Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Viva, O servico CaixaDirecta nao permitia ataques brute-force, no sentido a que estamos habituados. A partir da terceira tentativa falhada o acesso ficava imediatamente desactivado e apenas o pedido aos servicos de novo codigo atraves dos processos burocraticos semelhantes aos da adesao poderiam desbloquear essa situacao. O que acredito que o teclado virtual impeca, seja talvez a utilizacao de "keyloggers", uma vez que mesmo que queiras utilizar o teclado, eis que surge a mensagem amigavel da obrigatoriedade da utilizacao do teclado virtual. Tambem fizeram bem a parte da ordem em que os numeros neste "teclado" se apresentam, sendo sempre aleatoria. Evita memorizacoes e "exploracao" dos cliques em determinada posicao X, Y... O mesmo ja' serviria uma vez que o proprio "teclado" e' movivel. Quem quiser ver o dito teclado, ele esta' visivel a todos no endereco do CaixaDirecta Online. Um abraco. ^S^ |
| |
|
| | O servico CaixaDirecta nao permitia ataques brute-force E continua a não permitir :) Á terceira tentativa falhada, nova adesão. O que acredito que o teclado virtual impeca, seja talvez a utilizacao de "keyloggers" Et voilá! Tambem fizeram bem a parte da ordem em que os numeros neste "teclado" se apresentam, sendo sempre aleatoria. Evita memorizacoes e "exploracao" dos cliques em determinada posicao X, Y... O mesmo ja' serviria uma vez que o proprio "teclado" e' movivel. Exactamente. Mesmo que se saiba a posição do rato, não irá adiantar nada, dado que a apresentação do "teclado virtual" é aleatória.
//vd |
| |
| | Só uma correcção
Nao é uma nova adesao. Nao é preciso preencher novos papeis nem nada disso. Vai-se ao servilço telefonico e pede-se um novo codigo.
J |
| |
| | Isso se já não andassem por aí screenloggers. Não há método que garanta a segurança de um utilizador pouco precavido. |
| |
| | ...ia eu dizer que isto não é realmente segurança nenhuma - porque não é por se mudar o método de input que deixa de existir um e um só campo, ainda por cima scriptable e sujeito a todo o tipo de alarvidades. Mas pronto, um hint: o DOM de JavaScript permite manipular o campo a partir de outras janelas, e não é por ter SSL que um submit feito automaticamente não pode ser feito - com meia dúzia de linhas de Perl é trivial fazer a gestão da ligação (login, POSTs por SSL e manipular eventuais cookies), e quanto à parte de JavaScript não dou 2 dias para haver um "proof of concept" na rua... Mas estava eu para desmontar esta falácia ridícula de segurança, dizia eu, quando vejo quase todos os argumentos (bons, maus e gozáveis, tanto de um como de outro lado, mas especialmente dos que tentam defender esta abordagem hilariante) escarrapachados pela página abaixo, pelo que me limito a recomendar a leitura do "Secrets and Lies" do Bruce Schneier. Podem oferecer uma cópia a quem aceitou esta implementação, que o livro é para pessoas "normais". Se quiserem segurança real, usem one time passwords enviadas para o cliente por SMS (e não me digam que quem usa online banking não tem telemóvel...). Falem com os operadores. É simples, rápido, prático. Mas acima de tudo, muito seguro - é praticamente tão seguro como um token, e pelo menos é mais difícil de perder que o token (e sim, os cenários de perda do telemóvel e afins estão contemplados). ^D |
| |
| | Nunca deves ter tido uma gateway de sms ligada aos diversos operadores... :-) Ninguem fazia login no site.
