xorg 693 Zgłoś post Napisano Wrzesień 9, 2011 Hey, czy miał ktoś z Was kiedyś problem z bezpieczeństwem tokenów RSA? Udostępnij ten post Link to postu Udostępnij na innych stronach
tym 205 Zgłoś post Napisano Wrzesień 9, 2011 Tzn? Ja mam zawsze na biurku, ewentualnie wrzucam do plecaka czy też do saszetki. Są trwałe, jednym pare lat temu otwierałem piwo setki razy ;-) No i jest również wodoodporny, bo przeżył pralkę. Świetne rozwiązanie dla mobilnych, nie trzeba czekać na nową 'dostawę' kodów czy też bulić za dodatkowe kody SMS (w zależności od banków). Także polecam tą formę uwierzytelniania. Udostępnij ten post Link to postu Udostępnij na innych stronach
xorg 693 Zgłoś post Napisano Wrzesień 9, 2011 (edytowany) W moim przypadku token RSA został podrobiony i ktoś uzyskał nieautoryzowany dostęp do webapi banku. Wpisanie "tokeny rsa" w Google na samym początku wypluwa ciekawe efekty: http://www.benchmark.pl/aktualnosci/Masz_e-konto._Uwaga_na_tokeny_RSA-33920.html http://technologie.gazeta.pl/internet/1,104530,9279773,Tokeny_RSA_zagrozone.html Edytowano Wrzesień 9, 2011 przez xorg (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
tym 205 Zgłoś post Napisano Wrzesień 9, 2011 Nigdy o tym nie słyszałem, natomiast moim zdaniem dobre hasło + token jest nie do przejścia. Rzeczywiście goście musieli mieć łeb na karku by jakkolwiek skompromitować ten kanał weryfikacji. Jednakże czuję się bezpiecznie, choć artykuł w pewien sposób wymusił na mnie zmianę hasła :-) Udostępnij ten post Link to postu Udostępnij na innych stronach
blackfire 185 Zgłoś post Napisano Wrzesień 9, 2011 http://boingboing.net/2011/05/27/attack-on-rsas-secur.html i ogólnie utfg: rsa lockheed martin Zakładam że przedpiśca to nie bezpiecznik Lockheed-Martin i nikt na niego polować nie będzie więc może spać spokojnie ale IMHO równie dobre (do pewnego poziomu wymagań i do pewnej skali) są kody jednorazowe na tradycyjnej kartce w portfelu albo (też jednorazowe) hasła SMSowe. tym: http://arstechnica.com/security/news/2011/04/spearphishing-0-day-rsa-hack-not-extremely-sophisticated.ars Udostępnij ten post Link to postu Udostępnij na innych stronach
FilipS 7 Zgłoś post Napisano Wrzesień 9, 2011 Co do bezpieczeństwa i opinii tokenów wypowiedzieć się nie mogę, z tego co udało mi się zaobserwować to niektóre banki dodają do oferty tokeny a inne usuwają. Z tego co wiem to obecnie w większości banków token to aplikacja na telefon komórkowy i aby go uruchomić wymagane są dane do logowania i oczywiści dostęp do internetu. Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 9, 2011 W moim przypadku token RSA został podrobiony i ktoś uzyskał nieautoryzowany dostęp do webapi banku. Nie to, żebym się jakoś sceptycznie odnosił, ale który bank oferuje autoryzację tylko po podaniu kodu z tokena? Zazwyczaj jest jakieś user/hasło jeszcze (i "włamywacz" musiał chyba też je znać), a tokenem weryfikuje się tylko operacje. Może po prostu... ktoś skubnął ci go z kieszeni, ewentualnie wyphishingował jakieś dane? Ewentualnie może ktoś po prostu "w twoim imieniu" poszedł do banku i dostał socjotechnicznymi metodami dane logowania + duplikat? Udostępnij ten post Link to postu Udostępnij na innych stronach
d.v 1409 Zgłoś post Napisano Wrzesień 9, 2011 Ja się z tokenem czuję bezpiecznie - do zalogowania na konto potrzebna jest nazwa użytkownika i do tego 4-cyfrowy numer pin + 6 cyfr z tokena. Do zatwierdzenia każdej operacji też 4 cyfry pin + 6 cyfr z tokena. Mało wygodne jest to, że numery w tokenie zmieniają się co 60 sekund i nie można wykonać dwóch operacji tym samym numerem, więc daje to maks. 1 operację na minutę, ale uważam bezpieczeństwo takiego rozwiązania za w pełni wystarczające do takiego zastosowania. Złamanie jednocześnie nazwy użytkownika (przypadkowy ciąg 7 znaków alfanumerycznych) + pinu + tokena jest na tyle skomplikowane, że raczej nie obawiam się, żeby ludzie posiadający umiejętności na to pozwalające tracili czas na włamy do takich mało ciekawych kont jak moje Udostępnij ten post Link to postu Udostępnij na innych stronach