eeetam, ja nie dostałem, zapomnieli o mnie ;)

Wszystko pięknie ale żeby wykonać jakąś operację na moim koncie potrzebny jest im jeszcze kod z tokena (takiego breloczka ;)) więc jednorazowe dane pozwolą im tylko zalogować się na kontro, zobaczyć ile mam pieniędzy i tyle. Nie zmienią żadnych ustawień a co ważniejsze, nie przeleją nigdzie gotówki. Lukas Bank ftw ;)

"szczególnie narażeni są użytkownicy przeglądarki Internet Explorer" - tiaaaa, ktoś zaskoczony?

Hm... token jest jednorazowy... ważny przez minutę... Zakładając, że nawet ktoś się szybko nim zaloguje, to jakim cudem może myśleć o przelaniu pieniędzy?!
Chyb wybrali sobie zły bank do ataku... ;P

Nie wiem jak to działa w Lukas Banku jeśli chodzi o token, ale to chyba jednak jest tak, że numer na tokenie tylko się zmienia co minutę, a nie jest tylko przez minutę ważny. Jak podasz komuś np. 5 kolejnych numerów z tokena, to mu w zupełności wystarczy. To oczywiście tylko dygresja, bo tu rzeczywiście chodziło tylko o dane do logowania.

Token z Lukasa co minute zmienia kod. Nie jesteś w stanie zobaczyć następnego kodu. Każdy kod może być wykorzystany tylko jeden raz. Czyli z jednym kodem nic nie są w stanie zrobić. Co najwyżej zalogować się do konta. Musielby poznać jeszcze jeden kod, i wykorzystać go w ciągu jednej minuty. A to już trochę za bardzo skomplikowane aby się udało. Każdy przelew trzeba potwierdzać nowym kodem. Jak zwykle wystarczy używać nrmalnych przeglądarek www a nie IE.

Token ma np. 6 cyfr i zmienia się okresowo. Podejrzewam, że on nie losuje się całkowicie przypadkowo bez dodatkowych wymogów, i np. dany zestaw kodów jest ważny tylko przez jakiś czas, np. 24 godziny. Ale to tylko taka dygresja.

Pomijając wymóg posiadania tokena, jest jeszcze inna kwestia. Jak trzeba być głupim, by dać się nabrać na takie coś? Przecież nawet przy zmianie hasła do konta podaje się przez telefon jedynie częściowe dane do logowania w celach bezpieczeństwa.
Wszystkie procedury są tip-top, a potem ktoś wysyła jakiś ewidentny mail. Jak ktoś da się nabrać, to jest naiwny i tyle - zapłaci za to podatek od głupoty.

Token z Lukasa ma dokładnie 6 cyfr. http://www.lukas(...)oken.asp tutaj można sobie poczytać o tym tokenie: Token generuje 6-cyfrowe wskazanie w oparciu o tajny prywatny klucz oraz bieżący czas (token jest zsynchronizowany z serwerem banku). System komputerowy LUKAS e-Banku znając klucz prywatny danego tokena oraz algorytm stosowany przez token, potrafi stwierdzić czy ciąg cyfr podany przez klienta jest prawidłowy.

szmerek bajerek
System jest na tyle bezpieczny na ile bezpieczny jest najsłabsze ogniwo.
Standardem w LB jest informowanie klienta o niezrealizowanych transakcjach i przy okazji Pani (inicjująca połączenie z ZASTRZEŻONEGO telefonu) wypytuje o PESEL, nazwisko panieńskie matki, datę urodzenia itp. rzeczy. W pewnych sytuacjach wymagają podania kilku cyfr z hasła telefonicznego dostępu do banku.
To ma być bezpieczne?

Dzwoniła też do mnie taka babeczka. Dokładnie ten sam schemta. Numer zastrzeżony i na dzień dobry PESEL, oczywiście odmówiłem. Była bardzo zdziwiona że nie chciałem podać. Do tej pory nie wiem o co jej chodziło, powiedziała że ma to związek z moją kartą kredytową. Naprawdę głupia metoda. Ciekawe ile osób się na to nabiera.

Tokeny w systemie RSA sa od dawna dostepne dla wszystkich hakerow - wystarczy znac numer tokena i uzyc odpowiedniego (latwo dostepnego) softu, zeby dostac dokladnie te same cyferki co w tokenie. Jest soft gdzie podaje sie kilka numerkow jeden po drugim a program generuje nam numer tokena. Tokeny z RSA to ZŁUDNE poczucie bezpieczenstwa i jak widać wiele osób daje się na to "nabierać".