«Nunca discutas com um idiota. Ele colocará a conversa ao seu nível e bater-te-á pela maior experiência» Mark Twain |
| |
| | Vou seguir à risca a tua .signature e não discutir contigo. :) ^D |
| |
| | (...)ainda por cima scriptable e sujeito a todo o tipo de alarvidades. Exactamente, essa é uma das coisas que mais me preocupa no actual método.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Dado que esses "teclados virtuais" são manhosisses em JS que recolhem os digitos e depois fazem submit o resultado liquido é o mesmo. Excepto que assim é muito mais fácil para quem está nas redondezas ver o PIN. Segurança, BES style. |
| |
|
| | E como funciona o sistema do BES? |
| |
| | Dado que esses "teclados virtuais" são manhosisses em JS que recolhem os digitos e depois fazem submit o resultado liquido é o mesmo Permite-me discordar :) Quando estamos perante os novos hackers do teclado - leia-se script kiddies com keyloggers - esta medida até é benéfica e o resultado não é o mesmo de ter uma form onde possas usar o teclado. Excepto que assim é muito mais fácil para quem está nas redondezas ver o PIN É ? Testes feitos e para se poder ver o que carregamos, alguem terá de estar mesmo, MESMO, ao nosso lado. Mais inteligentes podem decorar os sitios onde carregamos, ai sim, sem resultado liquido para o sistema. Segurança, BES style. São opiniões. Usar o BI é algo que pode ser facilmente copiável ... da net... Sim, quantas homepages já vi com CV's agarrados com o nº. de BI e contribuinte ? :) Segurança, para mim, com token's.
//vd |
| |
| | O BES é exactamente igual ao da CGD que acabei de ver. O do BES também só permite 6 digitos. Ah e mais ainda, até há pouquissimo tempo (leia-se uma ou duas semanas) o form de login do website do BES/EasyBES era feito numa página normalíssima sem qualquer SSL. Se isto é a segurança BES-style, está o caso muito mal parado porque não me parece que eles sejam exemplo para ninguém... até porque parece que não testam a bodega das alterações com o Opera lol Tenho de apresentar reclamações... já sabendo em antemão a resposta: Caríssimo cliente, o website está optimizado para Internet Explorer 6 ou Netscape Navigator xx - não me lembro da versão...
---------- Este post foi publicado segundo a licensa IDC (I Don't Care). |
| |
| | >Dado que esses "teclados virtuais" são manhosisses em JS que recolhem os digitos e depois fazem submit o resultado liquido é o mesmo Permite-me discordar :) Quando estamos perante os novos hackers do teclado - leia-se script kiddies com keyloggers - esta medida até é benéfica O que é que impede os script kiddies de usar um qualquer gravador de screenshots? Quais teclados virtuais, quais keyloggers, quais SSLs!!.... fica tudo gravadinho do écran: basta ler. Cumprimentos Mario Valente PS - Sim, sim... tb há coisas semelhant es para Linux... |
| |
| | Estas consciente do que dizes ? :) Vamos ter screenshots de segundo a segundo ou até bem menos, durante um largo periodo de tempo, para assim conseguir apanhar as passwords ? Nota: Tem de haver a possibilidade de estes softwares ficarem com a posição do rato no sitio correcto, naquele preciso momento.
//vd |
| |
| | Ter um software personalizado que grave só quando a tecla do rato é pressionada não deve ser difícil (grates e comerciais há muitos) e um outro para gravar períodos curtos de vídeo também não.
