» »

Komitentki NLB so prihranki v eni noči izpuhteli v neznano

Komitentki NLB so prihranki v eni noči izpuhteli v neznano

««
9 / 9
»
»»

c3p0 ::

telexdell je izjavil:


Ma dobro- a sploh imate NLB klik ali le nabijate v tri krasne.
V aplikacijo na telefonu vstopaš tako, da vpišeš pin ali se identificiraš s prstnim odtisom (ali obrazom).
V PC verzijo pa vstopaš tako, da na telefonu poženeš generator kod, katerega odkleneš s kodo pin ali prstnim odtisom in potem v spletni obrazec vpišeš uporabniško ime in to kodo. SMS se pri PC dostopu uporablja zgolj tako, da na telefon dobiš sporočilo:"Pravkar ste se uspešno prijavili v NLB Klik." In to sporočilo prileti prej, kot se odpre pozdravno okno v Kliku.

Torej je lahko problem daljinski nadzor na telefonu in shekan pin. Če uporabljaš biometrijo tudi nadzor nad telefonom ne pomaga kaj dosti.


Debata je že zdavnaj šla izven okvirjev le NLB.

mBankanet ima možnost biometrične prijave, to pa vedno lahko prekličeš in se vpišeš z geslom.

"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

telexdell ::

c3p0 je izjavil:



Debata je že zdavnaj šla izven okvirjev le NLB.

mBankanet ima možnost biometrične prijave, to pa vedno lahko prekličeš in se vpišeš z geslom.

"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

Prekličeš biometrijo, omogočiš nadzor na telefonom... zakaj enostavneje n3e nakažeš svojega denarja na nek random račun?;(
Pa če je govora o mobilnih bankah na splošno, zakaj je edino NLB klik zanič in se vse, kar kjerkoli ni OK pripiše NLB klik? Napiši v prvi vrstici odziva npr: "KOMENTAR APLIKACIJE xx BANKE"... pol pa povej, kaj te žuli. Ne pa da se kar počez nekaj našteva kar za NLB Klik sploh ne velja.
Precej je treba vedeti, preden opaziš, kako malo veš.

Zgodovina sprememb…

Daniel ::

Scamerji najbolj ciljajo na NLB, zato je največ težav okrog tega.

OutOfTheBox ::

Verjetno ciljajo na starejše in verjetno ravno največji delež starejših je na NLB.

telexdell ::

OutOfTheBox je izjavil:

Verjetno ciljajo na starejše in verjetno ravno največji delež starejših je na NLB.

Le zakaj bi leta igrala vlogo, da si bedak? Tako mlajši kot starejši, kateri niso najbolj vešči sodobnih tehnologij so zaradi tega še veliko previdnejši. Vede namreč, da če bodo kliknili kaj mimo ustaljene rutine se jim bo vse zmešalo in bodo morali iskati pomoč pri drugih. Po drugi strani pa bolj vešči sodobnih tehnologij vedno iščejo nove poti in jemljejo nove prijeme. Tu zopet pride do razlike, saj starejši prej dvakrat premislijo preden enkrat kliknejo medtem ko mlajši najprej dvakrat kliknejo pol pa nič ne premislijo.
Tak da- tolaži se!
Precej je treba vedeti, preden opaziš, kako malo veš.

OutOfTheBox ::

Le zakaj bi leta igrala vlogo


Zato ker večina nategov, preko spleta ali pri prodaji na domu, se zgodi ravno pri starejših. Je staro znano dejstvo da so starejši veliko bolj dovzetni za natege v kakršnikoli obliki.

Zgodovina sprememb…

delavec44 ::

OutOfTheBox je izjavil:

Le zakaj bi leta igrala vlogo


Zato ker večina nategov, preko spleta ali pri prodaji na domu, se zgodi ravno pri starejših.


Zgleda si stopil mački na rep.

OutOfTheBox ::

Ni moj namen koga provocirat ampak dejmo govorit o dejstvih. Maš vrsto študij o tem in tisti ki imajo starejše doma študij niti ne potrebujejo, da na prvo žogo vidijo kako padajo na take ali drugačne natege. Zlate kuverte "zadeli ste,..", pa prodajalci ki prodajajo sesalce in seveda zdravila (konopljina mazila ipd). Vse to potem stoji tam, škode pa več tisoč € na leto. Tudi če se jim pove, ne razumejo ali pa pozabijo ker imajo demenco.

