"Kiderült az is, hogy gyakorlatilag senki nem tudja alkalmazni az erős ügyfél-hitelesítést önállóan, vagy ha mégis megteszi, akkor a vásárlók nem tudnak fizetni az internetes áruházakban – ismertette az MNB alelnöke."

Ezt nem értem, bocsánat. Ki nem tud mit alkalmazni? A visa és a mastercard adja a megoldást nem a bankok. Ezt "csak" be kell kapcsolni.
Vásárlói oldalról meg wtf? Egy fehér oldalon kiírja, hogy kérj sms-ben vagy emailben kódot.

[ Szerkesztve ]

Miért vegyem meg, ha 3x annyiért, 3x annyi idő alatt megépíthetem? ´¯`·.¸¸.·´¯`·.¸><(((º>

Ez az erős ügyfélazonosítás konkrétan mi? Csak nem valamiféle kétfaktoros azonosítás? Azok ma már nem igazán erősek.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Ismét csak egy izzadságszagú kifogás a hivatal részéről...

Never let your sense of morals prevent you from doing what's right.

Én csak annyit látok, hogy mindenhol megjelent a tokenezés és a mobil használat társítása a telefonhoz.
Ok.
De amíg a bankok trágya alkalmazásokat csinálnak, addig ez semmit sem ér!

Konkrétan három bank appját használom: mkb, raiffeisen és gránit.
Gránité a legjobb, mkb elmegy, egyiket se zavarja a root,alap hide-al elvannak.
Na de a raiffeisen!
Mindegy mivel rejtem el előle, egy idő után mindenképpen érzékeli és onnantól nem hajlandó elindulni, míg a többi app vígan megy.
A "régi" raiffeisen appban legalább a belépés és a tranzakció megerősítés mehet root mellett, más appon belüli művelet nem, de az új, csilli villi appal még ez sem megy, és sunyiban elindul háttérben, hogy folyton feldobja a chromeban a weboldalon lévő figyelmeztetést.
Baromi idegesítő.

We've jumped way beyond the Red Line. Limited supplies. Limited fuel, and now no hope! But I promise you one thing. On the memory of those lying here before you, we shall find it. And Earth will become our new home. So say we all!

Amit sokan nem tudnak, hogy bankkártyás fizetésnél a bank részére át kell adni a webshopnak adatokat, lásd: [link]

Mivel (többek között) az OTP sem készült el a háttérben az adatok fogadására, nincs teszt felületük sem, így már júniusban lehetett tudni, hogy nem lesz kész a dolog.

Csak a többfaktoros authentikálásról beszél a média, arról nem igazán, hogy egy webes kártyás fizetésnél mit fognak bekérni a webshopoktól amik kártyás fizetést tartalmaznak.

Mivan?
Konkrétan te mire gondolsz, mert ez így magában hülyeség.

Arra, hogy már rengeteg hír van arról, hogy hiába van kétfaktoros azonosítás már az sem elég sok esetben. Sőt voltak esetek amikor éppen még csökkentette a biztonságot.

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Írd már le mi szerinted a 2 faktoros azonosítás.
3 faktoros jobb? Vagy 4?

Például amikor online bankolásnál még be kell írnod egy sms-ben elküldött ideiglenes kódot is, hogy be tudj lépni a fiókodba.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Van egyáltalán olyan oldal aminek saját payment systemje van, és nem egy banki oldalra irányít át? Ezeket az adatokat a webshopban be sem szokták pötyögni az emberek.

Miért vegyem meg, ha 3x annyiért, 3x annyi idő alatt megépíthetem? ´¯`·.¸¸.·´¯`·.¸><(((º>

De mi lenne a megoldás? Több faktor jobb?
Vagy csak szimplán a most használatos második faktor a gyenge, mert akkor azt írd.

(#13) Akkor azt kérdezd, mert magában két faktoros azonosítás nem lesz elavult. Attól függ mi a második faktor. Sms azonosítással mi a gond?
Én nem hallottam, hogy ezeket rutin szerűen kijátszanák.

[ Szerkesztve ]

Azt akartam csak megtudni, hogy mit értenek konkrétan "erős ügyfélazonosítás" alatt, mert lehet, hogy valami újdonságot, lehet hogy a ma már rutinszerűen kijátszott kétfaktoros azonosítást.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Sok szakmai hír volt róla pedig. Sőt már a kivezetésést javasolják, mert többet árt mint használ. Például:

" Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az sms-alapú, kétfaktoros azonosítást ki kellene vezetni."

"Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később egy olyan technológia, melyet internetnek nevezünk, életünk minden részét átitatja - írja a G Data. A cég szakemberei szerint az sms-üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni."

Ha adnak egy saját tokent az jobb, de azzal kapcsolatban is vannak hírek, hogy ki lehet játszani... Nem általánosan mint az SMS-t, de volt már jópár eset amikor így vagy úgy kijátszották azt is.

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Egy másik hírből:

"az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást"

Sok más hasonló van...

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Clear textben küldött kód tény, hogy nem a legjobb, de ezen felül még kell pár dolog, hogy ezt ki is használják.
Pont ahogy a http-t is kerülik, az SMS-t is valszeg ki akarják emiatt vezetni. De ettől ez a cikk még nem a rutinszerű kihasználásáról szól, hanem a technológiájáról. Legtöbbször mégsem az SMS-ben küldés lesz a gond, hanem hogy Pistike hátul 3x húzza le a kártyát, vagy a pinnel együtt lopják el a kártyát. Ezen pedig más faktor se segít, amíg ott a pin használatának lehetősége.

Mindent ki lehet játszani, ezeken a 8 faktor se segít. Amikor már a gépeden csücsülnek akkor hiába a faktor. Azon csak a vírus irtó segít. Szóval ez így megint nem releváns.

[ Szerkesztve ]

Külföldön gyakori sajnos... ehelyett az SMS-es kínlódás helyett (korábban volt nekem a VISA féle, 10-ből kb hatszor nem tudtam fizetni a kártyámmal miatta) pont ezt kéne bevezetni mindenütt, ami Magyarországon alap: amikor fizetsz, átkerülsz a bank oldalára, és csak ott adod meg a kártyád adatait... nem a Józsika által készített webshop formjában amivel becsszó nem fognak visszaélni, és biztonságosan tárolnak

Gyors számolás: 260 milliárdos forgalom, 0.02% alatti a kár összege, az 52 millió Ft... mennyibe is kerül ez a rendszer évente? Megéri egyáltalán?

Egyáltalán nem így működik a dolog. Van pár "payment gateway" (Stripe, Braintree, stb.) és az oldalak 90%-a ezek egyikét használja, maga az oldal soha nem tárolja a bankkártya-adataidat, csak egy hash-t kap a gateway-től ami alapján be tud azonosítani. Nagyon szigorúan veszik a PCI DSS szabályozást, eleve megfelelni neki is nagyon nehéz, sokba kerülne a saját megoldás kiépítése, ha meg kiderül, hogy nem feleltek meg, akár milliókra perelhetik a cégeket. (Ez persze nem jelenti azt, hogy nem léteznek csalók.)

[ Szerkesztve ]

Hogy megéri e, az európai átlagot kellene nézni, nem a magyart, a több faktoros hitelesítés nem magyar találmány. Én is feleslegesnek tartom ezt a plusz hercehurcát azonban.

Rutinszerű mert rengeteg trójai, meg hasonlók vannak amik hatástalánítják, megkerülik a kétfaktor biztonsági megoldást manapság. A másik ESET-es példa egy volt a sok közül.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Mekkora kamu ez, Angliaban mar 7 (het!!) evvel ezelott is mukodott ez..."nem magyar sajatossag" nem a lopikulat nem! A vilag kulturaltabb felen ez mar a mindennapok resze.
Ilyen oskori dinoszauruszokkal mint az OTP soha nem fog ez menni...koltenei kene ra es ez nem tetszik nekik

Born too late to discover the Earth, born too early to discover the Cosmos

De mi lenne a megoldás, mert ez alapján maga a zinternetes vásárlás nem biztonságos.

Khm, de, vannak külföldi webshopok (főleg amerikai), ahol az ő hülye felületükön adod meg a kártya adatokat... erről beszélek. Van egy tippem, hogy a csalások kb 99%-a az ilyeneken történik. Szerencsére Magyarországon ezzel még sehol nem találkoztam. Tessék egy példa, ahol bizony simán az oldalon lévő formon várják a kártya adatokat. (Hm, csak nálam rontja el a PNG-t most a PH! feltöltéskor? ...mindegy, olvasható így is.)

Mondjuk csinálsz egy számlát csak netes vásárláshoz és beállítasz a bankodál napi limitet.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Megy az [link]

Mi is az otp-ét használjuk, de jelen állás szerint a mi felületünkön kell bekérni adatokat, amit az otp-nek kell továbbítani (jelen doksi alapján - nincs technikai dokumentáció még!)