"No comments" |
| |
| | Vamos ter screenshots de segundo a segundo ou até bem menos, durante um largo periodo de tempo, para assim conseguir apanhar as passwords ? 3. How much disk space does Spector Pro take? This depends on many factors, such as how frequently you set Spector Pro to save your screen snapshots, whether you save in full color or 4-bit grayscale, and how many days you allow Spector Pro to record before automatically getting rid of files. It also depends on how heavily you use your PC. A typical 8-hour day of recording will take about 10-20M of hard disk space. Spector Pro FAQ Cumprimentos Mario Valente |
| |
| | A recuperação desses 10-20 Mb é mais dificil do que a de um ficheiro de texto com o keylog do dia, principalmente se o scan estiver a ser feito a muitos computadores. Não querendo dizer que, em termos de evitar scans, o teclado virtual seja infalivel parece-me bastante obvio que nesse ponto é bastante melhor que o simples digitar a password no teclado. Cumprimentos! zp |
| |
| | Só precisas capturar a região próxima ao rato a cada seleção. Muito longe de 10-20 Mb. |
| |
| | ... como já alguêm referiu é mais facil para quem esteja por perto ver o código, o código pode ser apanhado quando é feito o submit tal como antes, é mais facil arranjar uma maneira de substituir o JS manhoso para apanhar o código, o código de 6 caractéres esclusivamente numéricos tambêm é muito menos seguro do que o anterior que eram no minimo 8 e tinha que conter maiusculas e minusculas e podia conter números.
Cheira-me a mouse enginier na CGD, especialmente depois de saber que eles estiveram quase uma semana sem poder fazer quase nada porque os tiveram os servidores infectados com vírus, só há uma palavra para os descrever: básicos.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
|
| | E podia conter caracteres especiais. O meu código era composto por eles todos e dava-me uma sensação de segurança melhor do que esta agora implementada. Não vou começar já a bater no ceginho, mas não me parece que este sistema seja muito seguro. De qualquer forma isto deve ter sido daquelas coisas que às vezes acontecem.... algum engenheirozinho acabadinho de sair da universidade e que gosta muito de javascript! |
| |
| | Cheira-me a mouse enginier na CGD Não querendo ser chato, a página está protegida por SSL logo o submit vai encriptado. Se te quiserem apanhar o código, tanto faz ser com o javascript como sem ele porque vai tudo num campo . Enfim...
---------- Este post foi publicado segundo a licensa IDC (I Don't Care). |
| |
| | ggrrrrr vai tudo num campo input...
---------- Este post foi publicado segundo a licensa IDC (I Don't Care). |
| |
| | Exactamente, dai eu dizer "tal como antes", por isso nesse aspecto não vei trazer novidades, enquanto noutros veio fazer pior do que estava.
Estou só a tentar mostrar que não traz vantagens de espécie nenhuma.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | enquanto noutros veio fazer pior do que estava. Estou só a tentar mostrar que não traz vantagens de espécie nenhuma.
Com toda a honestidade gostava de perceber em que dados concretos é que te baseias para vir com essa afirmação... Eu vejo vários pontos, uns bons e outro maus, na medida. É inegável que se evitam os keyloggers, e isso é bom, quanto a screenloggers é vulnerável, mas tens de concordar que a gravidade não é a mesma. A password passou de alfanumerica para numerica, isso é obviamente mau, mas como não estamos perante um cenário em que um ataque brute force seja viável não me parece que seja tão grave como o dizes. A password pode ser espreitada "por cima do ombro", no entanto isso é perceptivel pelo próprio utilizador, é dificil alguem conseguir ve-la sem chamar as atenções, principalmente com o tamanho dos numeros do teclado e com o facto de aparecerem em sitios diferentes a cada vez. desenvolve-me lá essa tua ideia catastrofica de que isto agora é um portão de quinta e que não há vantagens nenhumas no sistema..... Cumprimentos! zp |
| |
| | como já alguêm referiu é mais facil para quem esteja por perto ver o código Ainda estou para perceber como ... Ou ela está mesmo em cima de nós, ou então vai-lhe ser dificil acertar com o codigo só decorando posições. o código pode ser apanhado quando é feito o submit tal como antes Ei! :) Essa é nova, pode fazer o obsequio de desenvolver essa opinião ? é mais facil arranjar uma maneira de substituir o JS manhoso para apanhar o código Venha ela, sff. o código de 6 caractéres esclusivamente numéricos tambêm é muito menos seguro do que o anterior que eram no minimo 8 e tinha que conter maiusculas e minusculas e podia conter números. Ou seja, antigamente era alfanumérico com caractéres especiais e agora é só numérico. Concordo! Mas e imaginando numa integração de serviços e plataformas, onde o Wap e Telefone estão incluidos, não vejo como unificar autenticações, onde no telefone e wap só usamos digitos. 6 caracteres é mais que suficiente para código quando não se pode colocar os "default", como 00000, codigo=utilizador, etc . Cheira-me a mouse enginier na CGD Esse nariz não está a funcionar lá muito bem então. specialmente depois de saber que eles estiveram quase uma semana sem poder fazer quase nada porque os tiveram os servidores infectados com vírus, só há uma palavra para os descrever: básicos. Como disse anteriormente aqui noutra thread no gildot, a rede interna não afecta os servidores em plataformas *nix. Afecta sim o trabalho dos colaboradores, mas não o acesso dos clientes.
