Forum » Loža » Banka - prijava z digitalni potrdilom
Banka - prijava z digitalni potrdilom
AndrejO ::
Ali je v Slovenji po zadnji degradaciji varnosti spletnega bančništva še ostala kakšna banka, ki omogoča prijavo z uporabo digitalnega potrdila?
AndrejO ::
WizzardOfOZ je izjavil:
NLB ima OTP in certifikat. Lahko izbiraš ena ali drugo ali oboje.
Ali lahko opišeš postopek kako poteka prijava z digitalnim potrdilom?
pegasus ::
NLB? Cert imaš v browserju, ko prideš na klik login page te prepozna, vpišeš samo geslo. Znotraj klika si lahko nastaviš custom string, ki se izpiše na login pageu, za preprečevanje phishinga.
jype ::
SeMiNeSanja ::
Jaz imam certe na ključku, uporabljam pa za SKB.net in NLB (in vse portale javne uprave, kjer zahtevajo certifikat).
Od NLB certifikat sem ravno ta mesec obnovil.
Od NLB certifikat sem ravno ta mesec obnovil.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
smacker ::
Meni so na NLB odsvetovali podaljšanje certifikata, ker jih imajo v kratkem (pred poletjem so rekli da v manj kot letu dni) namen ukinit. DH ima certifikat + SMS token. Včasih je bil token le za potrditev plačila, po novem je pa tudi za prijavo).
WhiteAngel ::
Lon ima tudi še kvalificirano digitalno potrdilo.
Sem pa jezen nad posiljevanjem s temi OTP generatorji, ker vsaj pri Sparkasse so zamenjali digitalno potrdilo+geslo samo še z OTP žetonom. OTP generator je pa nameščen na starem consumer-grade Android telefonu brez posodobitev in zaščiten s 4-8 mestnim številčnim pinom. Bravo. V bistvu je zaščita slabša kot prej, ker to ni noben 2fa. Tisti 20 let star pristop je vsaj bil, če si imel digitalno potrdilo na fizični napravi. Moram pa še pohekati njihov OTP generator, da dobim ključ in uporabim standarden HOTP na bolj varni napravi. Ima kdo format, kako Halcom zgenerira ključ iz številke uporabnika in referenčne številke?
Holy fuck. Sms?! A so bančniki res tako neumni ali se sam delajo
Sem pa jezen nad posiljevanjem s temi OTP generatorji, ker vsaj pri Sparkasse so zamenjali digitalno potrdilo+geslo samo še z OTP žetonom. OTP generator je pa nameščen na starem consumer-grade Android telefonu brez posodobitev in zaščiten s 4-8 mestnim številčnim pinom. Bravo. V bistvu je zaščita slabša kot prej, ker to ni noben 2fa. Tisti 20 let star pristop je vsaj bil, če si imel digitalno potrdilo na fizični napravi. Moram pa še pohekati njihov OTP generator, da dobim ključ in uporabim standarden HOTP na bolj varni napravi. Ima kdo format, kako Halcom zgenerira ključ iz številke uporabnika in referenčne številke?
DH ima certifikat + SMS token. Včasih je bil token le za potrditev plačila, po novem je pa tudi za prijavo).
Holy fuck. Sms?! A so bančniki res tako neumni ali se sam delajo
Zgodovina sprememb…
- spremenil: WhiteAngel ()
SeMiNeSanja ::
WhiteAngel je izjavil:
Holy fuck. Sms?! A so bančniki res tako neumni ali se sam delajo
Baje, da je nekdo v EC ali kaj vem kerem EU organu dal ven, da je SMS dovolj 'varen'..... ne glede na to, da so vrabci od krohotanja popadali s telegrafštange, ko so to slišali.
Banke so pa to hitro pobrale in šle v implementacijo, ker je očitno najcenejša metoda in najlažja za implementirat.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Phantomeye ::
Abanka je tudi šla v to. Okej, za mobilno banko priznam, da mi je šlo na živce hodit na lokacijo po m-token vsakič, ko sem dobil nov telefon/formatiral/reinštaliral app. Ampak goddamn, sej imam certifikat.
kjut ::
Sej cene druzga certifikat se vedno pride prav za upravne zadeve, edavki in podobno, ni neuporaben, ob najhujsem prmeru odjava rezidenstva na daljavo. Ravno en dan pred obvestilom o prenovi vstopa sem zaa bankho uredil certifikat in zdaj ga ne zahtevajo vec. (abhanka) meh
Mi je pa vsec ker nisi vec vezan na tocno dolocene browserje.
