akciósan. - 70-2340239
Az IDE kábelt lehetett is szerelni szerszám nélkül (bár a méretre vágás nem tudom, hol jár hosszabbodással, biztos tudtak a semmiből teremteni )
A token viszont nem olyan, hogy elemet cserélünk benne, lehet rajta időkorlátos védelem is, stb.
[ Szerkesztve ]
Mutogatni való hater díszpinty