In ja, tudi mi bomo pač enkrat stari, naše kognitivne sposobnosti bodo padle, scami se bodo še razvili v nekaj kar danes ne poznamo in smo tam.

telexdell ::

OutOfTheBox je izjavil:

Ni moj namen koga provocirat ampak dejmo govorit o dejstvih. Maš vrsto študij o tem in tisti ki imajo starejše doma študij niti ne potrebujejo, da na prvo žogo vidijo kako padajo na take ali drugačne natege. Zlate kuverte "zadeli ste,..", pa prodajalci ki prodajajo sesalce in seveda zdravila (konopljina mazila ipd). Vse to potem stoji tam, škode pa več tisoč € na leto. Tudi če se jim pove, ne razumejo ali pa pozabijo ker imajo demenco.

In ja, tudi mi bomo pač enkrat stari, naše kognitivne sposobnosti bodo padle, scami se bodo še razvili v nekaj kar danes ne poznamo in smo tam.

Imaš povsem prav pri osebnem stiku ali preko telefona ali preko družbenih omrežij (otrok potrebuje operacijo, samski vojak v Afaganistanu... nekaj denarja, da prisem na obisk...) ali kakšen oglas na Facebooku za kakšen SMS klub. Nimaš pa prav pri sodobnih tehnologijah- PC in telefoni. Elektronske pošte ne uporabljajo. Telefon uporabljajo le za klice in družbena omrežja. Če že rabijo kakšno aplikacijo jim jo naložijo vnuki... Če pa ne rabijo vnukov za aplikacije pol je pa marsikateri starejši precej bolj vešč sodobnih tehnologij kot pa vase zagledan mladec. Nenazadnje- kdo je pa tem mladcem izdelal tehnologijo in jih jo naučil uporabljati?

PS seveda pa lahko verjameš da boš od danes naprej vsak dan bolj butast in boš znal manj uporabljati računalnik in telefon. Kdo sem jaz, da te bom prepričeval o nasprotnem?
Precej je treba vedeti, preden opaziš, kako malo veš.

bbbbbb2015 ::

OutOfTheBox je izjavil:

Ni moj namen koga provocirat ampak dejmo govorit o dejstvih. Maš vrsto študij o tem in tisti ki imajo starejše doma študij niti ne potrebujejo, da na prvo žogo vidijo kako padajo na take ali drugačne natege. Zlate kuverte "zadeli ste,..", pa prodajalci ki prodajajo sesalce in seveda zdravila (konopljina mazila ipd). Vse to potem stoji tam, škode pa več tisoč € na leto. Tudi če se jim pove, ne razumejo ali pa pozabijo ker imajo demenco.

In ja, tudi mi bomo pač enkrat stari, naše kognitivne sposobnosti bodo padle, scami se bodo še razvili v nekaj kar danes ne poznamo in smo tam.


Podpišem! +1

solatko ::

bbbbbb2015 - Pusti tako kot je, je pomenilo, da zakonodaja o deviznih vlogah še ni bila sprejeta, v nekaj mesecih si lahko dvignil komplet devize v kateri koli valuti. Sem imel sam $CND, CHF, DEM in Shiling. Še danes na istem računu v drugačnem obsegu, razen DEM, ki so bile spremenjene v €. Ja lažeš, da nisi dobil izplačanih deviz, če pa si jih hotel takoj pa pač ne.

telexdell - Ve se, ker tisti, ki ga je na HR in SLO prinesel, v A sedi. Če ga nebi dal, tudi kriv nebi bil po avstrijski zakonodaji.

Legon - Osebno sem pizdil pred leti, ko so uvedli to zmedo od programov za iOS in Android ter izključili M$. Imel sem namreč lumio950xl, ki je bila tisočkrat varnejša, kot googleshit pa ni pomagalo, zaradi banke sem moral menjat telefon is se sedaj zajebavam s tem Androidom, na srečo se nisem odločil za Sramsung, temveč za Realme, na katerega programe nameščam sam, ne, da je že 200 spam programov nameščeno po defaultu in vsako minuto kaj piska in jamra.
Delo krepa človeka

telexdell ::

solatko je izjavil:



telexdell - Ve se, ker tisti, ki ga je na HR in SLO prinesel, v A sedi. Če ga nebi dal, tudi kriv nebi bil po avstrijski zakonodaji.