Azt nem értem, hogy ezeket miért nem az OTP saját felülete kéri be...

Remélem még átgondolják ezt

Ez kb az OTP webkártya, nem? ...csak annyi pénzt teszel át rá, amennyiért épp vásárolni akarsz. (nem vagyok OTP-s, csak másoknál láttam ezt)

#19 sphe: Igen, de arról sajnos nem volt adat a cikkben. Ha valaki tudja, akkor ugyan így kiszámolható.

Ezt nem értem, mert pl. a Telekomnál fizetésnél átirányít az OTP-hez.

És ez hogy oldja meg a 2FA problémát, amit írtál? Így max kevesebb pénzzel tudnak lenyúlni, cserébe fizethetsz még egy számlavezetési díjat + esetleg még utalási díjat is, mert a vásárlós számlára valahogy pénzt kell tenned a normál számláról.

Egyébként sem értem teljesen a dolgot. Ha lehallgatják az SMS forgalmat, mégis honnan fogják tudni, hogy az egy banki fizetéshez egy token kód, és pont az enyém?
Max akkor, ha a támadó konkrétan tudja, hogy mit csinálok, és milyen számra várom a kódot. Ha pedig ezt a 2 dolgot tudja, akkor konkrétan bent van a gépemen és a telefonomban. Ebben az esetben már tök mindegy, hogy titkosítva jön az SMS vagy sem.

Nem kell minden baromságot leszedni store-ból, nem kell minden hülye linkre rákattintani, és kártya adatot meg csak banki oldalon adunk meg. (természetesen az URL-t is ellenőrizni kell minden esetben) Ezzel kb 99%-át ki is védtük a csalásoknak, támadásoknak.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Én se vagyok OTP-s.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

" Így max kevesebb pénzzel tudnak lenyúlni,"

Így van, kockázatcsökkentés. Így már nyugodtan vásárolhatsz neten, picit drágább, de megéri. Évi kb. 5000 forintba kerül.

Azt, hogy hogyan oldják meg, hogy kijátszák van pár módszer és újakat is kitalálnak.
Nemrég találtak ki ezt:

Új trükkel nyúlhatják le az egyszer használatos jelszavainkat

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Jó lett volna, ha kiderül teljesen egyértelműen... Ez érinti ezt a 5000Ft-os érintés nélküli kártya dolgot is, vagy azt nem?

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Igen, általában nem irányít át, hanem a webshop oldalán kell megadni az adatokat, viszont a háttérben végül a gateway-nek küldi az adatokat, maga az oldal nem tárolja őket. Nem tudom konkrétan ennél az oldalnál hogy megy. Stripe látványos szokott lenni, amikor azt használják, a többi nem feltétlenül.

Direkt azért nyitottam ki, látszik, hogy az adatok nekik mennek. Innentől teljesen mindegy, hogy elvileg ők csak tovább adják, a lehetőségük megvan a tárolásra.
Ezért sokkal jobb az, ha átdob a bank oldalára, és ott adom meg az adatokat... így a webshop csak annyit kap meg, hogy sikeres a fizetés, a többi adat át sem megy rajta.

Bocs, de amit írtál az igencsak nagy ferdítés. Az hogy a 2 faktor rosszabb, mint az egy, az nettó baromság. Az általad bevágott részlet sem azt mondja, hogy szar az sms, hanem hogy mást javasolnak, de nem azért, mert rossz, hanem mert kényelmetlen. Pl a Google Auth program használata mérföldekkel kényelmesebb és gyorsabb, vagy pl a Revolut ujjlenyomatazonosítása. SMS-t sem lehet csak úgy kijátszani malware ide vagy oda akármit linkelsz be, mert pl anno amikor még a Budapest Bank-nál voltam, akkor az SMS-ben kiküldött kód második faktor gyanánt 30mp-ig élt, és utána inaktívvá vált, szal elkaphatja akármi, semmit nem fog érni vele. A másik, hogy az én gépemen levő malware mi alapján kerüli meg a 2 faktort? Főleg hogy a 2 faktort nem a gépem igényli, hanem a szolgáltató, tehát tökmindegy mivel van fertőzve az én gépem.

Amúgy a linked: "Szerencsére ennek a technikának is megvannak a határai: a támadók "csak" az értesítés terjedelmének megfelelő szöveghez férnek hozzá, így nem garantált, hogy ez a rész tartalmazza az egyszer használatos jelszavakat."

No meg aki egy appnak minden hozzáférést megad, az meg is érdemli.

