SMS Žeton NKBM in "Varno" geslo

Pozdravljeni, hočem plačat račun in se prijavim v bankanet in zahteva da si nastavim varno geslo za novi SMS žeton. O varnosti katerega nebi razpravljal ampak zanimiva je njihova definicija varnega gesla.

Kako nastaviti varno geslo?

Geslo boste uporabljali pri prijavi v spletno in mobilno banko. Vljudno prosimo, da si geslo nastavite v skladu s sledečimi navodili:

- Geslo mora biti dolgo 6 znakov
- Za geslo lahko uporabite samo številke
- Izberite številke tako, da vašega gesla ne bo možno enostavno uganiti
- Uporabiti ne morete številk, ki se ponavljajo (npr. 111111, 123456, …)

Kakorkoli gledam težko pridem preko 23 ms hitrosti uganjevanja gesla. Se še komu zdi to malo čudno?

Ampak prijavim se lahko z njim v moj račun. Potem predvidevam da dobim OTP na telefon preko SMSa, ki je res, zelo, Varno. Zdaj mi je pa nekdo moral fizično ukrasti RSA OTP.

ko mi je na na banki rekla da će hočem spletno banko moram dat ali 10 eur za nek certifikat (nek njihov očitno) ali pa da dam telefon da mi NALOŽI nek žeton, sem ukrepal ZAPRL sem račun naslednji mesec. Fuq telefon naj bo neko varnostno sredstvo, a ne ne.

Se ena dodatna oslabitev varnosti: prej si moral vnesti svoj pin + stevilko na rsa kljucku ce si hotel kaj potrditi, sedaj pa samo stevilko, ki jo dobis preko SMS.

Ni treba da izgubis telefon. Lahko napizdi support osebo od mobilnega operaterja da rabis novo SIMko, in mu jo posljejo. Oz. posljejo na tvoj naslov on pa naslednjih par dni caka postarja in ti ukrade iz nabiralnika.

Ja to pa imas prav ja, samo se mi se vedno zdi malo smesno da je leta 2018 geslo omejeno na 6 cifer. Kot da bi jih bolelo teh par MB vec v bazi, ce bi pustili daljsa (daljsi hashi?), ter z kakrsnimikoli znaki.

Pa tudi je tako manj verjetno, da bi ljudje pozabljali geslo in oni imeli dodatno delo v poslovalnicah.

Ne vem... meni se ne zdi, da bi moral biti nevem kakšen hud 'hacking expert', da sistem zlorabiš.

Mja socialni inzeniring. James Bond varianta. Ocaras damo in ko je ona v hotelski sobi pod tusem na njen laptop in telefon namestis virus. To je to.
Ampak ok, kaksna je resitev za to?

janig je 25. sep 2018 ob 22:02 izjavil:

Ne vem... meni se ne zdi, da bi moral biti nevem kakšen hud 'hacking expert', da sistem zlorabiš.

Mja socialni inzeniring. James Bond varianta. Ocaras damo in ko je ona v hotelski sobi pod tusem na njen laptop in telefon namestis virus. To je to.
Ampak ok, kaksna je resitev za to?

Googlaj za 'rubberduck'....

SeMiNeSanja je 25. sep 2018 ob 21:50 izjavil:

Fašeš keylogger (3 sec. ti nekdo vtakne USB ključek v računalnik...), takoj po naslednjem nakazilu (ko mu keylogger posreduje tvoja gesla), pa ti ukrade še sim kartico iz telefona. Rabi samo še pin sim kartice....tega boš pa prav besno vtipkaval, če ti v telefon vstavi eno X kartico. Samo malo ti mora pod prste gledat....

Potrebuje torej:
1. Dostop do tvojega računalnika. Dobiš geslo do spletne banke na računalniku. To geslo je drugačno od tistega na telefonu.

Am, tu je že problem. Okej, recimo da imaš to isto (kar banka prepreči z omejitvami na geslih), gremo naprej, potrebuje še:

2. Dostop do tvojega telefona.
3. Gledati ti more pod prste medtem ko vtipkavaš PIN kodo. Brez da bi ti kaj posumil, da zakaj jo telefon nenadoma zahteva in zakaj je sploh izključen.
4. Resne banke zahtevajo še dodatno geslo za nakazila k neshranjenemu prejemniku. Tistega, ki ga vneseš z miško na virtualni tipkovnici z naključno razporeditvijo tipk, da keylogger ne deluje. Lahko ti še tam gleda v zaslon, seveda, ampak to nabor osumljencev že močno omeji - na približno enega, tistega, ki ti je gledal pod prste ko si vtipkaval PIN ko se ti je telefon čudežno izklopil in ti potem še gledal čez ramo, ko si šel na spletno banko prek računalnika in ga poznaš dovolj dobro, da ga pustiš k računalniku, na katerem imaš spletno banko.

Si sploh že kdaj videl spletno banko, ali je to zate nek čuden koncept, ki mu ne zaupaš?

