internet banking fara token

anicoara, on Sep 29 2008, 15:06, said:

Ba nu e deloc, folosesc RAIFFEISEN (nu raiffaisen) de ani de zile si nu mi-a furat nimeni niciun ban din cont. Eu cred ca este mai riscant sa urci relaxat in autobuz o data, decat sa folosesti IB zece ani.

Deci ai un user, o parola si mai apoi si doua numere de pe card... cam greu sa le stie cineva pe toate.

Edited by floraur, 29 September 2008 - 17:33.

Alt destept. Nu e greu deloc sa ti le afle cu un keylogger, mai ales daca ai chef sa-ti verifici internet banking-ul din nu stiu ce internet caffe obscur. Pe de alta parte cu un token poti sa faci acest lucru si de pe un calculator plin de virusi. In momentul in care ai dat logout, codul furnizat de token nu mai e valid.

draqmic2003, on Sep 28 2008, 18:01, said:

Nu prea inteleg ce te limiteaza pe tine treaba asta..
Sustin , ca si predecesorii mei ,ca nu prea te pricepi amice. Preferi sa fie simplu si nesigur ? Decat sa porti tokenul la tine ? Iar metoda asta de autentificare nu e romaneasca , firma VASCO care le produce are un fel de monopol , la vreo 70 % din banci in toata lumea..Or fi prosti cu totii ?

rickysyv, on Sep 29 2008, 18:48, said:

Bravo ma inteligentule... care intri in internet caffe sa faci plati pe internet.

floraur, on Sep 29 2008, 18:41, said:

Si daca esti la hotel si trebuie sa faci o plata (doar pt asta ai internet banking)? Probabil ai laptopul tau, dar ai incredere ca reteaua (wireless a) hotelului e securizata? Desigur, cand ai doar bani de un pachet de biscuiti in cont, nu cred ca e nevoie de token.

pivo, on Sep 29 2008, 20:11, said:

O fac prin Raiffeisen Direct sau o fac de pe  al meu lap, care are o conexiune Orange. Acum o sa vina alte intrebari, dar daca nu esti in tara, etc?!
Nu e cont de firma este un cont de PF, asa ca nu am ce plati sa fac asa urgente, incat sa trebuiasca sa fac aceste treanzactii disperate.

Incercam sa o facem pe inteligentii de parca am fi cei mai buni specialisti de pe pamant si rapanosii astia de la RZB, habar nu au pe ce lume traiesc si nu sunt in stare sa ofere un sistem bulletproof. Sa ii intrebam cate incidente dovedite au avut in anii astia si daca sunt intradevar mai multe probleme la utilizatorii de PF fara token, decat la cei PJ cu token...

...si totusi sa presupunem ca fac aceasta tranzactie printr-un wlan neprotejat, unde asteapta un golan de kracker. Ce poate face altceva decat sa ia userul si parola care sunt online?! Cum face rost de card, pentru a lua numerele de pe el? Merita oare sa se riste si sa imi dea una in cap, pentru a-mi ciordi portofelul?
Poate nu am decat 10lei in cont...

Voi teoreticienii ar trebui sa mai traiti in realitate, unde lucrurile nu sunt chiar asa cum scrie in carti.
Discutia asta ma face sa ma gandesc la toti posesorii de Logan, care si-au pus tot felul de alarme auto. La ce draq nu stiu ca doar nu se arunca niciun hot la Logan. Ala cand trece pe strada cauta un BMW sau un Audi ceva, nu se bangheste dupa Dacia... lafel si noi cu amaratele noastre de conturi de PF. Amarate pentru ca toate au o limita zilnica, pentru care nu merita atata efort intelectual de hacker performant.

Edited by floraur, 29 September 2008 - 20:07.

floraur, ti s-a dat un exemplu foarte clar: cand esti la un hotel, e posibil ca reteaua sa fie supravegheata(deci sa-ti poata obtine userul si parola), iar numerele de pe card se obtin cand te duci sa achiti camera cu cardul.

se vorbeste aici de securizarea accesului online la conturile bancare, referindu-ne evident la situatiile in care aceasta securitate ar putea fi compromisa. daca tu folosesti doar laptopul tau care are conexiune Orange, atunci poti considera ca nu te incadrezi in subiectul de fata (deoarece esti tot timpul intr-un mediu destul de sigur). e ca si cum ai spune ca tie nu ti-a furat nimeni niciodata portofelul, dar tu de fapt tii portofelul incuiat intr-un seif la banca si nu-l iei niciodata cu tine.

incearca sa lasi deoparte laptop-ul si conexiunea Orange si sa accesezi vreo cateva luni RAIFFEISEN dintr-o retea de cartier sau la un wireless free gasit pe la cafenele sau chair de la un internet caffe, si apoi sa sa ne spui cum ca e sigur sa te autentifici doar cu user/parola + ceva numere de pe card.

