Ισως "υποθετει" οτι για να εχεις το κινητο στα χερια σου, εχεις το pin ή το αποτυπωμα για να μπεις, εχεις το sim code για να ξεκλειδωσεις το κινητο και να παρει σημα δικτυου αν ειναι κλειστο και γενικα επειδη ο περισσοτερος κοσμος εχει σχεδον αγκαλια το κινητο, θα αντιληφθεις αν λειπει, αν το χασεις, αν στο παρουν αρα αν ειναι στην κατοχη σου (possesion element) ειναι στην κατοχη σου, αλλιως θα δηλωσεις κλοπη και φραγη στον παροχο. Αντιθετα το κλειδακι του OTP αν δεν το εχεις παντα μαζι σου και το εχεις στο σπιτι, ή στο γραφειο, ή σε μια τσαντα ή στο αυτοκινητο ή ή ή, δεν ελεγχεις οτι ειναι παντα μαζι σου αρα αν χαθει, κλαπει whatever θα το αντιληφθεις πιο δυσκολα.
Ίσως η ενδιαμεση λυση θα ηταν να χρησιμοποιειται εφαρμογη κωδικων που θα ειναι δημιουργιας και πιστοποιησης του πιστωτικου ιδρυματος ή ακομα καλυτερα εφοσον εχεις και χρησιμοποιεις κινητο οι κωδικοι OTP να ερχονται ως notification/pop up απο το web banking app το οποιο θα ειναι καταλληλως secured signed app από το πιστωτικο ιδρυμα αρα θα αποκλειεις την περιπτωση του middle man ή της κυκλοφοριας unsecured sms. Να ερχονται ακομα και αν δεν εισαι signed in στο app αρκει να ερχονται σαν pop-up notification και να ζηταει χρηση δαχτυλικου αποτυπωματος ή pin ή unlock pattern για να σου εμφανισει τον κωδικο OTP.
Με δεδομενο ομως οτι η Alpha Bank ειναι ετη φωτος πισω σε αυτα τα θεματα (τα τεχνολογικα, web banking κτλ) δυσκολο να προσαρμοστει. Επισης καπου ειχε παρει το ματι μου οτι ειχε αλλαξει και το προτυπο για το ελαχιστο μηκος του κωδικου OTP που πρεπει να ειναι τουλαχιστον 8 χαρακτηρες για αυτο και η Τραπεζα Πειραιως τα OTP που στελνει για συναλλαγες ειναι 8 ψηφια εδω και πολυ καιρο. Της Alpha απο οσο ξερω ειναι στο 6ψηφιο. Θα επρεπε ακομα τα OTP εκτος απο αριθμους να εχουν και χαρακτηρες για να ανεβαινει λιγο η ασφαλεια και η δυσκολια του προσωρινου κωδικου ταυτοποιησης συναλλαγης (αποψη μου το τελευταιο).
Εμφάνιση 61-75 από 89
-
07-07-20, 20:45 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #61
-
13-07-20, 12:05 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #62
Πολύ σωστά αυτά που γράφεις και δεν διαφωνώ. Το σκεπτικό του Possession element έχει μια κάποια βάση, αλλά με προβληματίζει αρκετά αυτό που συμβαίνει στην πραγματικότητα. Σήμερα για παράδειγμα... Πήγα να μπω στο Web banking περιβάλλον της Alphabank, μου έστειλε με SMS τον κωδικό κι εκεί παρατήρησα το εξής: Το κινητό μου έχει default ρύθμιση να εμφανίζει τη σύνοψη του SMS στη lock screen, στην οποία εμφανίζεται και ο κωδικός μιας χρήσης. Άρα θεωρητικά μπορεί κάποιος να δει τον κωδικό μίας χρήσης ακόμη κι αν είναι κλειδωμένη η συσκευή.
Φυσικά υπάρχει ρύθμιση να μην εμφανίζει τα SMS στη Lock screen, αλλά 1) λίγοι θα το ξέρουν ή/και θα μπουν στον κόπο να το σκεφτούν/αλλάξουν 2) μήπως είναι default αυτή η ρύθμιση στα περισσότερα κινητά;
Αν συνδυάσουμε τα παραπάνω με το γεγονός ότι έχουμε συνεχώς μαζί μας το κινητό, η παραβίαση ενός λογαριασμού -θεωρητικά τουλάχιστο- καθίσταται πιο εύκολη, κι εξηγώ:
Περίπτωση 2FA με Token
Ο κακόβουλος θα πρέπει να βρει που έχουμε αποθηκεύσει τη συσκευή που παράγει κωδικούς (συνήθως την αφήναμε στο σπίτι), να έχει πρόσβαση στο χώρο και στη συσκευή και να έχει πρόσβαση και στους κωδικούς πρόσβασης.
Περίπτωση 2FA με δικό μας Application που παράγουμε τους κωδικούς
Ο κακόβουλος πρέπει να έχει πρόσβαση στην ξεκλείδωτη συσκευή κινητού και στους κωδικούς πρόσβασης.