[ Szerkesztve ]

"Főleg hogy a 2 faktort nem a gépem igényli, hanem a szolgáltató, tehát tökmindegy mivel van fertőzve az én gépem." Ez így nem igaz. A szolgáltató téged kérdez, hogy mehet-e az utalás, vagy belépés vagy valami.
Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be. Te is látod, hogy beléptél, csak a kamu oldalon. Utalásnál meg amit elküldesz címet, azt ők kicserélik és máshova más összeget küldenek. A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik.
Jó esetben olyan ellen védelem van, hogy SMS-ben küldött kódot ellopják és azzal lépnek be. Jó esetben ilyenkor a rendszer érzékeli, hogy ugyan azzal a kóddal 2 helyről próbáltak belépni és azonnal tilt. Ez igazából +1 faktor. De ha a te géped meg van fertőzve akkor a hely is stimmel.
Pont ezért nem nagyon lehet mindent kivédeni, mert ha a te gépeden ülnek, akkor igazából bármit ki lehet játszani és csak a vírusirtó véd meg. Lehet akármilyen authentikátorod.

"Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be."

A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít.

"A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik."

Akkor újra. Az utaláskor kapott sms kód csak 30 mp-ig él, és azzal a kóddal te csak az általam kért utalást vagy egyéb dolgot lehet jóváhagyni. Azzal a kóddal más csinálni, pl belépni, más utalást indítani stb nem lehet! Arról nem beszélve, hogy eddig akárhány banknál voltam, minden műveletről küldtek értesítést. És akkor még nem említettem, hogy olyna is volt, hogy nagyobb összeg leemelésekor telefonon felhívtak, hogy ez tényleg én vagyok, és jóváhagyhatják. Amúgy meg az én gépemen ülhetnek, mert a 2 faktor lényege az, hogy több eszköz hitelesítése szükséges, úgyhogy ülhetnek a gépemen nyugodtan...

Ha a browseredben csücsül a malware, ami tartalmaz egy tanúsítványt is a másik oldalra, akkor se a browsered nem visít, se te nem biztos, hogy észreveszed.
Ezeket rendszerint már nem emberek pötyögik, hanem automatán sw csinálja és figyeli.
Innentől annak a 30 mp az egy örökké valóság+1.
Te ami kódot kapsz azt már az ő átutalásukra kapod(kapják), nem arra amit te írtál be, mert te a kamu oldalon pötyögsz.
Mind1, nyilván nem az itt lévőek lesznek a célközönség, aki figyel ezekre, hanem egység Gizi aki nem nézi se az átirányítást, se a böngésző címsorát, és nem is Brave browsert használ. Itt nagy tömegekre mennek, pár úgyis bejön. PH közösség tipikusan nem reprezentatív ebből a szempontból.

El olvasva a linkelt cikket, az akkor működik, ha valaki van olyan hülye, hogy ugyanazon a telefonon jelentkezik be a pénzügyi alkalmazásba, amire a token fel van rakva, vagy amire az SMS érkezik.

Ha mindkét faktor ugyanazon a készüléken van, akkor az egész semmit nem ér.

És ha jól gondolom, akkor a többi cikk is ilyen lehet, amire hivatkozol, hogy a 2FA feltörhető.

Ha így nézzük, akkor a harvderes token, csak annyival jobb, hogy fizikailag külön eszköz. Ha akarnád sem tudnád a két hitelesítést egy eszközben használni.

"Így van, kockázatcsökkentés. Így már nyugodtan vásárolhatsz neten, picit drágább, de megéri. Évi kb. 5000 forintba kerül."
Ez azért jóval több is lehet. Számlavezetési díj, utalás számlák között, bankkártya éves díja, a kényelmetlenség, hogy mielőtt vásárolsz fel kell tölteni a számlát. Ha valaki arra nem figyel, hogy a 2FA két külön eszközön legyen megvalósítva, akkor biztos nem fog 2 számlát és két bankkártyát használni.

Shyciii #38 "A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít."

Ahogy írtad is, csak akkor jelez, ha bejelentett támadó / adathalász a weboldal. Ahhoz, hogy valaki bejelentse azért eltelik nem kis idő, és addig jó pár embert le lehet nyúlni. Az utóbbi időben jó pár oldallal ami nagyon jól meg volt szerkesztve. Sok ráadásul magyarul volt (OTP, Posta, Telekom), így nem hiszem, hogy túl sok bejelentés érkezett volna, hogy "heló, felnyomták az oldaladat, és most épp phising oldalt üzemeltetsz, jó lenne ha csinálnál valamit".

