Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.
Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).
Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko obskurno spletno stran, kamor se bomo prijavili zgolj enkrat (npr. zato, da dobimo dostop do neke datoteke), je seveda precej vseeno kako varno je. Pri geslu za e-pošto ali dostop do spletne trgovine, kamor smo vpisali številko svoje kreditne kartice, je varnost seveda precej bolj pomembna. A kot kaže to ne velja za gesla za dostop do spletne banke.
Pri Abanki (ki se je pred kratkim združila z NKBM), so svojim komitentom poslali zahteve po spremembi gesla za dostop do spletne banke.
Pri tem navajajo, da morajo biti nova osebna gesla dolga točno 6 znakov in naj vsebujejo le številke od 0 do 9.
Res pa je, da niso pozabili na varnost, saj v svojem sporočilu navajajo, da "zaradi varnosti ne morete uporabiti določenih kombinacij, kot so na primer štetje naprej ali nazaj, vseh enakih številk ali izmenično dveh številk". Zvito.
Abanka je imela v preteklosti omogočeno prijavo z digitalnim potrdilom in "normalnim" geslom (zahtevali so vsaj en poseben znak ter kombinacijo velikih in malih črk), po združitvi z NKBM v začetku letošnjega leta pa so uvedli prijavo z e-naslovom in statičnim šestmestnim številčnim geslom ter enkratnim geslom, ki ga uporabnik dobi preko SMS sporočila na telefon.
Pohvalno je sicer, da pri Abanki uporabljajo dvofaktorsko avtentikacijo oz. so uvedli dodatni varnostni element v obliki enkratnega SMS-gesla. Pa vendar se je marsikdo vprašal, čemu je potrebno vsiliti 6-mestno statično geslo. Razen, če pri Abanki morda ne varčujejo s prostorom (dolga gesla zavzamejo več prostora v pomnilniku)...
Poteza Abanke je prožila tudi kar nekaj nejevoljnih odzivov komitentov, kar dokazujejo tudi komentarji pod video navodili na Youtubu.
Ob tem ni odveč opozoriti tudi na dejstvo, da je z napadi na mobilna omrežja (oz. z napadi na SS7 protokol mogoče prestrezati SMS sporočila. Napadi na SS7 vsekakor niso samo teoretični, pač pa so znani že nekaj let.
Mimogrede, povezava v obvestilu, ki so ga uporabnike Abanke prejeli v mobilni aplikaciji, kaže na spletišče https://app.site.abanka.si. Digitalno potrdilo za to spletišče je izdano za domeno "*.t.en25.com" za organizacijo Oracle Corporation. Je res tako težko registrirati digitalno potrdilo, ki bi bilo v skladu z varnostnimi standardi 21. stoletja?
Spremembe politike glede gesel so morda povezane prav z omenjeno združitvijo Abanke z NKBM. Tudi ta v svoji spletni banki namreč geslo omejuje na 6 številk, kot je razvidno s posnetka zaslona.
Ob vsem skupaj se lahko resno vprašamo, kaj so razmišljali vodilni v Abanki, ko so načrtovali in uvajali navedene spremembe?
No, morda pa je odgovor jasen...
Novice » Varnost » Novi standardi informacijske varnosti v bančništvu
vostok_1 ::
Počakajte, da preklopijo svet na cashless.
Takrat bo šele zabavno.
Takrat bo šele zabavno.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21
Mr.B ::
Jaz pri Sparkasse ze kako leto sploh nimam opcije prijave z geslom.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
MrStein ::
NLB ima še vedno omejitev, da v geslu ne sme biti "posebnih" znakov?
Hja, varnost "po naše".
Hja, varnost "po naše".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Nekdo si je dejansko zamislil to zadevo, drugi jo je moral potrditi, tretji pa sprogramirati. Tole je precej velik fail, ker prakticno nobeden izmed vpletenih ne bi smel pomisliti na to, kaj sele da bi se s tem strinjal.
secops ::
jernejl ::
Dejstvo je, da 6 mestnih numeričnih zaporedij pač ne uporabljamo praktično nikjer drugje in ne vem, kako bi si ga naj ljudje izmislili, da si ga bodo zapomnili.