Περίπτωση 2FA με Application Web Banking
Ο κακόβουλος πρέπει να έχει πρόσβαση στην ξεκλείδωτη συσκευή κινητού (εκτός κι αν η εφαρμογή εμφανίσει τους κωδικούς μιας χρήσης στη Lock Screen) και στους κωδικούς πρόσβασης.
Από την πλευρά του επιτιθέμενου, η πρώτη περίπτωση μου φαίνεται πιο δύσκολη από τις άλλες δύο. Είναι φυσικά και λιγότερο ευέλικτη, γιατί δεν θα μπορούσαμε να κάνουμε συναλλαγές εν κινήσει. Θα μπορούσαμε όμως να την έχουμε για τον/τους λογαριασμούς που θέλουμε να ασφαλίσουμε καλύτερα. Και στους άλλους να έχουμε τις Mobile λύσεις.
Αντιλαμβάνομαι ότι οι τράπεζες είναι σε γενικές γραμμές ουραγοί στην υιοθέτηση νέων τεχνολογιών, αλλά αυτό δε μπορώ να το αποδεχτώ για πολλούς λόγους: α) Με χρεώνουν με δεκάδες διαφορετικούς τρόπους για να «προσέχουν» τα χρήματά μου, οπότε αφού πληρώνω έχω απαιτήσεις, β) δεχόντουσαν και δέχονται κρατικές χρηματοδοτήσεις, οπότε έχω πολλαπλές απαιτήσεις αφού πληρώνω διπλά -και σαν πελάτης και σαν πολίτης, γ) το κράτος με υποχρεώνει να συναλλάσσομαι με αυτές κι άρα έχω τριπλή απαίτηση να ακολουθούν τις εξελίξεις αφού και να θέλω δε μπορώ να τις αποφύγω.
-
13-07-20, 12:27 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #63
-
13-07-20, 12:27 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #64
Θα μπορούσες τότε να έχεις μια συσκευή κινητή που θα την αφήνεις σπίτι μόνο και μόνο για τους κωδικούς μιας χρήσης.
βάζεις μάλιστα και κλείδωμα ώστε να μην εμφανίζει τα sms στην Lock screen και έτσι είναι πιο ασφαλής ακόμα και απο το token.
-
14-07-20, 21:45 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #65
Αρα καταληγουμε οτι το "προβλημα" ειναι οτι οι περισσοτεροι επιτρεπουν να εμφανιζονται στην lockscreen τα SMS αρα θα φανει και ο κωδικος ακομα και αν δεν εχει ο κακοβουλος τον κωδικο-αποτυπωμα να ξεκλειδωσει.
Εκει ομως εξαρταται απο το πως δουλευει ο καθενας τη συσκευη του και δεν μπορει να παρεμβει μια ευρωπαικη οδηγια. Υπαρχουν ακομα στις μερες μας ανθρωποι που δεν εχουν κωδικο στο κινητο ή εχουν κωδικο του στυλ 1234, 0000, 1111.
Αρα οτι και να κανει ή πει μια οδηγια για security, στο τελος της ημερας ο μεγαλυτερος παραγοντας κινδυνου ειναι ο ανθρωπος.
Διαπιστωση στην οποια κατεληξε και η 6η ευρωπαικη οδηγια για το Ξεπλυμα Χρηματος (AML). Δυστυχως σε οποια δραστηριοτητα υπαρχει ανθρωπινος παραγοντας θα υπαρχει παντα και μια δοση κινδυνου ειτε μικρη ειτε μεγαλη.
-
16-07-20, 14:54 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #66
Ακριβώς όπως τα λες Sebu! Δεν θα μπορούσα να συμφωνήσω περισσότερο με το ότι στις περισσότερες περιπτώσεις ο «αδύναμος κρίκος» είναι ο ίδιος ο άνθρωπος. Το μόνο στο οποίο διαφοροποιούμαι είναι πως δεν θα πρέπει να καταργούμε πρακτικές που είναι πιο ασφαλείς για χάρη άλλων λιγότερο ασφαλών. Στο κάτω-κάτω ας υπήρχαν και οι δύο μέθοδοι (token, SMS) ή ακόμη καλύτερα (token, SMS, TOTP) κι ας διαλέξει ο καθένας αυτό που θεωρεί πιο καλό.
-
16-07-20, 15:16 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #67
@Tony_Ts Πολύ σωστός σε όλα, συμφωνώ ακόμη και στα σημεία στίξης.
Για λίγο καιρό είχα προλάβει στο e-banking της Eurobank που δημιουργούσαν πιστοποιητικό για τους περιηγητές και μπορούσες να το αφαιρέσεις μόνο με το κωδικό του. Αργότερα καταργήθηκε με την αποστολή SMS. Το μεγάλο κενό ασφάλειας ήταν ότι κάποιος θα μπορούσε να αντιγράψει το φάκελο του προφίλ του προγράμματος και να το μεταφέρει σε δικό του περιβάλλον, όπως γίνεται η ανάκτηση από εφεδρικά αρχεία.Τελευταία επεξεργασία από το μέλος maxie : 16-07-20 στις 19:50.