//vd |
| |
| | Tens alguma coisa a ver com o departamento de informática da CGD, não? Experimenta abrir o google e vais descobrir que existem snifers, técnicas para tentar fazer com que sejam abertos ficheiros em outros servidores que não o original, etc...
Básicamente o que acontece é que neste momento apesar de não ser linear furar o sistema, há mais por onde tentar furar do que havia antes.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Experimenta abrir o google e vais descobrir que existem snifers, técnicas para tentar fazer com que sejam abertos ficheiros em outros servidores que não o original, etc... E ? ... Isso vem no seguimento de ? Básicamente o que acontece é que neste momento apesar de não ser linear furar o sistema, há mais por onde tentar furar do que havia antes. Existe ? Então ? Onde ? Foi colocado algum campo novo ? Foi removido outro ? A única coisa para mim alterada foi a password quality e remoção de eventuais keyloggers.
//vd |
| |
| | E ? ... Isso vem no seguimento de ? Vem no seguimento das afirmações que fiz e da resposta que deste. Existe ? Então ? Onde ? Foi colocado algum campo novo ? Foi removido outro ? A única coisa para mim alterada foi a password quality e remoção de eventuais keyloggers. Ou seja tu mesmo admites que a qualidade da password diminui! A juntar a isto, como já se viu em vários outros comentários, existem outros tipos de software que podem apanhar o código tal como um keylogger faria, existe agora a possibilidade de alguêm atrás do utilizador apanhar o código, etc...
Basicamente só houve perdas!
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Ou seja tu mesmo admites que a qualidade da password diminui Correcto. Isso é certo. Mas também sem isso não se conseguia unificar plataformas. Penso que foi a melhor solução que contenta todos, desde segurança, integração e cliente. A juntar a isto, como já se viu em vários outros comentários, existem outros tipos de software que podem apanhar o código tal como um keylogger faria, existe agora a possibilidade de alguêm atrás do utilizador apanhar o código, etc... Vamos lá ver... Eu consigo controlar as pessoas que tenho à minha volta ou não ? Eu não vou ao multibanco, por exemplo, com pessoas em cima de mim. Para isso existe alguma distância. Estamos a falar de homebanking, onde os clientes, em casa acedem ao serviço. Em casa estamos com um ambiente controlado. Contudo não sabemos exactamente o que estamos a correr, por exemplo, algum cavalo de troia, algum keylogger, algum virus. Na empresa, não vamos ter a estupidez de aceder ao serviço com a multidão atrás de nós, ou vamos ? Pessoalmente não gosto de ter pessoas a verem o meu saldo, ou os movimentos. Noutro local, bem ... Não confio nas comunicações e sinceramente muitos clientes também não o confiarão.
//vd |
| |
| | ------------------- Ou seja tu mesmo admites que a qualidade da password diminui
Correcto. Isso é certo. Mas também sem isso não se conseguia unificar plataformas. Penso que foi a melhor solução que contenta todos, desde segurança, integração e cliente. ------------------- Bem, a verdade é que o serviço não permite ataques de Brute Force, e bloqueia à terceira tentativa. Portanto, ter 6 ou 12 dígitos, números ou alfanuméricos, é desprezável. Não há programas que adivinhem passwords em 3 passos...