Aja saj res, GSM številka se ponuja kar sama od sebe :) Pa morda še rojstni datum (ddmmyy).
Me prav zanima, kolikšen delež uporabnikov ima izbrana taka gesla, ki jih je precej enostavno ugotoviti.
Še bolj hecno je, da spodaj grafično prikazujejo moč gesla
Aja saj res, GSM številka se ponuja kar sama od sebe :) Pa morda še rojstni datum (ddmmyy).
Me prav zanima, kolikšen delež uporabnikov ima izbrana taka gesla, ki jih je precej enostavno ugotoviti.
Še bolj hecno je, da spodaj grafično prikazujejo moč gesla
Tody ::
Techfrik v banki kot je NKBM vrjetno ne dela top kader, zato ker ga ne placujejo in vjretno zaradi same kulture. Tako vrhovni nekaj reče, nekdo pred penzijo reče da se tega ne da in juniorji potem to sprovedejo. Jaz sem enkrat v eni firmi k je mela kobol zadaj rekel da naj spremenijo eno polje iz 70 na 140 znakov, pa je bil tak predračun da je glava pekla. Zato mislim da so oni na defoult presaltal. Itak se bo pa zadeva prodala v roku dveh let in se jim jebe.
MrStein ::
techfreak :) je izjavil:
Nekdo si je dejansko zamislil to zadevo, drugi jo je moral potrditi, tretji pa sprogramirati. Tole je precej velik fail, ker prakticno nobeden izmed vpletenih ne bi smel pomisliti na to, kaj sele da bi se s tem strinjal.
Gre se za uskladitev dveh sistemov, torej te odločitve so bile narejene nekje v preteklosti. Sicer še vedno slabe...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Pri Sparkasse se v aplikacijo na telefonu logiraš s 4-mestnim pinom. To je šele varno ...
OK, vdri v mojo.
Aja ne moreš. Ker nimaš mojega telefona. Pa tudi, če bi ga imel, ne bi mogel.
Na www.spletna-banka.si pa lahko greš kadarkoli.
To je razlika.
(in ja, tisti PIN je tudi bedarija, ampak daleč od tega kar očitaš)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
andmer99 ::
To odločitev so sprejeli mojstri na NKBM, ko so uvajali novi IT sistem, v prakso je bilo pripeljano nekje sredi leta 2018. Pred tem je NKBM spletna banka imela prijavo z uporabniškim imenom in normalnim geslom. Potem pa so šli na to super-duper varno verzijo 2FA s 6 mestnim pinom in SMS.
Da bo ironija še večja, so to novost vpeljali ravno v času, ko je prišlo do vdora v reddit, kjer je bila ranljivost ravno v SMS delu 2FA in so vsi resni viri opozarjali, da SMS nima kaj iskati v 2FA. NKBM pa ravno takrat pride ven s to "novostjo" in jo kombinira s 6-mestnim pinom. Čisti Monty Python.
Sam sem ostal na starem sistemu, dokler je bilo možno, na koncu so nas prisilno preselili na novega. Posledično imam od takrat naprej najmanj varno geslo kjer koli, prav na spletni banki...
PS: po drugi strani pa te bedasti easistent ne spusti naprej, če nimaš najmanj 8 znakov dolgega gesla iz treh kategorij - narobe svet....
Da bo ironija še večja, so to novost vpeljali ravno v času, ko je prišlo do vdora v reddit, kjer je bila ranljivost ravno v SMS delu 2FA in so vsi resni viri opozarjali, da SMS nima kaj iskati v 2FA. NKBM pa ravno takrat pride ven s to "novostjo" in jo kombinira s 6-mestnim pinom. Čisti Monty Python.
Sam sem ostal na starem sistemu, dokler je bilo možno, na koncu so nas prisilno preselili na novega. Posledično imam od takrat naprej najmanj varno geslo kjer koli, prav na spletni banki...