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ugyanez lenne az én kérdésem is. A bankoknak annyi teendőjük van, hogy értesíteni kellene a felhasználóikat. Meg kell fogalmazni az egység levelet és szétküldeni az ügyfeleknek e-mailben. Nem több mint 30 perc. Akkor több, ha ezt bele kell fogalmazni szabályzatukba és az ügyfelekkel aláíratni. Valószínűleg ez az amit nem tudnak időre megtenni.

[ Szerkesztve ]

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Ember, egy normálisan sérülékenységvizsgált mobilappot soha az életben nem fogsz tudni használni root-olt készüléken, a te érdekedben...
Az, hogy nálunk divat a sufnituning meg a trükközés, a határok feszegetése, nehogymár negatívum legyen egy jól megírt mobilapp vonatkozásában... Mindenesetre jó tudni, hogy a Gránitbank appja a jelek szerint nem teljesítni az IT biztonsági elvárásokat.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nem tudom más bankoknál hogy van, de OTP-nél nem csak egy kódot kapsz SMS-ben. Utalásnál pl. a számlaszámot és az összeget is megkapod, amire utalni készülsz, és a kódot, amivel jóváhagyhatod csak azt az utalást. Azaz ha az asztali géped teljesen kompromittálódott és egy tökéletes phising oldalon vagy, és a valódi utalásod adatait a háttérben megmásítják, akkor feltűnhet, hogy SMS-ben nem azt a számlaszámot és összeget küldte a bank, amit te begépeltél a gépeden. Az más kérdés persze, hogy ezt ki ellenőrzi (én szoktam ) és kinek tűnne fel.

Összességében igaz, hogy a 2FA csak akkor ér valamit, ha 2 különböző rendszeren van a két faktor, és az SMS-nél nem csak kódot kapsz, hanem arról is kapsz információt, hogy milyen műveletet végrehajtására kaptad azt a kódot. Bankkártyáknál a napi limitet is érdemes haszálni, én pl. minimum összegre (napi 50.000) állítom, és csak akkor állítom át, ha valami nagyobbat vásárolni készülök. Szerencsére ennél nagyobb összeget 24 óra alatt váratlanul nem gyakran szoktam elkölteni.

Egyébként ha valaki ilyen netbankos malware, phising, akármi áldozata lesz, és elutalják a pénzét külföldre, akkor azt kártalanítja a bank? Vagy minden felelősség az ügyfélé, hogy miért nem IT biztonsági szakértő?

[ Szerkesztve ]

Máshol képernyő azonosító van az SMS-ben hozzá... az rövidebb, és ugyan erre jó.
(Igen, és pont ez a szétválasztás nincs meg szerintem a mobilbank appoknál... hiszen minden ugyan azon a készüléken megy.... persze tudom, hozzá kell férni a feloldott állapotban lévő telefonhoz, és kell az mPIN ismerete... de ez egyszerűbb problémának tűnik, mint az, hogy ismeri a netbank nevemet, jelszavamat (ami nem egy hatszámjegyű kód, mint az mPIN esetén... és sokaknál van egy tippem, hogy születési év hónap), és hozzá kell férnie a feloldott telefonomhoz is)

Egy eszközről mindent azért sem érdemes, mert így elég egy eszközt feltörni. Itt en a szoftveres réseket kihasználó malwarekre gondolok, nem arra, hogy képernyot feloldva ott hagytam valahol. Android és iOS is tele van 0-day sebezhetőséggel, amiről a Google vagy Apple se tud. Dark weben lehet venni.

PC + telefon 2FA-nal 2 különböző OS-nek kell tudni a gyenge pontját egyszerre. Pl. Windows 10 + Android. Jóval kisebb az esélye.

[ Szerkesztve ]

Igen, ez a másik fele, és ez a bajom a sok mobil bankos megoldás erőltetésével. Persze lehet azt mondani, hogy vigyázz mit telepítesz, de hányszor került már fel a Playbe olyan app, amiről később kiderült, hogy vírusos.

Vannak példák rá, hogy a kétfaktotos azonosítás volt a probléma forrása pl.:

"A kétlépcsős védelem nyitott kaput a Reddit-adatlopás előtt"

"Adatlopás áldozata lett a Reddit, amelyhez a támadók épp az oldal védelmét erősíteni hivatott SMS-alapú kétfaktoros beléptetést használták ki. Az akció során az oldal belső adatai mellett felhasználónevek, email címek és titkosított jelszavak is kiszivárogtak."