Dal že dal, a komu? Mogočemu tistemu, kateri je sedel pri nas?

PS Janša je sedel po krivem, zato išči drugje.
Precej je treba vedeti, preden opaziš, kako malo veš.

V-i-p ::

Solatko: na Samsungu odstraniš ali onemogočiš vse kar ti ne paše v parih minutkah, ccc...
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

telexdell ::

V-i-p je izjavil:

Solatko: na Samsungu odstraniš ali onemogočiš vse kar ti ne paše v parih minutkah, ccc...

To vemo vsi, kateri uporabljamo Android telefone in hkrati ni naša prioriteta potrjevanju nečemu in zanikanju drugega izključno na podlagi malikov, katere nam servirajo največji mediji. Normalni pač vzamemo telefon v roke in prečekiramo, kako in kaj. Pač enako, kot pogledamo največje in najmanjše medije pol pa si ustvarimo svojo sliko tistega, kar nam eni in drugi želijo prodati.
Pa jan se gre za praznjenje računov na NLB ali primerjav IOS/android ali dnevnopolitično dogajanje...
Precej je treba vedeti, preden opaziš, kako malo veš.

Apple ::

SI-CERT opozarja:
https://www.cert.si/okuzbe-s-trojanskim...

...da ne bodo banke spet krive...
LP, Apple

solatko ::

telexdell - Zakaj pa Jankovič, kljub gostilniško dokazanim rabotam, ne sedi? Vsa naša kazenska zakonodaja je polna lukenj, saj so jo sestavljale odvetniške pisarne po nalogu in naročilu DZ, kljub več tisoč diplomiranih pravnikov s pravosodnim izpitom v JU, fakultetah in inštitutih, smo DEMOS rdečim pravnikom ni zaupal ali pa so se bali, da bo zakonodaja spisana kvalitetno in se bojo morali sodniki odločati za arest in ne za nepravilno pridobljene dokaze ali zastarelost.

V-i-p - Onemogočiš že, ne moreš pa samsungovega sranja odstranit, razen z root.
Delo krepa človeka

BlaY0 ::

c3p0 je izjavil:


"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

Temu se reče 2FA gone bad. Đabe ti 2FA, če se tako prvi kot drugi faktor izvajata na eni in isti napravi. Isto kot dve ključavnici na istih vratih, panti pa zaen k.

St235 ::

solatko je izjavil:

telexdell - Zakaj pa Jankovič, kljub gostilniško dokazanim rabotam, ne sedi? Vsa naša kazenska zakonodaja je polna lukenj, saj so jo sestavljale odvetniške pisarne po nalogu in naročilu DZ, kljub več tisoč diplomiranih pravnikov s pravosodnim izpitom v JU, fakultetah in inštitutih, smo DEMOS rdečim pravnikom ni zaupal ali pa so se bali, da bo zakonodaja spisana kvalitetno in se bojo morali sodniki odločati za arest in ne za nepravilno pridobljene dokaze ali zastarelost.

V-i-p - Onemogočiš že, ne moreš pa samsungovega sranja odstranit, razen z root.

Tablete za demenco popustile? Al si samo naraven bedak?

c3p0 ::

BlaY0 je izjavil:

c3p0 je izjavil:


"2FA" pa je spet le SMS za fizične osebe in posebni 2FA app za Poslovni bankanet, kar je oboje dosegljivo nekomu z nadzorom telefona.

Temu se reče 2FA gone bad. Đabe ti 2FA, če se tako prvi kot drugi faktor izvajata na eni in isti napravi. Isto kot dve ključavnici na istih vratih, panti pa zaen k.


Špila za silo, dokler bančnega appa nimaš na telefonu. Tako kot je, je pa katastrofa. Banke niti ne pisnejo na to temo. Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem. Jaka varnost.

OutOfTheBox ::

Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem.