Seveda se da zaobiti tudi to, ampak večina nas nima tako visokih zneskov, da bi se tole splačalo. Absolutno varno seveda ni, ampak precej lažje je vdreti v stanovanje in pokrasti "ultravarno" gotovino iz vzmetnice ali kjerkoli že. Absolutne varnosti ni, spletno banko se da zaobiti, ampak to je težje kot varovati gotovino, zlato ali te samo ugrabiti za odkupnino.

Varnost je torej več kot zadostna.

tony1 je 26. sep 2018 ob 08:41 izjavil:

Smrekar: ne vem zakaj bi se sekiral, kot smo se naučili na primeru NLB izpred nekaj let bo vsa morebitna sredstva, sunjena z zlorabo el. bančništva, morala povrniti kar lepo banka sama

Hm, morda pa bi morala biti ravno ta v prvi vrsti zainteresirana za varnost

Kot sem opisal zgoraj je varnost spletnega bančništva zanesljivo višja od vseh alternativ. Ajdi, če imaš dovolj denarja za personalni Fort Knox je tisto lahko boljše, samo za pol evra do evro na mesec kolikor stane spletna banka se boljšega zanesljivo ne da kupiti.

Ja, res je, teoretično se ga da zaobiti in ukrasti nekaj denarja. Tudi Fort Knox se da oropati. Torej?

@Smrekar1 - obstajajo rešitve, ki se ti zdijo kot znanstvena fantastika v primerjavi s tem, kar se gredo naše banke, da bi se otresle uporabe certifikatov v zasebnem sektorju.

Razumem, da je problem, če ljudje s svojimi certifikati delajo 'kot svinja z mehom'. Istočasno pa imaš ogromno ljudi, ki imajo že zaradi poslovanja ključe s certifikati in so si osebne certifikate tudi naložili na te ključe. Tem osebam bi morali omogočiti, da še naprej uporabljajo certifikate na ključu.

Zmoti pa predvsem SMS pošiljanje gesel. Ves svet to opušča. Ni jih malo, ki so si že opekli prste na SMS geslih, ki so jih prestregli in posledično zlorabili sisteme.

Ti naši bančniki pa se gredo 'saj ni problem - ker to ni edino geslo'.
O.k....potem pa tudi za geslo za vstop recimo, da ga lahko imaš nalepljenega na ekranu....ker itak ni edino geslo....?

Če se enkrat začne na ta način omalovaževati splošne dobre prakse, potem ne vem, kje se to lahko konča.

Pa ne gre se zgolj za 'tiste par fičnikov', ki jih ima povprečni slovenski delavec na računu. Gre se za kulturo varnosti. Za zgled, kako naj bi se zadeve počele optimalno. Od bank pričakujem, da so zgled ljudem s svojimi varnostnimi standardi in postopki.
Uvajanje SMS gesel pa je ravno obratno od zglednega obnašanja.

Ko boš jutri nekomu hotel razložiti, zakaj ni pametno uporabljati SMS za 2FA, ti bo rekel "če je dovolj dobro za banko, bo pa tudi za mene". Sorry - pa temu ni tako. Ampak daj mu dopovedat, da naj raje uporablja OTP, če mu banka tupi, da je SMS geslo čisto dovolj varno...... Kdo pa si ti, en mali wannabe pametnjakovič, pa ja ne boš trdil, da se banka gre nekaj, kar ni priporočljivo....

Sem začel plačevati preko mobilne aplikacije, kjer še vedno velja PIN+RSA. Ne vklopim SMS tokenov, pa če mi mesečno plačajo uporabnino.

Nasveti za menjavo banke? Kako ima rešeno spletno banko DH? Mogoče N26?

Oprema stane < 20 EUR.

Nategnjen si bil že ob nakupu, če vztrajaš pri nadaljni uporabi, ne boš nič manj nategnjen. Zdanje čase so jih itak zastonj delili, ker so uporabniki tako želeli. Zdaj so pa našli cenejšo alternativo.

Saj pravim, poleg sedanjih gesel in ponovno si bom moral zapomnit še eno! Zato je RSA kjucek ok. Poleg tega sem ga plačal, sedaj pa ukinjajo uporabo.
Bo potrebno poiskati alternativo.

tony1 je 6. okt 2018 ob 12:44 izjavil:

Oprema stane < 20 EUR.

A tudi brez fizičnega dostopa do SIMa? Torej brez ključa?

Verjetno veljavnost starega zetona se ni potekla. Enako je z RSA ID. Če vpišeš napačno kodo, bo še vedno veljala aktivna koda na ključku.

SeMiNeSanja je 26. sep 2018 ob 20:49 izjavil:

@Smrekar1 - obstajajo rešitve, ki se ti zdijo kot znanstvena fantastika v primerjavi s tem, kar se gredo naše banke, da bi se otresle uporabe certifikatov v zasebnem sektorju.

