Zírám... V Čechách žiadna banka nepoužíva takzvané GRID karty? To je kartička, na ktorej je mriežka napr. so 6x6 políčkami, v každom políčku nejaký krátky kód (napr. 4 číslice). Pri každej operácii potom banka vyžaduje prepísať niektoré konkrétne políčko, čo potenciálny záškodník má šancu zistiť len dlhodobým odposluchom, alebo podvrhnutím stránky. Z hľadiska bezpečnosti by som to zaradil niekde vyššie než certifikát, ale nižšie než SMS-kód.
Na Slovensku tento spôsob používajú minimálne 2 banky.
Vytlačené je to na plastovej kartičke, aj keď istá nemenovaná banka to už začala tlačiť na obyčajný papier a laminovať, asi pre ušetrenie nákladov. Tak či tak je to ofotiteľné, či už lepším digitálom v mobile, alebo obyčajnou kopírkou.
Je to podľa môjho názoru lepšie než len samotné login/heslo, alebo ešte iný spôsob, ktorý tiež používa jedna Slovenská banka. Ten je obzvlášť debilný - spočíva v tom, že na začiatku človek nadefinuje odpovede na otázky typu "Meno matky za slobodna", "Obľúbený film", a pod., a pri zadávaní príkazu sa ho to potom pýta na niektorý z týchto "diskrétnych" údajov. Na prekonanie takejto ochrany stačí trocha sociálneho inžinierstva, a ten kto ju vymyslel by mal vrátiť výplatu.
... a este lepsie, este velmi donedavna tato ista nemenovana vubanka sa tie kontrolne otazky pytala dovtedy kym clovek neodpovedal spravne. Teraz uz aspon zablokuje internetbanking po 3 nespravnych pokusoch a clovek si to musi odblokovat bud osobne alebo telefonicky (kde sa ho spytaju kontrolnu otazku a heslo :-)). A zaviedli uz aj SMS autentifikaciu, a ked som od nich chcel vymamit fingerprint SSL certifikatu na stranke, nevedeli, poslali ma prec a zavolal mi asi o 3 hodiny "veci znaly" technik ktory vedel o com je rec a navrhol ze mi ten fingerprint, ked ho tak strasne chcem, posle mailom.
A vy někde nastavujete odpověď na kontrolní otázku jako správnou reakci na otázku? Otázka má být srozumitelna jen vam.
Trivialni
Počáteční písmena jmen sedmi trpaslíků?-Snehurka.
použitelnější
Datum narození tchýně?- nezapomenout zalit.
použitelné
Quo Vadis? - BuTa bUtA
Není to dokonalé (zůstávají ostatní způsoby), ale sociální inženýrství to posunuje za hranici efektivity.
Našťastie nie som klientom spomínanej banky. Tamto som videl len cez rameno kolegovi a neveril som vlastným očiam. Občas je takýto spôsob ochrany použitý aj v iných systémoch (napr. atlas.cz - prihlásenie pri zabudnutí hesla), a keď odomňa taký systém vyžaduje jej vyplnenie, tak to vypĺňam štýlom "asgfdahsgdf", keďže nepredpokladám, že to budem chcieť niekedy použiť a vnímam to skôr ako zníženie bezpečnosti než zvýšenie.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
Jj, kontrolna otazka je z hladiska bezpecnostni Uplna Kravina, specialne ak je na vyber napr. 5 moznosti (alebo iny maly konecny pocet moznosti). Najlepsie hesla su take, ktore nie je mozne uhadnut (inak nez dllllhym bruteforcom) bez pochopenia obsahu (odkazu) hesla. Tym padom naviac napr. odpocuvatela infikujete memom, ktory sa siri exponencialne, aj ked s oslabujucou silou. Viz memetika a napr. prednasky Ivana M. Havla o kognitivnej vede na AV CR.
Problem je ten dlouhodoby odposlech. Zase na nic. Banka NESMI takto snizovat bezpecnost. Jako ze banka neco posle, a ono se neco jineho vrati. Proste musite mit zarizeni, do ktereho nacpete, sva nahodna data (prikaz) a soucastne je poslete bance, to zarizeni je po sve vlastni autorizaci uzivatele prezvyka, a vrati jinou zmet dat, ktere zkontroluje banka a pokud obe cesty vedly ke stejnemu vysledku je jakastakas nadeje, ze vy jste opravdu vy.
Je to velice levné a tomu odpovídá i efektivita. Je to jistě lepší než jen uživatelské jméno a heslo, ale... ale ne o moc.
1. Jedná se defakto o 36 hesel, z nichž se náhodně požaduje jen jedno. Odposlechnout větší počet hesel tedy chvíli trvá.
2. Je tu možnost zkoušet útok tak dlouho, dokud se mně nezeptá právě na to heslo, které vím.
Z hlediska teorie bezpečnosti tedy o lepší řešení jít nemůže. Pokud vezmeme v úvahu periodu vystavování této kartičky konkrétnímu uživateli, pak je to ještě slabší než heslo a proto, ačkoliv to nepíšete, předpokládám, že se tedy kartička s klasickým heslem kombinují.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
Narodeninovy paradox: pri grid karte s 36 polickami a 6 odpocutych "polickach mriezky" je 50% pravdepodobnost, ze na 6 pokusov prihlasenia sa to spyta na jedno z odpocutych policok. Utocnik moze trebars pouzit proxy, zakazdym inu. Aby som nemlzil: pri 6 nahodnych vyberoch z mriezky 36 policok v 50% pripadoch budu dve otazky rovnake.
Ono by bola sranda, keby sa to niekomu stalo zrovna na jeho narodeniny ;-)
Stačí, pokud existuje nenulová pravděpodobnost. Většina systémů totiž funguje tak, že máte možnost několika chybných odpovědí - například tří. Je tam ale obvykle ta designová chyba, že "žádná odpověď" není špatná odpověď. Ozkoušeno svého času na internet bankingu ČS a ze zkušeností s webem obecně předpokládám, že to bude všude obdobné. Prostě se to zeptá na heslo, které neznám, tak zavřu prohlížeč aniž bych odpovídal, pustím ho znovu a jdu zkoušet, jaké to po mně bude chtít tentokrát.
BTW: Na narozeninovém paradoxu se mi nejvíc líbí, že byl již před lety defakto vyvrácen ve svém původním znění. On sice ten princip a efekt v oboru statistiky platí a je snad i dokázaný, ale aplikovat ho právě na narozeniny geograficky, sociograficky a věkově omezené množiny lidí je už obecně přijímáno jako chybná aplikace narozeninového paradoxu :-)