In v čem je problem? Če bi te pustil prijavljenega in bi ti nepridipravi maznili sešen token kar bi jim dalo dostop do tvoje banke, potem pa spet ne bi bilo prav.

feryz ::

Še zmeraj isto meljete? Zaščita je popolnoma ok.
Če najdete telefon na tleh in z njim sunete denar z banke lastnika, si zaslužite medaljo in ves denar, ki je na računu.
V realnosti boste z njim lahko samo mizo podložili da se ne guga.

Isto, kot bi trdili, da je bančni sef za en k..., ker ga je neki amaterski lopovček izpraznil.
To, da ga je sef pričakal odklenjen in odprt, pa prikladno pozabili omeniti.

BlaY0 ::

c3p0 je izjavil:


Špila za silo, dokler bančnega appa nimaš na telefonu. Tako kot je, je pa katastrofa. Banke niti ne pisnejo na to temo. Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem. Jaka varnost.

Saj o tem govorim... vse imaš na istem telefonu... bankapp, email, sms, 2faapp. Isto kot dve ključavnici na vratih in za obe ključ pod predpražnikom ter post-it na vratih "Dragi vlomilec, ne razbijaj vrat, ključi so pod predpražnikom."...

feryz je izjavil:


Isto, kot bi trdili, da je bančni sef za en k..., ker ga je neki amaterski lopovček izpraznil.
To, da ga je sef pričakal odklenjen in odprt, pa prikladno pozabili omeniti.

To pa drži. Ampak fora 2FA je ravno v tem, da če se en faktor "zlomi", da obstaja še drugi nekje drugje, kjer nepridiprav ne more do njega.

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

feryz ::

Saj če jo ne uporabljaš na telefonu, drži.
Kdo pa pravi, da jo moraš?
Jej, ampak ni 2FA, zgolj 1FA.

Btw, za eno banko imam jaz še vedno otp kalkulator.
Lahko pa tudi telefonski otp. Kar je pri roki.

BlaY0 ::

feryz je izjavil:


Btw, za eno banko imam jaz še vedno otp kalkulator.
Lahko pa tudi telefonski otp. Kar je pri roki.

OTP generator je edino OK, ker je čisto neodvisen. Telefonska je že bad, ker je isti telefon ki je shekan in na katerem imaš app. Nepridiprav ki ima dostop do tvojega tlefona ti namesti aplikacijo, ki prestreza telefonske klice.

delavec44 ::

feryz je izjavil:

Še zmeraj isto meljete? Zaščita je popolnoma ok.
Če najdete telefon na tleh in z njim sunete denar z banke lastnika, si zaslužite medaljo in ves denar, ki je na računu.
V realnosti boste z njim lahko samo mizo podložili da se ne guga.

Isto, kot bi trdili, da je bančni sef za en k..., ker ga je neki amaterski lopovček izpraznil.
To, da ga je sef pričakal odklenjen in odprt, pa prikladno pozabili omeniti.


A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

c3p0 ::

OutOfTheBox je izjavil:

Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem.


In v čem je problem? Če bi te pustil prijavljenega in bi ti nepridipravi maznili sešen token kar bi jim dalo dostop do tvoje banke, potem pa spet ne bi bilo prav.


In kaj bo z njim, gledal moje stanje? Kako bo si pa prenakazal brez novega 2FA?

Reči mi kolikokrat večja varnost je, če te odjavijo po 2 min vs. 20 min? 10x?

feryz ::

delavec44 je izjavil:

A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.
Tudi shekan ni problem. Do sedaj so, baje, shekali enega ali dva na celem planetu. Pa še o tem se je ogromno razpravljalo, ali so ga res, ali so imeli backdoor pomoč.

Verjetno misliš, da je problem telefon v rokah idiota. Ki bodisi zaupa svojcem ali tujcem in jim da proste roke.

BlaY0 je izjavil:

OTP generator je edino OK, ker je čisto neodvisen. Telefonska je že bad, ker je isti telefon ki je shekan in na katerem imaš app. Nepridiprav ki ima dostop do tvojega tlefona ti namesti aplikacijo, ki prestreza telefonske klice.
Kaj je ok, človek nikoli ne ve.
Sem pa probal, otp in telefon ponudita vsak svojo vstopno kodo za vstop na banko in obe primeta. In verjetno še kakšna, četrta, peta, šesta in še in še.
V bistvu je edina zaščita elektronske banke blokada števila napačnih vnosov. In upanje, da ti na slepo ne uspe uganiti cifre. Pardon, ene izmed cifer.

