Generator gesel

Fusion · 28. nov 2009

Ker online bančništvo uporabjam na različnih računalnikih sem prišel na idejo, da bi lahko imel generator gesla kar na telefonu.
Tist "kalkulatorček" od banke mi je mal tečeno skos seboj nost. Certifikata pa glih na vse mašine ne moreš inštalirat niti ni fajn.

Ali bi bila kašna aplikacija, vrjetno java, da bi šlo na večino telefonov, ali pa kot kaka spletna stran, sam tukaj je spet vprašanje varnost.

Morda to že obstaja?
Vidite kake pomankljivosti v tem?

Ginginova · 28. nov 2009

Ideja obstaja, tudi implementacije v javi za mobilnike.
Reč se ni razširila, ker je verjetno za banke in večino ljudi lažje, da ti izdajo fizični generator gesel. Če ga izgubiš, ga pač izločijo iz sistema. Za softversko varijanto pa vedno obstaja problem, da bo nekdo kaj skopiral ali pa zajebal pri inštalaciji. Kalkulatorček je težko kopirat, zna ga pa uporabljat tudi stara mama.

Ogo

Cawo · 28. nov 2009

Zakaj pa banka nima preko operaterja zakupljenega pošiljanja SMS sporočil in zadaj programa, ki bi sam zgeneriral random geslo za stranko? Delovalo bi na vsakem mobitelu, tudi brez Jave. Ali je tukaj problem varnosti?

johan_blond · 28. nov 2009

V tujini to dela brez problemov. User name + pin. Klikneš vstopi.
V 2 do 3 sekundah dobis sms kodo, ki jo moras vtipkat v novo okno, ki se ti medtem prikaže. In to je to.

Zakaj ni pri nas. Bog si ga vedi ? Saj za mnogo stvari ni nic jasno ?

Ginginova · 28. nov 2009

Citat:
Uporabnik Cawo pravi:
Zakaj pa banka nima preko operaterja zakupljenega pošiljanja SMS sporočil in zadaj programa, ki bi sam zgeneriral random geslo za stranko? Delovalo bi na vsakem mobitelu, tudi brez Jave. Ali je tukaj problem varnosti?

Tudi tako bi šlo. Se je treba pa zavedat, da je cel kup folka, ki je lev kar se mobilnikov tiče.

Najnovejši generatorji gesel pa delujejo malce bolj sofisticirano. Recimo od Banke Koper zahteva, da vanj potisneš bančno kartico na kateri je ključ. Zapovrh so tudi opustili login po principu username / password. Temveč delajo po principu challenge / response. Torej web sajt pošlje kodo na katero mora generator gesel pravilno odgovoriti, odgovori pa lahko samo če je v njem prava bančna kartica, ki v principu generira pravilni odgovor na pravilno vprašanje.

Ogo

Cawo · 28. nov 2009

Vse za povečano varnost, vsaj nekatere banke to delajo, za razliko od NLB, katere Klik mi je najmanj všeč, očitno pa je hekerjem toliko bolj

Mislim pa, da je prejem SMS-a najlažja možna oblika glede mobilnega aparata kot prejemnika generirane kode, tako da bi tak postopek pri ljudeh povzročal najmanj problemov. Ampak glede varnosti sem malo skeptičen, glede na to, da obstajajo programi kot je SMS Forwarder za "pametne" mobilnike ...

borovnica · 28. nov 2009

spletna banka diba dela na sistemu username/pasward + sms z dodatno kodo,..
b

Fusion · 29. nov 2009

trenutno ne morem preverit, sam se mi zdi, da ima diba tudi certifikat. Torej preko certifikata dostopaš pol pa še sms dobiš.
Tole z sms-om je tut vredu rešitev.

glede na sms forwarederja. Folk ima že tako čuda gesel in varnostnih kod spravljenih med sms-i ali beležkami brez kakšnega zaklepanja. smsforwarder pa se tut ne da kr na daljavo inštalirat.

igorduska · 29. nov 2009

Citiram Ogo-ja:
"Se je treba pa zavedat, da je cel kup folka, ki je lev kar se mobilnikov tiče".

Je pa treba vedet tudi to, da tisti, ki se ne znajdejo z enim preprostim sms-om, imajo verjetno denar še vedno na knjižici ali pa v štunfi in se za e-bančništvo in naše kalkulatorčke ali cetrifikate ne sekirajo kaj dosti!!!

Bush · 29. nov 2009

Citat:
Uporabnik Fusion pravi:
Tist "kalkulatorček" od banke mi je mal tečeno skos seboj nost. Certifikata pa glih na vse mašine ne moreš inštalirat niti ni fajn.

Obstaja možnost, da si certifikat posnameš na smart card. Oziroma da uporabljaš certifikate, ki pridejo že instalirani na smart card.