PS: po drugi strani pa te bedasti easistent ne spusti naprej, če nimaš najmanj 8 znakov dolgega gesla iz treh kategorij - narobe svet....
techfreak :) ::
Techfrik v banki kot je NKBM vrjetno ne dela top kaderKaksen top kader nekaj, v praksi ne vidis taksnih katastrofalnih omejitev za geslo na nobenem forumu ali blogu.
Glede na to novico me zanima kako so narejene ostale zadeve pri njihovem ITju, ter kako jim sploh lahko zaupas da pravilno racunajo zneske, ker to je precej zahtevnejsi problem kot pa vpeljava novih pravil za osebna gesla.
Rias Gremory ::
Hvala bogu za novico. Tole je tak smrdljiv "fail", da glava peče.
Menjam banko ko bom imel čas. Predlogi?
Menjam banko ko bom imel čas. Predlogi?
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.
saj za časa našega življenja ne bo popolnoma propadel.
prozac ::
Techfreak - pac nov lastnik je rezal stroške. Posledicno je vse v IT outsorsal in nic ne dela. Poslji reklamacijo mesecnega obracuna, da so se pri obrestih zmotl za 1,23 eur. Pomoje 2 mesca ne dobis odgovora. Abanka je neoptimalne resitve "prilagodila", da bodo ob operativni združitvi kompatibilni.
FastWIND ::
Techfrik v banki kot je NKBM vrjetno ne dela top kader, zato ker ga ne placujejo in vjretno zaradi same kulture. Tako vrhovni nekaj reče, nekdo pred penzijo reče da se tega ne da in juniorji potem to sprovedejo. Jaz sem enkrat v eni firmi k je mela kobol zadaj rekel da naj spremenijo eno polje iz 70 na 140 znakov, pa je bil tak predračun da je glava pekla. Zato mislim da so oni na defoult presaltal. Itak se bo pa zadeva prodala v roku dveh let in se jim jebe.
Pri SKB pa s 6
WhiteAngel ::
Meni je vse dol padlo, ko sem prek telstika (Sparkasse) hotel nekaj spremeniti in je bila avtentikacija "povejte mi 3. in 4. črko vašega gesla za vstop v netstik". Moja reakcija je bila WTF, a gesla imate v plain textu shranjena jao?!
Mislim, da banke boli k*rac, ker imajo itak vse zavarovano proti vdorom. Poleg tega pa - kam bodo pa zlikovci stankali denar, če imamo SEPA, ki traja nekaj ur ali dni, da se sprovede transakcija. Itak jo pa lahko kadarkoli revertajo banke.
Mislim, da banke boli k*rac, ker imajo itak vse zavarovano proti vdorom. Poleg tega pa - kam bodo pa zlikovci stankali denar, če imamo SEPA, ki traja nekaj ur ali dni, da se sprovede transakcija. Itak jo pa lahko kadarkoli revertajo banke.
FastWIND ::
WhiteAngel je izjavil:
Meni je vse dol padlo, ko sem prek telstika (Sparkasse) hotel nekaj spremeniti in je bila avtentikacija "povejte mi 3. in 4. črko vašega gesla za vstop v netstik". Moja reakcija je bila WTF, a gesla imate v plain textu shranjena jao?!
Mislim, da banke boli k*rac, ker imajo itak vse zavarovano proti vdorom. Poleg tega pa - kam bodo pa zlikovci stankali denar, če imamo SEPA, ki traja nekaj ur ali dni, da se sprovede transakcija. Itak jo pa lahko kadarkoli revertajo banke.
Očitno jih manj stane povrnitev ukradenega denarja kot konkretna varnost.
Cowboy6 ::
WhiteAngel je izjavil:
Meni je vse dol padlo, ko sem prek telstika (Sparkasse) hotel nekaj spremeniti in je bila avtentikacija "povejte mi 3. in 4. črko vašega gesla za vstop v netstik". Moja reakcija je bila WTF, a gesla imate v plain textu shranjena jao?!