------------------- Estamos a falar de homebanking, onde os clientes, em casa acedem ao serviço. Em casa estamos com um ambiente controlado. Contudo não sabemos exactamente o que estamos a correr, por exemplo, algum cavalo de troia, algum keylogger, algum virus.
Na empresa, não vamos ter a estupidez de aceder ao serviço com a multidão atrás de nós, ou vamos ? Pessoalmente não gosto de ter pessoas a verem o meu saldo, ou os movimentos.
Noutro local, bem ... Não confio nas comunicações e sinceramente muitos clientes também não o confiarão. ------------------- Inicialmente achei a ideia interessante por causa dos keyloggers (que já fizeram com que evitasse usar homebanking em locais públicos). Mas depois realmente o teclado virtual é bem mais fácil de espiolhar em campo aberto. Antes utilizava-se um teclado e podia-se esconder melhor e usar bem os dedos distribuídos no teclado (e depois qual é o dedo que prime efectivamente a tecla?). Agora, os movimentos do rato podem ser espiolhados pelos vulgares olhos de qualquer pessoa, por um software de screen-capture como já aqui foi falado ou até com uma vulgar câmara de vigilância com zoom apontado ao écran (num sítio público).
Quanto ao argumento de acesso em sítio público, bem, o homebanking deve poder dar essa possibilidade com segurança. Na forma actual é mais ou menos. Melhora com os keyloggers (para mim é um avanço) mas não resolve totalmente. Resta os screen-captures e esses são bem mais raros. Para uso esporádico (que o deve ser sempre, pois sítios públicos têm uma ALTA taxa de perigo), é o mínimo aceitável. É pena é os bancos não avisarem as pessoas da perigosidade desses sítios públicos (e assumo que nas empresas deve haver uma segurança mínima, mas nunca fiando, depende de quem lá trabalha).
Qualquer outra medida com certificados, tokens, biometria, etc, ou é muito simples ou então esqueçam. A tecnologia não se deve sobrepor à usabilidade.
E não há segurança infalível, claro. |
| |
| | Mas também sem isso não se conseguia unificar plataformas. se eu apenas uso o PC, porque me tenho de me sujeitar a reduzir a seguranca... esta obrigatoriadade dos codigos numericos deveria ser apenas para quem quer/precisa dele para efeitos de uniformizacao. o resto deveria poder continuar a usar codigos alfanumericos Na empresa, não vamos ter a estupidez de aceder ao serviço com a multidão atrás de nós, ou vamos ? por vezes nao temos hipoteses de afastar as pessoas a volta, elas estao nos seus locais... nao penses que uma pessoa so' pode descobrir o codigo de uma so' vez, aos poucos pode-se ir descobrindo o codigo e se alguem tem um ecra grande e uma resolucao nao muito alta, pode-se ver facilmente os numeros a serem escolhidos outra forma simples sao camaras, binoculos e afins, alguem no predio em frente pode estar todo divertido a anotar os numeros de qualquer forma, a este sistema, por permitir que visualmente se saiba o codigo, por muito pouco provavel que isso aconteca, da' uma sensacao de inseguranca maior do que escrever o codigo no teclado Noutro local, bem ... Não confio nas comunicações entao para que serve o SSL ?!?! se nao se pode confiar na encriptacao e no certificado do banco para comprovar que a maquina esta' a ligar ao local correcto de forma segura, entao para que eles estao la'? e' que nunca se sabe se se pode realmente confiar no ISP...nao e' verdade.
Higuita |
| |
| | Básicamente o que acontece é que neste momento apesar de não ser linear furar o sistema, há mais por onde tentar furar do que havia antes.