-
20-07-20, 21:23 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #68
Δεν θυμαμαι τα τοκεν ποσους χαρακτηρες εμφανιζαν. 6 ή λιγοτερους? Αν ισχυει και αυτο που θυμαμαι για ευρωπαικη οδηγια ελαχιστου μηκους/προδιαγραφης OTP ισως το token να γινοταν σχετικα γρηγορα obsolete και να χρειαζοταν αντικατασταση με νεο που σημαινει κοστος για τον παροχο/τραπεζα.
Επισης το token εξακολουθει να μην "διασφαλιζει" τον παραγοντα "κατοχης" γιατι αν πεσει στα χερια του οποιουδηποτε μπορει με το πατημα ενος μονο κουμπιου να παραξει κωδικο και το πιστωτικο ιδρυμα δεν γνωριζει στα χερια ποιου ειναι καθε στιγμη ενα token.
Μην ξεχναμε οτι τα token οτι και αν συμβει παραμενουν ιδιοκτησια της τραπεζας αρα ισως κομματι της ευθυνης/ιδιοκτησιας να μενει στην τραπεζα (δεν ειμαι νομικος δεν γνωριζω αν ισχυει κατι τετοιο νομικα).
Οπως και να εχει οι "σοφοι" στας Ευρωπας για καποιο λογο κατεληξαν οτι τα κλειδακια token δεν ειναι secure και δεν εξασφαλιζουν το possession element για τους σκοπους αυτους.
-
21-07-20, 09:36 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #69
Ενδιαφέρον άρθρο, εξαιρετικά σχετικό και από αξιόπιστη πηγή: https://arstechnica.com/information-...ting-protocol/
Κατόπιν των παραπάνω γεγονότων, πως οποιοσδήποτε μπορεί να έχει πρόσβαση στα SMS μας αρκεί να γνωρίζει τον τηλεφωνικό αριθμό, πιστεύω πως εξανεμίζεται το επιχείρημα του possession element. Και φυσικά δεν εννοώ τα μέλη του παρόντος φόρουμ που το ανέφεραν. Αλλά αυτούς που πήραν τις σχετικές αποφάσεις σε ΕΕ, τράπεζες, ή οπουδήποτε αλλού, παρά το ότι υπήρξαν καταγεγραμμένα περιστατικά κατάχρησης αλλά και γνώση της αδυναμίας του σχετικού πρωτοκόλλου από το 2008!
-
21-07-20, 10:28 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #70
https://en.wikipedia.org/wiki/Signalling_System_No._7
Θέλει κάτι παραπάνω απο απλά κάποιον να ξέρει το νούμερο μας
https://www.enisa.europa.eu/publicat...oad/fullReport
Και εδώ για τα αλλά token
https://en.wikipedia.org/wiki/RSA_SecurID
https://arstechnica.com/information-...s-compromised/Τελευταία επεξεργασία από το μέλος sdikr : 21-07-20 στις 10:44.
-
11-09-20, 18:19 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #71
Γεια πείτε κάνα κόλπο να το αποφύγω αυτό χωρίς να χρειαστεί να ξηλώσω το Viber γιατί δεν μου αρέσει να μην έχω επιλογή και θέλω να παίρνω sms.
Έφαγα αυτό πριν λίγο σε sms από την Alpha
ALPHA ALERTS: AΠO 14.10.2020 TA ENHMEPΩTIKA MHNYMATA ΣYNAΛΛAΓΩN KAPTΩN ΘA AΠOΣTEΛΛONTAI MEΣΩ VIBER. EAN ΔEN EXETE THN EΦAPMOΓH ΘA ΣYNEXIΣETE NA ΛAMBANETE SMS.
Τώρα που το ξαναδιαβαζω μάλλον δεν εννοεί τις εγκρίσεις συναλλαγών, σωστά?There's no substitute for experience
CorollaClub
-
11-09-20, 18:34 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #72
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.665
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
11-09-20, 18:37 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #73
-
11-09-20, 19:01 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #74
Οκ ευχαριστώ, τους εκανα block ήδη.
There's no substitute for experience
CorollaClub
-
11-09-20, 22:19 Απάντηση: Ανακοίνωση της Alpha Bank σχετικά με τεχνικό πρόβλημα στο σύστημα myAlpha Code μέσω SMS #75
Καλά τραγικό....
Κι αν δεν έχουμε ενεργό Ιντερνετ δεν λαμβάνουμε ποτε εγκαιρη ενημέρωση!!
Για πείτε αν κάποιος έκανε block την Alpha Bank στο Viber αν δουλεύει μόνο με sms.
Όσο για την κουβέντα που έχετε παραπάνω σχετικά με Password Application στα κινητά ... μα η Alpha Bank είχε τέτοια εφαρμογή και την κατήργησε!
Το Alpha Safe Access αντικατασταθηκε από Viber και sms
Bookmarks