Xpod:

Nem, mint többször is írtam, vannak teljesen más módszerek is.

"a kényelmetlenség, hogy mielőtt vásárolsz fel kell tölteni a számlát."

Inkább mint fuss a pénzed után, de ez évente mondjuk kétszer tényleg kellemetlen. Attól függ mennyit raksz fel és mennyit költesz.

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Amit az OTP netbank használ szerintem nem rossz. Belépés QR kóddal.
Az oldal megjeleníti a kódot. Telefonos SmartBank app beolvassa majd kéri az ujjlenyomatot. Ha oké akkor a netbank tovább megy és belép.

Nem rossz, de a hackerek azért mindig előrébbjárnak:

"Ujjlenyomatokat és retinaadatokat is képes lenyúlni a legújabb bankvírus"

"Egy rendkívül kifinomult banki vírus kezdte el támadni a brazil vállalatokat, ami akár a felhasználó biomatikus adatait (pl. ujjlenyomat, retina, arckép) is ellophatja - derítették ki az IBM X-Force biztonsági szakemberei. "

"A vírus a biometrikus azonosítást is át tudja verni, ha van ilyen hitelesítésre szolgáló eszköze az ügyfélnek, a CamuBot üzemeltetői egy saját driver telepítésével egyszerűen lenyúlják az ügyfél biometrikus adatai által generált kódot és felhasználják a belépésre."

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Oké de ehhez ahogyan írják is, driver kell. Nos. Telefonra elég nehéz root nélkül drivert telepíteni.
Az ujjlenyomatot pedig a telefon tárolja titkosítva. Ha ellopják a telefont, nem tudják felnyitni magát a telefont se. Még a recoverybe se tudnak belépni.

Akkor az OTP adja el mindenkinek a megoldását, mint tökéleteset, mert amúgy elég bajban van az egész bankszektor ilyen szempontból. Már rengetegszer bebizonyosodott, hogy az elvileg tökéletes védelmeknek mindig voltak gyengepontjai, szóval totál magabiztos ne legyél abban, hogy ez annyira biztonságos.

[ Szerkesztve ]

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Nem azt mondom, hogy teljesen biztonságos mert olyan nincs. Minden feltörhető. Csak ez jobb megoldás mint az sms módszer.

Így van, akkor ezen nem veszünk össze.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

És azok a pénzintézetek, amelyek nem így küldték eddig az SMS-t, azoknak is így kellene ezután (többek között ezek a fejlesztések nem készültek el egyeseknél).

De látod, más meg sír azért, mert a gonosz bank nem engedi az appját root mellett futtatni.

multheten voltam a bankban intezni valamit. mondom a nonek,akkor intezzuk mar el ezt az uj hitelesitest is. mondta, hogy meg semmit nem tud rola. na,mondom,az fasza,1 het mulva indul. halisten, a jogalkoto itt esznel volt. bezzeg az a nyomorult gdpr felkeszen is jogerore emelkedett. itt a phn a csalok szinte megfoghatatlanna valtak a gdpr miatt, a haver par honapos S Mercijet kamera alatt parkolva huztak meg,de a kamera tulajdonosa jelezte,hogy a gdpr ota lenyegeben disznek van kinn. 500k-1 milla kozotti a kar ....

[ Szerkesztve ]

Mi kell az alaplapba? Procibol egy, Rambo 2. <> Egyetlen vizmolekulaban tobb hidrogen atom van,mint ahany csillag az egesz naprendszerben

Az sms védelmében: nem csak okostelefonnal működik.

A képmás miatt de, illetve bejátszik a személy és vagyonvédelmi törvény is.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Én úgy tudom eléggé más dolgok érvényesek simán köz kamerázásra és térfigyelőre.
Pont ezért is lehet fent csomó hivatalos térfigyelő.

Meg par ev,es mindenki feher bottal jarkal az utcan,mert ha kinyitja a szemet,ranez valakire,akkor rogziti a memoriajaban,ezzel pedig mar megsertette a szemelyisegi jogait.
Ha hajlando a nap vegen bemenni a hivatalba,ahonnan torlik neki az illegalisan begyujtott emlekeket,akkor szigoru keretek kozott nyitott szemmel is kimehet majd az utcara.

Mi kell az alaplapba? Procibol egy, Rambo 2. <> Egyetlen vizmolekulaban tobb hidrogen atom van,mint ahany csillag az egesz naprendszerben