Mi je pa vsec ker nisi vec vezan na tocno dolocene browserje.
Zgodovina sprememb…
- spremenil: kjut ()
Apple ::
Meni so na NLB odsvetovali podaljšanje certifikata, ker jih imajo v kratkem (pred poletjem so rekli da v manj kot letu dni) namen ukinit. DH ima certifikat + SMS token. Včasih je bil token le za potrditev plačila, po novem je pa tudi za prijavo).
Tudi če NLB ukine naslednje leto certe, bodo le-ti veljali še 5 let od izdaje... Dvomim pa, da jih bodo ukinili :)
LP, Apple
smacker ::
WhiteAngel je izjavil:
Holy fuck. Sms?! A so bančniki res tako neumni ali se sam delajo
Ni poanta 2FA, da je 100% varno, ampak da nihče nima vseh komponent, ki jih potrebuje za prijavo. NKMB ma username + 6 digit pin (jako geslo) + SMS token, tak da je DH s certom in močnim custom geslom še kar ok.
JanBrezov ::
Ukinitev certifikatov niti ni slabo, če jaz stvar prav razumem. Namreč če ti vdrejo preko remote, kar je glede na to, kako slaba gesla ima folk, precej enostavno, potem ti vdrejo v tvoj račun, ki ima dostopa do certifikata. Če ti uganejo še geslo za banko (kar iz prej navedenega razloga spet ni težko), potem certifikat ne nudi nobene varnosti. Ker je vse na eni napravi. Če pa sta za prijavo potrebni dve napravi (računalnik + telefon z OTM ali SMS) pa mora vdret v obe, kar je težje izvedljivo.
facepalm ::
Sedaj je dovolj vdor v telefon, niti gesla ne potrebujes. Oznacis "pozabljeno geslo", dobis mail + sms na telefon in si v spletni banki.
Pred tem pa bi potreboval certifikat no matter what.
Pred tem pa bi potreboval certifikat no matter what.
WizzardOfOZ ::
Ukinitev certifikatov niti ni slabo, če jaz stvar prav razumem. Namreč če ti vdrejo preko remote, kar je glede na to, kako slaba gesla ima folk, precej enostavno, potem ti vdrejo v tvoj račun, ki ima dostopa do certifikata. Če ti uganejo še geslo za banko (kar iz prej navedenega razloga spet ni težko), potem certifikat ne nudi nobene varnosti. Ker je vse na eni napravi. Če pa sta za prijavo potrebni dve napravi (računalnik + telefon z OTM ali SMS) pa mora vdret v obe, kar je težje izvedljivo.
Za potrjevanje plačil dobiš še SMS s kodo na telefon. Tako da ni ravno preprosto. Moraš in računalnik in telefon dobit, če si hočeš denar nekoga prenakazat.
WhiteAngel ::
WizzardOfOZ je izjavil:
Ukinitev certifikatov niti ni slabo, če jaz stvar prav razumem. Namreč če ti vdrejo preko remote, kar je glede na to, kako slaba gesla ima folk, precej enostavno, potem ti vdrejo v tvoj račun, ki ima dostopa do certifikata. Če ti uganejo še geslo za banko (kar iz prej navedenega razloga spet ni težko), potem certifikat ne nudi nobene varnosti. Ker je vse na eni napravi. Če pa sta za prijavo potrebni dve napravi (računalnik + telefon z OTM ali SMS) pa mora vdret v obe, kar je težje izvedljivo.
Za potrjevanje plačil dobiš še SMS s kodo na telefon. Tako da ni ravno preprosto. Moraš in računalnik in telefon dobit, če si hočeš denar nekoga prenakazat.
Na računalniku je itak spyware (baje, zato imamo menda 2fa?). Za telefon moraš biti pa samo na isto bazno postajo priklopljen kot uporabnik, da spoofneš sms, ni treba ukrasti telefona.
AndrejO ::
Certifikat mi je muz zato, ker se z njim elegantno prepreči večino MITM napadov.