Lahko pa tudi uporabiš remote desktop na comp, kjer imaš certifikat

philips · 30. nov 2009

Citat:
Uporabnik Fusion pravi:
Ker online bančništvo uporabjam na različnih računalnikih sem prišel na idejo, da bi lahko imel generator gesla kar na telefonu.
Tist "kalkulatorček" od banke mi je mal tečeno skos seboj nost. Certifikata pa glih na vse mašine ne moreš inštalirat niti ni fajn.

Ali bi bila kašna aplikacija, vrjetno java, da bi šlo na večino telefonov, ali pa kot kaka spletna stran, sam tukaj je spet vprašanje varnost.

Morda to že obstaja?
Vidite kake pomankljivosti v tem?

Če te prav razumem, bi rad algoritem spreminjanja cifer na fizičnem ključku od banke spravil v nek program?
To seveda ne gre, saj je ta algoritem strogo varovan, pa tudi ključek ima self-destruct funkcijo v primeru da ga poskusiš odpreti.

Ena možnost je, da kupiš smart card reader in ga nosiš vedno zraven... samo je za moje pojme v tem primeru še vedno enostavneje nosit zraven tisti generator gesel.

Jest · 30. nov 2009

Citat:
Uporabnik philips pravi:

Če te prav razumem, bi rad algoritem spreminjanja cifer na fizičnem ključku od banke spravil v nek program?
To seveda ne gre, saj je ta algoritem strogo varovan, pa tudi ključek ima self-destruct funkcijo v primeru da ga poskusiš odpreti.

Ena možnost je, da kupiš smart card reader in ga nosiš vedno zraven... samo je za moje pojme v tem primeru še vedno enostavneje nosit zraven tisti generator gesel.

Seveda je mozno... Program SecureID je na voljo tudi za razne mobilnike ... vendar so banke prevec toge oz. premalo fleksibilne, da bi se postopile uvesti kaj takega...

philips · 30. nov 2009

To gre, ampak da bi si sam spisal takšen program pa seveda ne. Lahko edino čaka, da tudi naše banke uvedejo kaj takšnega

Jest · 30. nov 2009

To je res... banka mora narediti korak v to smer...

Ko sem jaz enkrat spraseval na banko glede tega RSA SecureID, so me skoraj "npaizdil" da se nimam kaj zmisljevat, da to je skregano z varnostjo in nevem kaj se...

Fusion · 30. nov 2009

@philips
niti pomisli nisem na to, da bi sam kaj takšnega delal

Sej niti nisem vprašal, kako se lotit

@all
Thnx vsem! No pršli smo do spoznanja da vse že obstaja, samo naše banke so lesene.

Ma katera avstrijska banka to

doktor · 5. dec 2015

Eno random vprašanje glede teh generatorjev. Danes te stvari delujejo že super, me pa zanima, kako recimo generator sproducira neko geslo, ki je veljavno še 90 s? Kako pri prijavi v spletno banko ta ve, ali je ključ še veljaven ali ne? Saj ti generatorji niso povezani z internetom, najbrž pa tudi nimajo neke notranje ure?

blazko · 5. dec 2015

Najbrž jo imajo, kaj misliš?

XSIDE · 5. dec 2015

Implementacije so različne, ampak RSA SecurID in podobni ključki seveda imajo uro. Se pa strežnik prilagaja uri na ključku, če pride do prevelike razlike, ponavadi vpraša še za naslednjo kodo, da se spet sinbronizirana s ključem (RSA).

NKBM uporablja SecurID, ampak mislim da, ko je kolega spraševal, če bi lahko namesto ključka uporabljal app na telefonu (,ki obstaja kot je že nekdo zgoraj omenil), ni šlo. Vrjetno je problem tudi z licencami in da bi se nekdo moral ukvarjat z nečem, kar ni v standardnih postopkih.

philips · 5. dec 2015

RSA SecurID generator obstaja tudi za Android: https://play.google.com/store/apps/details?id=com.rsa.securidapp

Banke pa uporabljajo fizične generatorje zaradi večje varnosti. Iz slednjega namreč precej težje ukradeš random seed, kot pa iz Android aplikacije.

@doktor: glede podrobnosti generiranja random gesel z omejeno vrednostjo pa si poglej tole Wiki stran: https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm

To je namreč standardiziran način generiranja teh gesel in ga uporablja veliko strani (recimo Facebook in Google). Za aplikacijo na telefonu pa se uporablja Google Authenticator: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Fusion · 9. dec 2015

ksz

vidim, da sem jst odprl to temo in sem bil cca 5-6 let pred časom naših bank

Če kdo potrebuje pogled v prihodnost, se zmenmo preko PM in TRR

Generator gesel

Fizikalc

Guru

Fizikalc

Guru

Guru

Fizikalc

Fizikalc

Fizikalc

Pripravnik

Fizikalc

Guru

iPhone Guru

Guru

iPhone Guru

Fizikalc

Pripravnik

Majstr

01101010

Guru

Fizikalc