Tudi jaz sem bil šokiran, ko sem prvič klical na telstik od Sparkasse in mi reče povejte dve črki iz vašega gesla, da vidimo če ste prava oseba. Nisem več pri tej banki, me pa zanima ali imajo še vedno tako politiko :)
Tukaj naj bi bil moj podpis.
SeMiNeSanja ::
WhiteAngel je izjavil:
Meni je vse dol padlo, ko sem prek telstika (Sparkasse) hotel nekaj spremeniti in je bila avtentikacija "povejte mi 3. in 4. črko vašega gesla za vstop v netstik". Moja reakcija je bila WTF, a gesla imate v plain textu shranjena jao?!
Tudi jaz sem bil šokiran, ko sem prvič klical na telstik od Sparkasse in mi reče povejte dve črki iz vašega gesla, da vidimo če ste prava oseba. Nisem več pri tej banki, me pa zanima ali imajo še vedno tako politiko :)
Kaj pa veš.... mogoče pa samo blefirajo, da vedo tisti dve črki, ta čas pa uporabljajo najbolj sodobne metode biometričnega 'fingerprintinga', ki delujejo kot nekakšen detektor laži?
(Sanja svinja kukuruz? / Pričaj mi priču? / 2 gud 2 bi tru?)
Jah... realno gledano bo prej držala tista "če izgleda kot raca in hodi kot raca.... potem po vsej verjetnosti to ni papagaj"
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
G-man ::
Men se zdi, da bomo videli vedno več takih scenarijev:
- združitev dveh podjetij, ki imata neke antične mainframe
- antični mainframi imajo nikakav password policy
- ker je treba mergat dva informacijska sistema (14 dni nazaj!) se neki na hitro naheka (ker spreminjat mainframe sisteme dandanes je črna magija in plačaš v zlatu)
- najdeš neko rešitev po najnižjem skupnem imenovalcu, ki se še komaj drži nad vodo s pomočjo selotejpa in paličic za ražnjiče
In ne pozabit, pri takih zadevah je to v prvi vrsti poslovna odločitev, ne varnostna.
https://www.itproportal.com/features/wh...
- združitev dveh podjetij, ki imata neke antične mainframe
- antični mainframi imajo nikakav password policy
- ker je treba mergat dva informacijska sistema (14 dni nazaj!) se neki na hitro naheka (ker spreminjat mainframe sisteme dandanes je črna magija in plačaš v zlatu)
- najdeš neko rešitev po najnižjem skupnem imenovalcu, ki se še komaj drži nad vodo s pomočjo selotejpa in paličic za ražnjiče
In ne pozabit, pri takih zadevah je to v prvi vrsti poslovna odločitev, ne varnostna.
https://www.itproportal.com/features/wh...
Zgodovina sprememb…
- spremenil: G-man ()
c3p0 ::
Po drugi strani pa so na NKBM odjavo dali na 5 minut neaktivnosti, kot da to kaj poviša varnost.
S tem da ti zadnje pol minute spodaj odšteva in lahko klikneš za podaljšanje seje. Včasih klikneš pri 20s+ in te takoj vrže na login form. Mojstri.
App za 2FA je tudi hudo okoren (poslovni bankanet).
S tem da ti zadnje pol minute spodaj odšteva in lahko klikneš za podaljšanje seje. Včasih klikneš pri 20s+ in te takoj vrže na login form. Mojstri.
App za 2FA je tudi hudo okoren (poslovni bankanet).
_Sajmon_ ::
Vsi, ki pljuvate po tej kao varnostni luknji: kaj pa bi pa za vas bilj najbolj sprejemljiv način prijave v elektronsko banko? Ne nujno najbolj varen, ampak tak, ki bi bilj najboljši kompromis enostavnosti in varnosti?
one too many ::
Hm, v Franciji imam račun pri dveh bankah. Pri obeh je geslo šestmestna številka, ki ga vtipkaš z miško na naključno generirani tipkovnici. Sem bil kar šokiran. Številka računa je osemmestna številka
Za plačila novim prejemnikom potrebuješ še potrditev preko telefona. Samo, jasno, banko lahko uporabljaš na telefonu in imaš samo še enostopenjsko identifikacijo. Sedaj mi težijo, da bi na telefonu imel drugo stopnjo preko emaila, ki je pa itak odklenjen na telefonu.