Način, ki si ga je izbrala ABanka, je idiotski zato, ker so med seboj pobrkljali kar nekaj stvari. Čisto komot bi pustili cert kot alternativo za e-mail naslov, ki je sedaj edini možen identifikator za uporabnika. Preostalo, pa bi lahko delalo tako, kot se jim dozdeva, da direktiva zahteva. Strinjam pa se, da zgolj cert še ne izpolnjuje zahtev direktive, saj ni nekaj "kar imam", ker banka nima nadzora nad tem, če ga uporabnik hrani na način, ki je skladen z direktivo.
Tako, da ... ali je v Sloveniji še kakšna banka, ki ne kaže znakov varnostne demence in je sposobna zagotoviti, da dovolj spretno postavljena spletna stran ne bo pokradla mojih identifikatorjev in jih uporabila za kaj tretjega?
Torej ne samo trenutno stanje, temveč tudi napovedano stanje v zelo bližnji prihodnosti.
Način, ki si ga je izbrala ABanka, je idiotski zato, ker so med seboj pobrkljali kar nekaj stvari. Čisto komot bi pustili cert kot alternativo za e-mail naslov, ki je sedaj edini možen identifikator za uporabnika. Preostalo, pa bi lahko delalo tako, kot se jim dozdeva, da direktiva zahteva. Strinjam pa se, da zgolj cert še ne izpolnjuje zahtev direktive, saj ni nekaj "kar imam", ker banka nima nadzora nad tem, če ga uporabnik hrani na način, ki je skladen z direktivo.
Tako, da ... ali je v Sloveniji še kakšna banka, ki ne kaže znakov varnostne demence in je sposobna zagotoviti, da dovolj spretno postavljena spletna stran ne bo pokradla mojih identifikatorjev in jih uporabila za kaj tretjega?
Torej ne samo trenutno stanje, temveč tudi napovedano stanje v zelo bližnji prihodnosti.
Invictus ::
Še vedno je najbolj ziher key generator 
.
Kljub ostalim tehnologijam...
.Kljub ostalim tehnologijam...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Phantomeye ::
Certifikat mi je muz zato, ker se z njim elegantno prepreči večino MITM napadov.
Način, ki si ga je izbrala ABanka, je idiotski zato, ker so med seboj pobrkljali kar nekaj stvari. Čisto komot bi pustili cert kot alternativo za e-mail naslov, ki je sedaj edini možen identifikator za uporabnika. Preostalo, pa bi lahko delalo tako, kot se jim dozdeva, da direktiva zahteva. Strinjam pa se, da zgolj cert še ne izpolnjuje zahtev direktive, saj ni nekaj "kar imam", ker banka nima nadzora nad tem, če ga uporabnik hrani na način, ki je skladen z direktivo.
Tako, da ... ali je v Sloveniji še kakšna banka, ki ne kaže znakov varnostne demence in je sposobna zagotoviti, da dovolj spretno postavljena spletna stran ne bo pokradla mojih identifikatorjev in jih uporabila za kaj tretjega?
Torej ne samo trenutno stanje, temveč tudi napovedano stanje v zelo bližnji prihodnosti.
a pri a banki (mobile) koga stalno stalno odjavlja? (torej vsakič login pošta, geslo, sms in nastavitev prstnega odtisa?)
krucymucy ::
WhiteAngel je izjavil:
Holy fuck. Sms?! A so bančniki res tako neumni ali se sam delajo
Ni poanta 2FA, da je 100% varno, ampak da nihče nima vseh komponent, ki jih potrebuje za prijavo. NKMB ma username + 6 digit pin (jako geslo) + SMS token, tak da je DH s certom in močnim custom geslom še kar ok.
certifikat + geslo + sms token. Tako je po novem na DH
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | NLB Klikin (strani: 1 2 3 4 )Oddelek: Omrežja in internet | 41939 (5646) | Machete |
| » | NLB ukinitev certifikatov ? (strani: 1 2 3 4 … 11 12 13 14 )Oddelek: Loža | 124072 (31081) | WizzardOfOZ |
| » | Abanka-Katastrofa (strani: 1 2 3 )Oddelek: Loža | 18630 (10477) | w0mbat |
| » | Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )Oddelek: Informacijska varnost | 19711 (16276) | MrStein |
| » | e-bančništvo: PIN "kalkulator" v. kvalificirano digitalno potrdiloOddelek: Informacijska varnost | 7932 (6986) | krneki0001 |