Teraz przychodzi SMS-sem co autoryzuje ...
Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala :-)
To musialyby sie banki zdecydowac akurat na to. No i producent musialby zadbac, zeby tego nikt nie zlamal ...
Ale to chyba nie beda zmienne ?
No chyba, ze bank uzna poczte za zbyt niebezpieczna. Bo w sumie czemu uznac za bezpieczna ...
Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza ilosc hackerow ktorzy moga to zrobic ...
J.
I dalej będzie przychodzić. :-)
Owszem, to jest koszt znacznego podniesienia poziomu bezpieczeństwa.
Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie. No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z Twoich problemów. :-)
Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla każdego portalu/serwisu. Nawet ja nie znam swoich. :-) Znam tylko hasło do googla i do LastPassa. Oba dobezpieczyłem kluczykiem.
Musi istnieć jakiś sposób komunikacji z klientem, choćby celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być e-mail
-- a czemu nie, jeden pies. Tak czy inaczej ten kanał to jest Twój główny zasób do ochrony, bo dzięki niemu rozbezpieczysz/przejmiesz pozostałe.
I widzi babcia. :-)
Na początku musisz sobie stworzyć model zagrożenia, przed którym się bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od tysiąca przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa przemysłowego, inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz HVT (High Value Target), to nikt raczej nie będzie się bawił w atak na Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych ataków jest na białko. Podstawi Ci się cycatą blondynę or compatible i podbijesz statystykę. W wersji soft pewnego słonecznego dnia znajdziesz na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest... :-)
Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy. Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.
Pozdrawiam, Piotr
No to juz trzecia autoryzacja ... wiec po co przeplacac :-)
Albo producent popelnil jakis blad i sie zlamie latwo.
Ale stale są ? To raz ktos podejrzy/podslucha i bedzie znal.
A moze sms ? Bo uznac e-mail za bezpieczny ... moze po dobezpieczeniu PGP...
Wszystkie :-)
Ale potem ta dzieciarnia idzie do pracy i pracuje u bogatego szefa. Albo np w klubie fitness..
J.
Amerykański oddział Polskiej spółki. Taki jest wymóg Kickstartera.
W tym przypadku masz rację. SMS to też dobra realizacja MFA.
Nawet jeśli, to bez fizycznego dostępu do klucza nie poszalejesz.
Zawsze są stałe. Czynnik zmienny wprowadza SMS albo inny token lub klucz. Nie wszystkie moje zasoby są równocenne, a wszystkich haseł nie podsłuchasz.
Te cenniejsze portale przesyłają kod jednorazowy SMS.
Niemniej tak się na świecie utarło, co zrobisz. W praktyce całość się sprowadza do tego, by się głupio nie podłożyć. Uciekanie przed niedźwiedziem nie polega na tym, by być najszybszym biegaczem w grupie. Wystarczy nie być najwolniejszym.
No to Ty niezły kozak jesteś.
Err.. Chewbacca defense?
Pozdrawiam, Piotr
W dniu 2019-10-01 o 16:00, RadoslawF pisze:
Ja mam mBank, zapisałem się na testy tylko jak odkryłem, że Chrobi macza w tym palce. Pracowałem z nim dawno temu, jeśli nadal ma taki łeb jak kiedyś, to ma to szanse działać dobrze. Może agituję, bo znam gościa, ale jego pomysł z wyeliminowaniem białka w procesie bezpieczeństwa jest całkiem do rzeczy.
Nie, PSD2 wymusza, żeby uwierzytelnienie było "silne", czyli co najmniej
2 niezależne sposoby uwierzytelniania. Po taniości większość banków dorzuciła do loginu/hasła wymóg podania treści smsa. Dyrektywę spełnili, UE się nie doczepi, a jak widać powyżej, 4 dni i po "silnym" zabezpieczeniu.
Masz racje, ale własnie o to chodzi, żeby zabezpieczyć ogół użytkowników, który zwykle nie zamyka pancernych drzwi, bo nie jest dobry tak w bezpieczeństwie jak Piotr Wyderski, który zaopatrzył się w youbikey.