Še dobro, da je telefon zaklenjen s štirimestnno kodo...
Za plačila novim prejemnikom potrebuješ še potrditev preko telefona. Samo, jasno, banko lahko uporabljaš na telefonu in imaš samo še enostopenjsko identifikacijo. Sedaj mi težijo, da bi na telefonu imel drugo stopnjo preko emaila, ki je pa itak odklenjen na telefonu.
Še dobro, da je telefon zaklenjen s štirimestnno kodo...
Barbarpapa2 ::
Pozdrav
Mogoče je v članku napačno privzeto mnenje (assumption is mother of all fuck-ups), da je za to odgovorna Abanka. Bom še jaz nekaj privzel (another possible fuck-up) in sicer da je to posledica združitve z NKBM, ki že nekaj časa uporablja popolnoma enak način avtentikacije (uporabniško ime, šestmestna šifra iz številk, SMS ključ). Ta stvar ima pri NKBM še drugo neprijetno lastnost, da ne deluje vedno. Občasno se zgodi, da pride do zakasnitve pri pošiljanju SMS ključa tudi do pol ure (v cca 5 - 10% primerov uporabe)!
Način avtentikacije imho ni vezan na to, kakšno strojno opremo ima banka (stari mainframe ali kaj drugega...). Kajti prej ni bilo tako. Vsak uporabnik Bank@net-a je imel generator šestmestnih ključev, geslo pa je bilo lahko precej daljše, sestavljeno iz alfanumeričnih znakov. Ta "stari" sistem se mi je zdel boljši, vsaj občutek sem imel, da je bil bolj varen...
Lp
Jože
Mogoče je v članku napačno privzeto mnenje (assumption is mother of all fuck-ups), da je za to odgovorna Abanka. Bom še jaz nekaj privzel (another possible fuck-up) in sicer da je to posledica združitve z NKBM, ki že nekaj časa uporablja popolnoma enak način avtentikacije (uporabniško ime, šestmestna šifra iz številk, SMS ključ). Ta stvar ima pri NKBM še drugo neprijetno lastnost, da ne deluje vedno. Občasno se zgodi, da pride do zakasnitve pri pošiljanju SMS ključa tudi do pol ure (v cca 5 - 10% primerov uporabe)!
Način avtentikacije imho ni vezan na to, kakšno strojno opremo ima banka (stari mainframe ali kaj drugega...). Kajti prej ni bilo tako. Vsak uporabnik Bank@net-a je imel generator šestmestnih ključev, geslo pa je bilo lahko precej daljše, sestavljeno iz alfanumeričnih znakov. Ta "stari" sistem se mi je zdel boljši, vsaj občutek sem imel, da je bil bolj varen...
Lp
Jože
Cowboy6 ::
Vsi, ki pljuvate po tej kao varnostni luknji: kaj pa bi pa za vas bilj najbolj sprejemljiv način prijave v elektronsko banko? Ne nujno najbolj varen, ampak tak, ki bi bilj najboljši kompromis enostavnosti in varnosti?
IMHO, uporaba certifikata in kompleksnega gesla je sprejemljiv način. Da se temu doda še 2FA je dovolj varen način.
Tukaj naj bi bil moj podpis.
WhiteAngel ::
Vsi, ki pljuvate po tej kao varnostni luknji: kaj pa bi pa za vas bilj najbolj sprejemljiv način prijave v elektronsko banko? Ne nujno najbolj varen, ampak tak, ki bi bilj najboljši kompromis enostavnosti in varnosti?
OTP
V bistvu se banke lahko zgledujejo po kriptoborzah. Te so ves čas tarče napada in zavarovat jih nihče noče, ker je kriptp bad.