Edited by _Smiley_, 29 September 2008 - 20:26.

rickysyv, on Sep 29 2008, 18:48, said:

Trebuie să fii tare tîmpit ca să faci așa ceva.

_Smiley_, on Sep 29 2008, 21:25, said:

Cum? Datele circulă criptat prin rețea.

pai de ce nu faci un vpn pana la munca/acasa si foloseste legatura internet de acolo...

_Smiley_, on Sep 29 2008, 21:25, said:

Mai oameni buni, asta e SF.
Iar daca voi spuneti ca stiti mai bine ca austriecii, e cam aiurea...

Austriecii au urmatoarea politica: tot ce este semnat cu parola corecta se executa si este ok. NU ii intereseaza cine a tastat parola, nu ii intereseaza daca titularul de cont este de acord cu operatiunea. Este problema titularului la cine a a ajuns parola. Este aceeasi politica ca si la PIN-ul de la carduri. Deci oficial nu exista fraude ale IB cu parola.
Daca o sa intrebi insa neoficial un ofiter de cont de la R o sa-ti spuna altceva.

Pana la urma fiecare alege ce vrea si suporta consecintele. Facerea de bine cu de-a sila ...

Ce nu ti-e clar ca un token e mai safe decat fara? SF sau nu, e logica treaba. Pe deasupra un token e folosit si la semnarea tranzactiilor nu doar la operatia de login, exact cum semnezi si tu un ordin de plata de hartie la ghiseu. Mi se pare cea mai eleganta solutie, nu ca dobitocii de la BRD unde trebuie sa le dai telefon sa autorizezi un nou beneficiar.

Edited by rickysyv, 29 September 2008 - 23:18.

mufa, on Sep 29 2008, 22:17, said:

daca furnizorul de net nu e "safe", atunci nimic din ce trimiti pe retea nu e safe.

scenariul cel mai usor de aplicat: esti furnizor de internet (ai o retea de cartier sau esti receptioner la hotel si in acelasi timp "om bun la toate", reteaua wireless intrand tot in atributiunile tale).
pasul 1: pui un snifer pe retea sau te uiti pe loguri, sa vezi cine ce site bancar acceseaza. sa zicem ca este vorba de www.banca.ro
pasul 2: clonezi pagina de login a site-ului www.banca.ro pe un computer pe care il controlezi (sa zicem computerul 192.168.1.100, din reteaua interna)
pasul 3: modifici setarile de pe gateway a.i. toate pachetele catre www.banca.ro sa fie trimise catre 192.168.1.100
pasul 4: cand cineva incearca sa intre pe www.banca.ro si sa introduca username/password, de fapt introduce datele respective pe computerul 192.168.1.100
pasul 5: scriptul de pe 192.168.1.100 salveaza combinatia username/password, acceseaza un script de pe gateway care sa stearga redirectarea si afiseaza o pagina "The page might be temporarily unavailable", simuland picarea internetului

daca respectivul doreste sa mai incerce o data, o sa se poata loga linistit(intrucat redirectarea a fost anulata). mai ramane sa aflii numerele de pe card (daca exista asemenea restrictie) si apoi ai acces deplin la contul respectiv.

singura modalitate de evitare a unui asemenea scenariu (cand furnizorul de net este cel ce vrea sa comita frauda) este sa invalidezi sesiunea proaspat incheiata. practic, iti trebuie o lista de parole, fiecare parola poate fi folosita o singura data. si fie faci asta cum a zis cineva ca se poate la o banca(tiparesti o lista de parole si le folosesti una dupa alta; cand le epuizezi, te ducis ic eri bancii sa-ti dea alta lista) fie folosesti un token care poate gestiona o lista "infinita" de asemenea parole.


@floraur: inainte sa ne spui ce e SF si ce nu, suna la banca si intreaba cum esti protejat impotriva fraudelor. intreaba-i ce se intampla daca observi in extrasul lunar o tranzactie pe care n-ai facut-o. in cel mai bun caz, poti sa-ti recuperezi banii peste cateva luni de zile. in cel mai comun caz (in romania), pierzi banii respectivi.

