Mam pewne wątpliwości co do wypowiedzi Joanna Majer-Skorupa. keylogger graficzny nie jest taki trudny do zastosowania ponieważ wcale nie jest koniecznie robienie zrzutu całego ekranu. wystarczy że keylogger odczyta pozycję myszki w momencie kliknięcia i zrzut jest robiony wielkości 20 X 20px w tym momencie mamy naprawdę niewielki plik graficzny do wysłania co nie spowoduje znacznego obciążenia łącza. Ciekawy artykuł na ten temat był w piśmie Hackin9 wydanie (3/2008)http://hakin9.org/prt/view/aktualne-wydania/issue/773.html
Artykuł
Atak na wirtualną klawiaturę
tam jest to naprawdę ciekawie to opisane
Powiedzmy sobie szczerze że bank nie jest w stanie nas zabezpieczyć jak sami o to nie zadbamy.

Ja juz z ING zrezygnowałem. Przy przelewach które IDENTYCZNE wykonuję raz w miesiącu bardzo często wymagana jest autoryzacja, natomiast jak robię przelewy na kilkanaście tys zł na całkowicie obcy rachunek na który wcześniej przelewów nie robiłem autoryzacja nie jest wymagana.

Czy nie lepiej/bezpieczniej potwierdzać wszystkie operacje hasłami SMS-owymi?
Tak robi np. mBank. Dla mnie jest to wygodne i bezpieczne. Dla banku koszt jest mniejszy niż wysyłane pocztą hasła drukowane lub na zdrapkach.

Czyli wystarczy, ze przestępca przeglądnie historię konta ofiary i wykona transakcje niezbyt różniące się od tych wykonywanych wcześniej. Nie ma co, świetne zabezpieczenie.

Czy orientuje się ktoś jak jest z berzpieczeństwem tokena? Te numerki wkońcu skądś przylatują, nie ma możliwości przechwycenia ich lub wyliczenia? Obecnie tokeny są dostępne chyba w WBK oraz Lukasie i moze jakichś jeszcze bankach.

Token jest bardzo bezpieczny dopóki go ktoś nie ukradnie razem z hasło do banku ;) Ma wewnętrzny zegar i zależnie od czasu generuje kod wg określonego algorytmu. Do wygenerowania kodu musiałbyś znać algorytm i czas z tego zegara.

Token w lukasie jest zupełnie niebezpieczny. ;) (O ile czegoś nie zmienili przez ostatni rok.) Ich podejście sprowadza się do autoryzacji każdej transakcji tym samym hasłem którym logujemy się do banku(4znaki+aktualny token). Co z tego, że token jest praktycznie nie do zlamania skoro do wykonania przelewu starczy userowi 2 razy pokazać fałszywą stronę logowania?

Ja też się niestety użeram ze wspaniałym ING Online. Napisałem niezliczoną ilość maili do nich, że skoro chcą mieć wspaniały "tajemniczy" algorytm to OK, niech będzie. Ale niech także dodadzą opcję (do wyboru przez użytkownika) żeby autoryzować SMS'em WSZYSTKIE transakcje a nie wybrane przez tajemniczy algorytm. Robiłem kiedyś przelew - płatność za laptopa - spora kwota, konto systemowi wcześniej nieznane - i co - i nic - żadnej autoryzacji. A jak robię przelew jak co miesiąc na jakieś opłaty - za każdym razem autoryzacja SMS - no kurcze niech ich ściśnie w dołku...

jak najdalej od ing, ge, millenium, deutsche bank. w życiu nie dotkne tych złodziei i spiskowców.

ING to szajs jakich mało... Chyba w żadnym innym banku przelewy nie idą tak długo - przyczyną jest bardzo niekorzystne dla klientów rozliczanie sesji Elixiru. Ile razy ma mi przesłać pieniądze ktoś z ING-BSK, to wiem że muszę się uzbroić w cierpliwość i najczęściej poczekać jeszcze jeden dzień.

Do tego to żałosne oszczędzanie na SMSach (chyba nikt nie ma wątpliwości że chodzi wyłącznie o zmniejszenie kosztów)...

Aż dziw że jeszcze ludzie tam trzymają swoje pieniądze ;)

Hmm. A wystarczyloby by ING przylal metode autoryzacji taka jaka proponuje chociazby oddzial w Belgii. Mam konto w belgijskim ING i nie mam nic do zarzucenia jesli chodzi o zabezpieczenia. Na zyczenie klient otrzymuje tzw. Digipass ( http://www.ing.b(...)&menopt= ). Dziala swietnie. I raczej nie ma powodow do obaw, jesli chodzi o bezpieczenstwo. Moze zapytacie przedstawicieli banku w PL dlaczego poprostu nie zaadoptuja metody uwiezytelniania takiej jaka jest w Belgijskim oddziale?

Ten Digipass to taki token, tylko nieco lepszy - podobny do tego który daaawno temu dawał Pekao S.A. albo BGŻ. Jest o tyle miły, że nie wymaga dostępu do telefonu komórkowego, a równocześnie sprawia że jak się dostanie w niepowołane ręce to nic nam nie grozi. Jego wadą jest to, że jak ktoś nam podsunie pod nos sfałszowane strony, to będzie mógł wykonać dowolny przelew... Są na to rozwiązania ale już nieco zmniejszające wygodę używania tokena.

Pomysł z pokazaniem "fałszywej stony" lukasa na nic się nie za. Co z tego, że użytkownik wpisze nawet 10x hasło+token? Co minutę genetowany jest nowy ciąg. Jeżeli "trafisz i poda ci ktoś 2 razy login, to pierwszy z tokenów jest juz nieaktualny. Drugim możesz się natychmiast zalogować, ale nie wykonasz już następnej operacji. Ero -> system jest jak najbardziej prawidłowy.
Co do działania tokenów, to polega to na generowaniu ciągu liczb na podstawie czasu i zaszytego w urządzeniu klucza RSA. Zegar jest synchronizowany radiowo z zegarem z Frankfurtu.
System praktycznie nie do złamania w czasie, na który bank przydziela token klientowi.

Do ~pit: nie do końca rozumiesz...
1. Użytkownikowi pokazuje się inną stronę niż stronę jego banku.
2. Podajesz hasło do logowania
3. Chce puścić przelew - więc wypełniasz dane, a program spokojnie czeka
4. Naciskasz "wyślij przelew" - w tym momencie program wysyła do banku żądanie wykonania przelewu, ale nie na to konto co zdefiniowałeś tylko na swoje.
5. Bank prosi program złodzieja o hasło z tokena - program prosi Ciebie o jego podanie - ty podajesz, nie spodziewając się niczego złego (na ekranie nadal widzisz dane przelewu, które wpisałeś)
6. Poszło! Ty zadowolony że zrobiłeś przelew - do momentu, kiedy się ponownie zalogujesz do banku i zajrzysz do historii... ;)

Jedynym względnie dobrym zabezpieczeniem na to są hasła SMSowe, albo tokeny w których trzeba wpisać np. końcówkę konta na które przelewasz pieniądze (takich w Polsce niestety nie ma).

OK postaram się Ci to wytłumaczyć po chłopsku.

Tzn. masz mniej niż minutę na zrobiebnie wszystkich operacji, od przejęcia tokena do zalogowania się. Podobnie z wypełnieniem danych do przelewu. Poza tym... to nieprawdopodobne.