Zgodovina sprememb…
- spremenil: WhiteAngel ()
Cowboy6 ::
Barbarpapa2 je izjavil:
Mogoče je v članku napačno privzeto mnenje (assumption is mother of all fuck-ups), da je za to odgovorna Abanka. Bom še jaz nekaj privzel (another possible fuck-up) in sicer da je to posledica združitve z NKBM, ki že nekaj časa uporablja popolnoma enak način avtentikacije (uporabniško ime, šestmestna šifra iz številk, SMS ključ). Ta stvar ima pri NKBM še drugo neprijetno lastnost, da ne deluje vedno. Občasno se zgodi, da pride do zakasnitve pri pošiljanju SMS ključa tudi do pol ure (v cca 5 - 10% primerov uporabe)!
Verjetno je bila ta odločitev res posledica združitve.
Tukaj naj bi bil moj podpis.
poweroff ::
A je res tako težko komitentom dati Yubikey in se s tem reši večina teh problemov?
sudo poweroff
predi ::
Vsi, ki pljuvate po tej kao varnostni luknji: kaj pa bi pa za vas bilj najbolj sprejemljiv način prijave v elektronsko banko? Ne nujno najbolj varen, ampak tak, ki bi bilj najboljši kompromis enostavnosti in varnosti?Tak, ki omogoča uporabo password managerja za poljuben random password brez kakšnih koli omejitev, razen dolžine, ki se konča nekje pri 40+ znakov. Hkrati pa še vsaj en dodaten security token v stilu TOTP generatorja ali česa podobnega.
Članke o neprimernosti rešitev, ki uporabljajo PIN + SMS OTP najdeš že iz leta 2016.
Spura ::
NLB ima še vedno omejitev, da v geslu ne sme biti "posebnih" znakov?
Hja, varnost "po naše".
Ali website uporablja CP-1250 namesto unicode (to je pri nasih mojstrih kar pogosto, sploh uni ki delajo v .NETu) ali pa v bazi shranjujejo clear-text gesla in nimajo baze na unicode nastavljene. To da imajo bazo na CP-1250 nastavljeno je pa kar 100% verjetnost.
poweroff ::
Poanta je v tem, da ne govorimo o nekem forumu tipa med.over.net ali Nova24TV.si. Govorimo o banki.
Banke se morajo držati tudi nekih standardov, PCI-DSS, ISO 17799, ISO 27001, PSD2,... Ni to nek hec. Res je, če uporabljaš 2FA je lahko PIN manj varen, krajši... ampak daj ljudem vsaj možnost, da si nastavijo močnejšo varnost, če želijo. Še bolje pa je, da se ljudi aktivno spodbuja k temu, da razvijajo boljšo varnostno kulturo.
Banke se morajo držati tudi nekih standardov, PCI-DSS, ISO 17799, ISO 27001, PSD2,... Ni to nek hec. Res je, če uporabljaš 2FA je lahko PIN manj varen, krajši... ampak daj ljudem vsaj možnost, da si nastavijo močnejšo varnost, če želijo. Še bolje pa je, da se ljudi aktivno spodbuja k temu, da razvijajo boljšo varnostno kulturo.
sudo poweroff
Boobiz ::
Varnost na NKBM je res joke. Ampak važno, da reklamirajo kako imajo najboljšo mobilno banko v Sloveniji.
Še najboljše pa je, če jim kakšno tako vprašanje postaviš oz. napišeš feedback te gredo izpodbijat, kako se motiš.
Še najboljše pa je, če jim kakšno tako vprašanje postaviš oz. napišeš feedback te gredo izpodbijat, kako se motiš.
I'm drunk, what's your excuse?
Zgodovina sprememb…
- spremenilo: Boobiz ()
joze67 ::
Abanka pač nadaljuje tradicijo. Njihova prva spletna banka je za vstop zahtevala TRR+PIN. Isti PIN, kot ga je imela BA kartica. Verjetno nisem bil edini, ki jih je opozoril, da je en problem ugibat PIN na kartici, ki jo moraš fizično odtujiti in omogoča le omejeno število poskusov v časovnem oknu, ali pa spletno banko, kjer lahko vsak poskuša kadarkoli.