Zgodovina sprememb…

  • spremenil: feryz ()

BlaY0 ::

Ne rabiš bit idiot, lahko si le povprečen zemljan, ki rad gleda videe z mucki.

Invictus ::

delavec44 je izjavil:


A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

Seveda je problem.

Meni sta 2 službi odvisni od telefona. Če ga izgubim, se ne morem več prijaviti in cel setup za nov telefon traja 1 meswec...

Preveč sanjate o tem kako se da telefon shekat... Ja, v filmih...

Ob normalni uporabi nemogoče...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

MojsterX ::

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.

WizzardOfOZ ::

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.

Če danes da banka ključek ali generator kod poleg aplikacije, bo 90% ljudi skočilo v zrak in se pritoževalo nad tem.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

feryz ::

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.
Kako pa izgleda 2FA?
Ker jaz ga nimam. Imam en prstni odtis ali eno pin kodo.
Razen če je prvi FA uporabniško ime.

MojsterX ::

napiši v google: 2 - factor authenticator generator key in boš mel izgled fizičnih generatorjev kode.

feryz ::

Ja, ampak gugl pravi da rabiš najprej uporabniško ime in geslo, potem pa še generator.
Večina bank ima uporabniško ime in generator cifro. En korak fali.

eEdbM ::

Da se veljavna otp šifro izračuna, rabiš geslo/biometrijo, če drugače ne, za dostop do Authenticator app.

MojsterX ::

ja včasih je bilo bolj varno, ker fizični ni noben mogel dostopat do ključka, ko sem plačeval, sem moral preko dodatnega koraka pri vsakem plačilu vnesti kodo iz generatorja kode. Zdaj pa sam potrdiš in vpišeš isto kodo kot za vstop v banko. torej kdor se dokoplje do gesla za vstop v mobilno banke, ma tud 2fA dostop.

Legon ::

feryz je izjavil:

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.
Kako pa izgleda 2FA?
Ker jaz ga nimam. Imam en prstni odtis ali eno pin kodo.
Razen če je prvi FA uporabniško ime.

Seveda ga imas, rece se mu telefon. Torej prvi element je sam aparat (nekaj kar imas) in drugi je geslo (nekaj kar ves) ali pa biometrija (nekaj kar si).

Tukaj pac manjka osnovno razumevanje kaj 2fa sploh je.

MojsterX je izjavil:

ja včasih je bilo bolj varno, ker fizični ni noben mogel dostopat do ključka, ko sem plačeval, sem moral preko dodatnega koraka pri vsakem plačilu vnesti kodo iz generatorja kode. Zdaj pa sam potrdiš in vpišeš isto kodo kot za vstop v banko. torej kdor se dokoplje do gesla za vstop v mobilno banke, ma tud 2fA dostop.

Kar seveda ni res. Vcasih je bilo povsem enako. Za vdor je bilo potrebno poznat geslo in imet fizicen dostop do generators kod. Vcasih je to pomenilo kljucek/kalkulatorcek, danes pa to pomeni mobitel.

Kjer je danes varnost slabsa je v dejstvi da ljudje na telefone namescamo boga in dva, jih tovorimo s sabo vsepovsod in so posledicni bolj ranljivi. Kalkulatorcek je ponavadi lezal nekje doma v predalu.

Ampak tukaj pridemo do naslednje razlike. Banke so vcasih laufale na stacionarnih masinah in si pac enkrat na 14 dni se povezal, vzel kalkulator iz predala in to je to. Zdaj pa hocemo imet dostop do banke 24/7 kjerkoli na planetu. In to dela zadevo ranljivo, ne pa spremenjen nacin 2fa.

Zgodovina sprememb…

  • spremenilo: Legon ()

eEdbM ::

Če obstaja v samem android os nastavitev, da imaš zaporedno avtentikacijo, kje preverjeno se nahaja?
Pač eno ali več zaporedoma, obraz, vzorec, pin, odtis?
Kaj pa kakšen priporočen app vsaj približnega zaupanja vredne firme?

kulSMS ::

Včeraj se žena ni mogla prijaviti v klik po sporočilu o napaki in po klicu na support - moraš odstraniti vse aplikacije za oddaljeni dostop. Ji je rekla: poglejte, če imate teamviewer, anydesk,... to imajo ponavadi stranke nameščeno in odstranite. Upam, da ne bo še kaj takšnega DH banki prišlo na misel.

c3p0 ::

In če je vse skupaj združeno v eni napravi, 2FA zgubi svoj pomen. Na bankanetu sicer imaš opcijo biometrične prijave, lahko pa enostavno daš prekliči in vpišeš geslo, potrdiš pa s SMS, ki ga dobiš na isti napravi. Varnost na nivoju, res.