Edited by _Smiley_, 30 September 2008 - 00:53.

Smiley, scenariul tau (desi destul de verosimil), esueaza lamentabil in cazul unei persoane care stie ce e aia HTTPS si stie sa verifice cine a emis un certificat si pentru ce. Daca nu stie atunci merita sa pice de victima.

intotdeauna exista metode de protectie disponibile celor care stiu ce pot pati.
eu nu incercam sa prezint o metoda infailibila, ci una foarte accesibila unui provider de internet si care are sanse destul de mari de reusita(dintre utilizatorii de IB, un procent destul de mic stiu ce e aia HTTPS sau cu ce se mananca certificatele).

draqmic2003, on Sep 28 2008, 18:01, said:

Atata timp cat tre sa fi legat de un laptop ca sa poti accesa internetul, nu vad care ar fi problema sa fi legat si de un token - care apropo, e de vreo 2-3 ori mai mic decat un pachet de tigari. In plus, e pentru siguranta ta.
Am internet banking de la ING si de la Volksbank: de la primii am primit un token (mic, elegant, care nu ma deranjeaza deloc), iar de la VB am primit o foaie de hartie cu niste coduri generate pe care trebuie sa le introduc pe rand cand ma autentific. Ghici ce imi este mai usor sa port cu mine mereu?
In alta ordine de idei, tu cu ce ai vrea sa te autentifici? Cu CNP-ul, cu numele de fata al sotiei? Daca da, sa-mi zici si mie nr. contului tau, cine stie poate voi avea nevoie vreodata de bani...  

_Smiley_, on Sep 30 2008, 01:50, said:

Lasati in pace scenariile astea, pentru ca nu isi va complica nimeni viata ca sa fure de la voi.. cat? 10.000, 25.000, hai 50.000 de lei? Pana una alta, au alte metode mult mai simple si mai la indemana pt. furat bani. Atat timp cat nu va fi o miza f. serioasa in joc nu isi va bate nimeni capul! Ori, ganditi-va, de ce ati fi voi acea miza serioasa: sunteti asa cunoscuti? aveti asa de multi bani in cont si stie toata lumea?
Home banking-ul este si va fi mult timp de acum incolo o metoda f. sigura de a "manevra" banii! Eu unul imi fac griji si sunt atent, doar atunci cand fac plati in magazine:
- sunt atent ce suma e introdusa;
- am grija sa nu vada vanzatorul pin-ul;
- folosesc un card special pt. plati pe care imi transfer saptamanal o suma suficienta, dar infima de bani.

In rest, subiectul se reduce la o simpla discutie care poate continua la nesfarsit cu argumente pro si contra...

Edited by Rigips, 30 September 2008 - 09:09.

@initiator, un dongle d-ala este chiar garantia faptului ca poti accesa de oriunde internet banking fara probleme de securitate
Daca trebuie sa tii minte un user si sa ai chestia aia care genereaza aleatoriu parola dupa tine ce poate fi mai simplu?

Bancile de bun simt nu ofera doar user si parola pentru ca sunt extrem de nesigure asta e la mintea cocosului.

Varianta cu certificat este mai restrictiva, la BT limita maxima este de 10 "instalari"

Da, daca stii ce e ala internet banking ar trebui sa stii si ce inseamna securitatea dar sa nu avem prea multe pretentii...

Cate token-uri cu pin-uri la vedere am vazut....

Edited by Hogfather, 30 September 2008 - 09:26.

rickysyv, on Sep 30 2008, 00:17, said:

Am spus eu ca nu e mai sigur cu token? Bineinteles ca e mai sigur, insa nu stiu daca are rost sa imi pun alarma la Logan... e nevoie oare de atata securitate pentru conturile de PF?
@rickysyv nu te arunca asa ca nu am intrat de ieri pe internet... Folosesc trei platforme de IB, una la RZB, alta la BCR si inca una la Piraeus. Ultimile doua au token si cred ca se adunca cateva zeci de tranzactii lunar, dat fiind faptul ca sunt atasate conturilor unor societati comerciale. Asa ca stiu exact la ce iti foloseste tokenul si cunosc si suplimentul de securitate oferit de acest instrument.

rickysyv, on Sep 30 2008, 03:38, said:

Da lafel de verosimil si probabil ca un hot de opere de arta de mare valoare, sa vina si sa iti fure masina de spalat.

Rigips, on Sep 30 2008, 10:06, said:

Exactly my point...

Edited by floraur, 30 September 2008 - 10:27.