Razumem, da je problem, če ljudje s svojimi certifikati delajo 'kot svinja z mehom'. Istočasno pa imaš ogromno ljudi, ki imajo že zaradi poslovanja ključe s certifikati in so si osebne certifikate tudi naložili na te ključe. Tem osebam bi morali omogočiti, da še naprej uporabljajo certifikate na ključu.

Zmoti pa predvsem SMS pošiljanje gesel. Ves svet to opušča. Ni jih malo, ki so si že opekli prste na SMS geslih, ki so jih prestregli in posledično zlorabili sisteme.

Ti naši bančniki pa se gredo 'saj ni problem - ker to ni edino geslo'.
O.k....potem pa tudi za geslo za vstop recimo, da ga lahko imaš nalepljenega na ekranu....ker itak ni edino geslo....?

Če se enkrat začne na ta način omalovaževati splošne dobre prakse, potem ne vem, kje se to lahko konča.

Pa ne gre se zgolj za 'tiste par fičnikov', ki jih ima povprečni slovenski delavec na računu. Gre se za kulturo varnosti. Za zgled, kako naj bi se zadeve počele optimalno. Od bank pričakujem, da so zgled ljudem s svojimi varnostnimi standardi in postopki.
Uvajanje SMS gesel pa je ravno obratno od zglednega obnašanja.

Ko boš jutri nekomu hotel razložiti, zakaj ni pametno uporabljati SMS za 2FA, ti bo rekel "če je dovolj dobro za banko, bo pa tudi za mene". Sorry - pa temu ni tako. Ampak daj mu dopovedat, da naj raje uporablja OTP, če mu banka tupi, da je SMS geslo čisto dovolj varno...... Kdo pa si ti, en mali wannabe pametnjakovič, pa ja ne boš trdil, da se banka gre nekaj, kar ni priporočljivo....

Paranoja nad zlorabami gesel je pogosta, da. Noben sistem ni popoln in vsak sistem, ki je boljši od prejšnjega, ima svoje mesto.

Kolikor-toliko se edino strinjam glede gradnje kulture varnosti. To traja in treba je začeti dovolj zgodaj.

Meni se tudi dogajajo neke bolane z temi NKBM sms-ji.
Prijavim se z uporabniškim imenom in 6 mestnim geslom, sistem odgovori, da je poslal sms.
Ta pride, ko pride, lahko par minut, lahko tudi več ur.
Isto se zgodi, ko hočem potrditi plačilo in banka znova pošlje sms.
Potožil sem providerju omrežja, so rekli, da so pa oni brezhibni. Isto so dorekli tudi skrbniki NKBM-a.
Pa da naj si zamenjam telefon.Upošteval sem teto in dal simko v enega starega Samsunga in zadeva je res čudežno delala.
To me sicer ni preveč čudilo, me je pa, da je moj primarni telefon, Xiaomi Note 3 začel besno dobivati sms-je, ki bi jih moral že davno pokazati in to z napisom NO SERVICE v trayu in brez simke.
Moram vprašat ženko, če ma kaj alu folije...

fikus_ je 26. sep 2018 ob 07:52 izjavil:

"Kaj točno je falilo RSA ključku?"

+1

Plačal sem ga, sedaj pa ga ne bom mogel uporabljat do konca njegove "življenjske! dobe. Teh gesel in pinov je že toliko, da si jih težko zapomnim (tako na hitro 11-12 gesel/pinov). Bo potrebno nabavit kakšno aplikacijo da bo shranjevala v "oblak" (+ še eno geslo/pin).

Ja od nečesa pa morajo banke živet, ane? Kakšen RSA ključek - that's so 2000's. SMS je zakon. Je vsaj lažji za pohekat.

janig je 25. sep 2018 ob 22:02 izjavil:

Mja socialni inzeniring. James Bond varianta. Ocaras damo in ko je ona v hotelski sobi pod tusem na njen laptop in telefon namestis virus. To je to.
Ampak ok, kaksna je resitev za to?

Čaki, dama je pod tušem ti pa na laptopu in telefonu? WTF? Valda se moraš tudi ti potuširat, da ne bo dvojne porabe vode. Veliko večja verjetnost je da boš ti oropan. :D

Meni tudi ne. Sem pravkar probal geslo spremeniti in ce je daljse od 6 cifer javi da je predolgo...

No, zdaj je jasno, da je prehod na SMS žeton obvezen do konca leta. Alternative ni.
Je pa hecno, da so zdaj transakcije tako v e- kot mobilni banki (na domačem PCu ali mobitelu) popolnoma odvisne od sms žetona. Ker telefon vlačimo povsod, ga lahko izgubimo, nam je ukraden, ga založimo in hura, s tem smo odrezani od e-banke tudi na domačem PCu. Potrditev nalogov namreč zahteva sms žeton. Ok, saj je bilo isto tudi z RSA ključkom, a tega ni bilo potrebno vlačiti naokoli.
Temu na NKBM pravijo "uvedba novega varnostnega elementa" in je poslovna odločitev banke.