Dodaš še kak exploit (večina ljudi ima cenene naprave, in/ali zastarele) in je tudi biometrija samo še ena lažna zaščita.

Zgodovina sprememb…

  • spremenil: c3p0 ()

delavec44 ::

Invictus je izjavil:

delavec44 je izjavil:


A je kdo pisal, da je izgubljen telefon problem? Shekan je problem.

Seveda je problem.

Meni sta 2 službi odvisni od telefona. Če ga izgubim, se ne morem več prijaviti in cel setup za nov telefon traja 1 meswec...

Preveč sanjate o tem kako se da telefon shekat... Ja, v filmih...

Ob normalni uporabi nemogoče...


Shekan v smislu da uporabnik nevede namesti zlonamerno aplikacijo.

Nov telefon pa za bančništvo ni problem, urediš takoj. Služba pa ni tema.

Zgodovina sprememb…

Legon ::

c3p0 je izjavil:

In če je vse skupaj združeno v eni napravi, 2FA zgubi svoj pomen. Na bankanetu sicer imaš opcijo biometrične prijave, lahko pa enostavno daš prekliči in vpišeš geslo, potrdiš pa s SMS, ki ga dobiš na isti napravi. Varnost na nivoju, res.

Dodaš še kak exploit (večina ljudi ima cenene naprave, in/ali zastarele) in je tudi biometrija samo še ena lažna zaščita.


To ne pije vode, ker se preprosto spregleda eno zelo enostavno dejstvo. Aparat sam po sebi je en del 2fa. Tako kot je bil svoj čas generator kod na obesku za ključe. Tako, da priamrni del problema izhaja iz tega, da ljudje delajo z telefonom slabše kot svinja z mehom.

Zgodovina sprememb…

  • spremenilo: Legon ()

apcm ::

OutOfTheBox je izjavil:

Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem.


In v čem je problem? Če bi te pustil prijavljenega in bi ti nepridipravi maznili sešen token kar bi jim dalo dostop do tvoje banke, potem pa spet ne bi bilo prav.

Če maš nepridiprave za hrbtom in tega ne veš, imaš večje težave.

energetik ::

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.
Če je to standardni TOTP, kot ga npr. uporablja Google, Paypal, Binance itd, ga komot še vedno generiraš v npr. Keepass, na kateri koli napravi si izmisliš. Magari na namenskem starem telefonu, ki ga imaš 24/7 v letalskem načinu. Ali pa na Raspberryju samo za ta namen.

Problem je zgolj, ker banke še naprej vztrajajo na SMS 2FA ali 2FA preko njihove aplikacije. Npr. vse kriptoborze, Trading212, Paypal - to vse uporablja standardni TOTP.

Sicer pa - na banki imam zgolj za sproti in nekaj malega železne rezerve. Vse ostalo je drugje.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

OutOfTheBox ::

apcm je izjavil:

OutOfTheBox je izjavil:

Glavno, da me bankanet logouta, če 2 minuti nič ne kliknem.


In v čem je problem? Če bi te pustil prijavljenega in bi ti nepridipravi maznili sešen token kar bi jim dalo dostop do tvoje banke, potem pa spet ne bi bilo prav.

Če maš nepridiprave za hrbtom in tega ne veš, imaš večje težave.


Ali pa trojanca na računalniku ki se je ravno prej izdajal za PDF datoteko.

Legon ::

energetik je izjavil:

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.
Če je to standardni TOTP, kot ga npr. uporablja Google, Paypal, Binance itd, ga komot še vedno generiraš v npr. Keepass, na kateri koli napravi si izmisliš. Magari na namenskem starem telefonu, ki ga imaš 24/7 v letalskem načinu. Ali pa na Raspberryju samo za ta namen.