Res, ampak se moraš še zanašati na operaterja, da ni preveč prijazen in ne izda novega SIM-a kar na osnovi telefonskega klica in kakega "osebnega" podatka.
OK, vdri v mojo.
Aja ne moreš. Ker nimaš mojega telefona. Pa tudi, če bi ga imel, ne bi mogel.
Na www.spletna-banka.si pa lahko greš kadarkoli.
To je razlika.
Res, ampak se moraš še zanašati na operaterja, da ni preveč prijazen in ne izda novega SIM-a kar na osnovi telefonskega klica in kakega "osebnega" podatka.
mahoni ::
Ne vem kaj se bunite. Dokler je potrebno za vsako transakcijo potrditi z uporabo TAN-a, je vse varno:
FastWIND ::
Varnost na NKBM je res joke. Ampak važno, da reklamirajo kako imajo najboljšo mobilno banko v Sloveniji.
Še najboljše pa je, če jim kakšno tako vprašanje postaviš oz. napišeš feedback te gredo izpodbijat, kako se motiš.
Sam vmesnik sploh ni toliko napačen, sploh če primerjam z ženinimi SKB ki je katastrofa.
Barbarpapa2 ::
Pozdrav
Še malo dopolnitve slike glede Bank@net-a. Avtentikacija je taka, kot je bilo napisano. S tem prideš v svoj račun na spletni strani, lahko gledaš vse mogoče zadeve in to je to na tem nivoju. Čim pa narediš kakšno transakcijo, pa jo moraš potrditi z novim sms šestmestnim ključem, ki ga dobiš pred med izvedbo transakcije. Če ga ne vneseš, se transakcija ne bo izvedla...
Lp
Jože
Še malo dopolnitve slike glede Bank@net-a. Avtentikacija je taka, kot je bilo napisano. S tem prideš v svoj račun na spletni strani, lahko gledaš vse mogoče zadeve in to je to na tem nivoju. Čim pa narediš kakšno transakcijo, pa jo moraš potrditi z novim sms šestmestnim ključem, ki ga dobiš pred med izvedbo transakcije. Če ga ne vneseš, se transakcija ne bo izvedla...
Lp
Jože
predi ::
Ne vem kaj se bunite. Dokler je potrebno za vsako transakcijo potrditi z uporabo TAN-a, je vse varno:Vse? Potem pa kar na dan s svojo zgodovino transakcij, da bomo vsi natančno vedeli, kakšne so tvoje nakupovalne navade, kje se pogosto zadržuješ, morda s kom, koliko imaš privarčevanega (koliko odkupnine si zmožen plačati), koliko imaš plače, kako finančno izobražen si, ipd.
Denar lahko dobiš nazaj. Velja to tudi za tvoje osebne podatke, ki se znajdejo na spletu?
krho ::
Barbarpapa2 je izjavil:
Pozdrav
Še malo dopolnitve slike glede Bank@net-a. Avtentikacija je taka, kot je bilo napisano. S tem prideš v svoj račun na spletni strani, lahko gledaš vse mogoče zadeve in to je to na tem nivoju. Čim pa narediš kakšno transakcijo, pa jo moraš potrditi z novim sms šestmestnim ključem, ki ga dobiš pred med izvedbo transakcije. Če ga ne vneseš, se transakcija ne bo izvedla...
Lp
Jože
V abanki ni tako. Potrdiš samo "neznane" in abanka se gre to bedarijo na račun združitve informacijskih sistemov.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Boobiz ::
Varnost na NKBM je res joke. Ampak važno, da reklamirajo kako imajo najboljšo mobilno banko v Sloveniji.
Še najboljše pa je, če jim kakšno tako vprašanje postaviš oz. napišeš feedback te gredo izpodbijat, kako se motiš.
Sam vmesnik sploh ni toliko napačen, sploh če primerjam z ženinimi SKB ki je katastrofa.
Se popolnoma strinjam, ni slabo. Sem komitent. App kot tak je smooth sailing, tudi spisan ni tako, da bi se obešal na Google Play Services (ki jih sam nimam).