Sposób wymyślony przez Digital Fingerprints eliminuje białko, czyli słabości ludzkie. Nawet jak ktoś wyrwie ci kompa z reki, na którym jesteś zalogowany do banku, to po sposobie łażenia po tej stronie bankowej aplikacja jest w stanie wykminic, że to prawdopodobnie to nie ty. Chwilowo zablokuje dostęp, poprosi wtedy o smsa, próbkę krwi, nerkę, whatever. Ich algorytm ma za zadanie zapalić lampeczkę, że coś jest na rzeczy, to bank decyduje co z tą informacja zrobić dalej.
W dniu 2019-10-02 o 09:26, viktorius pisze:
Jeśli zadziała tak jak opisują. Z doświadczenia wiem że przeważnie działa troszeczkę inaczej. Dlatego dalej twierdzę że trzeba poczekać na kogoś kto tego poużywa kilka miesięcy.
I telefon który każdy nosi przy sobie więc może go zgubić lub łatwo go ukraść ma być silniejsze od kodów jednorazowych? Które u mnie zlikwidowali bo zastąpili SMSami.
Tyle teoria. A ja się zastanawiam czy nie będzie prosił o te potwierdzenia bo w poniedziałek to ja będę wczorajszy, we wtorek przeziębiony a w środę będę klepał w nerwowym pospiechu bo w pracy coś tam.
I nastąpi efekt bardzo silnego hasła wymuszanego przez firmowych informatyków które każdy z pracowników zapisuje na blacie lub kartce i chowa pod klawiaturą. W efekcie hasła jakby nie było.
Tu jak nastąpią takie zbędne i niepotrzebne uwierzytelniania to ludzie lub nawet bank zrezygnują z usługi.
Pozdrawiam
No jak Twoje kody jednorazowe mają face id ewentualnie pytają o pin przed dostępem to ja też takie chcę. Chociaż po zastanowieniu - jednak nie, telefon wygodniejszy
Albo bez odpowiednio skonstruowanej umowy, przerzucającej odpowiedzialność na użytkownika.
użytkownik Marek napisał:
Łał, telefon ma głośnik! Od kiedy? I wyjście słuchawkowe. Niesamowite.
Jaka wspaniała reklama na kikstarterze, na filmie wszyscy chodzą z ajfonami jak zombiaki. Brrrrrr. I oscyloskop mają chyba na baterie, nie widzę żadnych przewodów ze ściany do stolika. Musi rzeczywiście jaka kosmiczna technologia (albo robieni ludzi w chu).
Co do filmu z YT. Ot, nowa forma reklamy w internetach przez "niezależnych" jutuberów influencerów (jakże nowoczesne słowo) którzy za pieniądze są wszystko robiący.
cyt. Skutecznie wpływają na opinię innych, a ich pozytywna rekomendacja często warta jest więcej niż wysokobudżetowa kampania reklamowa. Influencerzy umiejętnie budują wokół siebie grupę lojalnych odbiorców, ble ble ble.
370 dolców za to gwno w błyszczącym dresie? Fony o tej konstrukcji są na ryneczku PL poniżej 100plnów, szukać w kategorii telefon dla dziadka/babci/seniora. W środku siedzą 3 układy na krzyż i obudowa. Jak coś kosztuje 1500 zł i jest gwno warte, trza zrobić dobra kampanię, a nawet bardzo dobrą.Biznes jest biznes.
Dnia Fri, 4 Oct 2019 23:10:56 +0200, JaNus napisał(a):
To jedna sprawa, a druga - nie stac ich na kilowaty i dorabiaja ideologie :-)
Owszem, ale trzeba duzo miejsca, obrotnice (choc mozna elektronicznie). I na KF to chyba trudno trafic we wlasciwe miejsce ... dla odbicia.
No i jesli taki z kims gada ... to czy ten drugi tez ma kilowaty ?
J.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.