Problem je zgolj, ker banke še naprej vztrajajo na SMS 2FA ali 2FA preko njihove aplikacije. Npr. vse kriptoborze, Trading212, Paypal - to vse uporablja standardni TOTP.

Sicer pa - na banki imam zgolj za sproti in nekaj malega železne rezerve. Vse ostalo je drugje.


Pa kje imamo ta famozni 2fa s SMS? Za vstop v katero bančno aplikacijo?

energetik ::

Poguglaj, če se ne motim je imela nazadnje vsaj NKBM pa še kakšna.

Moja hranilnica ima preko Rekono, ki ima potem naprej 2FA preko ali osebne ali SIGENce.
vires in numeris

c3p0 ::

NKBM, DH...

Legon je izjavil:


To ne pije vode, ker se preprosto spregleda eno zelo enostavno dejstvo. Aparat sam po sebi je en del 2fa. Tako kot je bil svoj čas generator kod na obesku za ključe. Tako, da priamrni del problema izhaja iz tega, da ljudje delajo z telefonom slabše kot svinja z mehom.


Varnost je definitivno zmanjšana, ker če ima nepridiprav nadzor nad telefonom, fizični ali remote, je to vse kar potrebuje.

Zgodovina sprememb…

  • spremenil: c3p0 ()

apcm ::

Legon je izjavil:

energetik je izjavil:

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.
Če je to standardni TOTP, kot ga npr. uporablja Google, Paypal, Binance itd, ga komot še vedno generiraš v npr. Keepass, na kateri koli napravi si izmisliš. Magari na namenskem starem telefonu, ki ga imaš 24/7 v letalskem načinu. Ali pa na Raspberryju samo za ta namen.

Problem je zgolj, ker banke še naprej vztrajajo na SMS 2FA ali 2FA preko njihove aplikacije. Npr. vse kriptoborze, Trading212, Paypal - to vse uporablja standardni TOTP.

Sicer pa - na banki imam zgolj za sproti in nekaj malega železne rezerve. Vse ostalo je drugje.


Pa kje imamo ta famozni 2fa s SMS? Za vstop v katero bančno aplikacijo?

NKBM ima to trenutno. Geslo je omejeno na 6 številk, poleg gesla je še 6-številčni SMS OTP za prijavo v banko.

energetik je izjavil:

MojsterX je izjavil:

2FA je bil včasih možen na posebnem ključku ali generatorju kod, ki si ga imel v lasti fizično . Da se je to vse preselilo v isto napravo je neumnost, saj s tem ni več 2FA ampak samo dodatna nevšečnost.
Če je to standardni TOTP, kot ga npr. uporablja Google, Paypal, Binance itd, ga komot še vedno generiraš v npr. Keepass, na kateri koli napravi si izmisliš. Magari na namenskem starem telefonu, ki ga imaš 24/7 v letalskem načinu. Ali pa na Raspberryju samo za ta namen.

Problem je zgolj, ker banke še naprej vztrajajo na SMS 2FA ali 2FA preko njihove aplikacije. Npr. vse kriptoborze, Trading212, Paypal - to vse uporablja standardni TOTP.

Sicer pa - na banki imam zgolj za sproti in nekaj malega železne rezerve. Vse ostalo je drugje.


Problem je ravno v tem, da to ponavadi NI standarden TOTP, kot ga omenjaš, temveč neka čudna implementacija, ki je uradno dostopna le preko uradne bančne aplikacije. Toda obstajajo neuradne alternative, gugle za poizvedbo "odprtokodni nlb avtentikator" najde eno neuradno alternativo.

Zgodovina sprememb…

  • spremenilo: apcm ()

OutOfTheBox ::

Another one bites the dust.

Pa smo jih mel na idrijskem letos že en par primerov če me spomin ne vara. Kaj tam se nič ne pogovarjajo med sabo?

Zgodovina sprememb…

««
9 / 9
»
»»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nova KBM in Abanka težave pri novi kartici (strani: 1 2 3 417 18 19 20 )

Oddelek: Loža
996155901 (45167) V-i-p
»

Predplačniška visa (strani: 1 2 3 4 )

Oddelek: Loža
15041381 (19537) sbawe64
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23298862 (92073) sisemen 

Več podobnih tem