Ampak varnost je pa res nekaj kar me vedno znova zmoti. Mogoče se kaj spremeni, če tale bad press malo zaokroži in vrže kontro njihovemu vztrajnemu marketingu kako majo najboljšo banko.
I'm drunk, what's your excuse?
Tody ::
Kar se mene tiče ima unicredit urejeno nekaj vmes. Na telefonu moreš imeti app (zdej se boste javili tisti, ki telefona nimate!) in ko se prijaviš na banko daš username in potem še token ki ti ga da mobitel. Za transakcije majo še malce bolj zakompliciran. Če hočeš narediti transakcijo moreš iz banke prepisat v mobitel token in znesek, telefon ti potem vrne drug sklop številk ki jih prepišeš v banko.
Na mobilni platformi je to sicer malce bolj poenostavljeno ampak...
Na mobilni platformi je to sicer malce bolj poenostavljeno ampak...
Kaboom ::
WhiteAngel je izjavil:
Meni je vse dol padlo, ko sem prek telstika (Sparkasse) hotel nekaj spremeniti in je bila avtentikacija "povejte mi 3. in 4. črko vašega gesla za vstop v netstik". Moja reakcija je bila WTF, a gesla imate v plain textu shranjena jao?!
Mislim, da banke boli k*rac, ker imajo itak vse zavarovano proti vdorom. Poleg tega pa - kam bodo pa zlikovci stankali denar, če imamo SEPA, ki traja nekaj ur ali dni, da se sprovede transakcija. Itak jo pa lahko kadarkoli revertajo banke.
Tudi jaz sem to doživel. Sprva bil šokiran ob vprašanju - ampak obstajajo varni načini kako lahko to shranijo in preverjajo.
Naprimer: ob vsaki spremembi gesla vzamejo 4 / 6 / 8 naključnih znakov iz gesla in njihov hash shranijo posebej. Ob avtentifikaciji preko telefona mora tehnična pomoč za nadaljevanje / potrditev vnest naključno (3. in 4.) znak gesla, ki je potem preverjen hash==hash ... pač tisti operater potem ve tvoj 3. in 4. znak gesla. Obstaja način preverjanja, da isti klicni center ne more slišat tvojega celega gesla po kosih ali pa te čez čas prisilijo, da si menjaš geslo, če si že ločeno povedal vse svoje znake tehnični podpori... Kako je v resnici implementirano? Zagotovo poslovna skrivnost, dokler jim kdo ne odnese dbja.
Če se zatakne - pritisni močneje. Če se zlomi - bil je skrajni čas za nakup novega.
anketar ::
a se kdo od abanke komitentov sploh spomne gesla? tist s pinom vstop + potrdit je pa blo dobr, sicer maš na mobiju tko in tko vzorc za zaslon + pin za app odpret + pin za abanko, stvar rešena, če pa komu uspe ukrast telefon pa 3 pine nafukat ročno pa svaka čast
M.B. ::
Še bolj "kul" stvar pri NKBM kot prehod iz RSA ključkov na SMS in 6 mestno geslo je vpisovanje zneskov. Tako neumnega UIa še nisem videl.gif. Poskušam vpisat znesek 123,33 in 43,33. Ne dela s piko al pa z vejico, vedno nekaj po svoje hoče decimalke dat, da je trepa 3x preverit če je prav.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | NLB ukinitev certifikatov ? (strani: 1 2 3 4 … 11 12 13 14 )Oddelek: Loža | 135727 (42736) | WizzardOfOZ |
» | Visa Electron (strani: 1 2 3 4 5 6 7 )Oddelek: Loža | 115076 (33926) | Vetrpiha |
» | Abanka-Katastrofa (strani: 1 2 3 )Oddelek: Loža | 20318 (12165) | w0mbat |
» | Novi standardi informacijske varnosti v bančništvu (strani: 1 2 )Oddelek: Novice / Varnost | 22989 (15904) | MrStein |
» | Banka - prijava z digitalni potrdilomOddelek: Loža | 3872 (3207) | krucymucy |