ó amigo, sob o risco de te acusar de andares práqui a arrotar postas de pescada, desenvolve um pouco essa tua "teoria" sobre pontos inseguros... A password passou de alfanumerica a numerica, isso concordo, obviamente, que é pior. Tirando esse facto gostaria que me iluminasses o espirito com a tua sabedoria infinita sobre os tais mais pontos para "furar do que havia antes". Cumprimentos! zp |
| |
| | Apenas dois pensamentos soltos... Já sei que existe Vaporware Agora com o teu comentário fiquei a saber que ele é um Vaporcomment porque só faz especulações e não aponta soluções nem as formas de enganar o sistema. Pelo menos inventaste o VaporComment!
Cumprimentos, Jorge Laranjo 01100110 01110101 01100101 01100111 00110000 http://pocketBlog |
| |
| | Se eles me quiserem pagar eu posso apresentar-lhes soluções, se não, vou continuar a apontar aquilo que acho que está errado sem apresentar soluções porque não tenho obrigação nem o dever de o fazer, se não gostas do comentário não leias. Queres forma mais fácil de enganar o sistema do que qq pessoa que esteja por perto quando fazer o login apanhar a tua pass e usa-la para entrar na tua conta?
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Se eles me quiserem pagar eu posso apresentar-lhes soluções, se não, vou continuar a apontar aquilo que acho que está errado sem apresentar soluções porque não tenho obrigação nem o dever de o fazer (...)
E alem disso é muito mais facil e l33t vir aqui mandar umas bocas! Cumprimentos! zp |
| |
| | Mas também se ganha menos ;)
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | boa resposta! tenho de reconhecer! :-) Cumprimentos! zp |
| |
| | Deve ser engraçado. Na tua casa o puto de 3 anos a espreitar da porta do escritório e a pensar: «Vejo a password, e quando o papá sair transfiro todo o dinheiro para a minha conta. Assim já posso comprar bonecos... Ah Ah Ah (rir com gargalhadas de filme de terror)» Brrrr... Tenho de por toda a gente fora de casa antes de meter o meu código...
Cumprimentos, Jorge Laranjo 01100110 01110101 01100101 01100111 00110000 http://pocketBlog |
| |
| | Pelo menos inventaste o VaporComment! VapourComment... "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Vapor é a ortografia americana; Vapour é a ortografia britânica/canadiana. Estão ambos correctos, embora eu, francamente, deteste particularmente as formas 'bastardizadas' americanas -- vapor, color, odor, neighbor, etc.
-- (c) Anónimo Cobarde, 1999-2002 |
| |
| | Serve o mesmo para o português de Portugal e o português do Brasil ou de qualquer PALOP? Ou é mesmo só por ser inglês dos EUA? :)
---------- Este post foi publicado segundo a licensa IDC (I Don't Care). |
| |
| | IMHO, o teclado virtual traz mais problemas que resolve. Quem estiver ao lado vê o código sem problemas nenhuns, e o raio dos botões são minúsculos q acabo sempre por clicar 2 vezes mais pq não consigo apontar exactamente onde está o número. E quando sei que me engano, para não ter limpar o campo e escrever tudo de novo (quando é no último dígito), levo com um Alert('Por favor utilize o teclado virtual') ao fazer o backspace. Mas o digito é apagado, pelo menos. O meu outro banco, o Atlântico, através do cidadebcp.pt, pede agora também 2 dígitos aleatórios do BI ou NIF, e ocasionalmente pede-me 3 dígitos de um código de validação emitido por eles.. Ainda ontem ia fazer uma transferência para uma compra online e levei com o pedido do número.. E onde deixei agora o raio do talão do multibanco com o código? Lá vou ter que ir novamente pedir outro código ao MB ao fim da rua. Não tenho keyloggers nem spyware nos meus 2 desktops (MacOSX e Linux) mas tenho que levar com esta treta toda na mesma... Enfim.. há que comer e calar... I live the way I type; fast, with a lot of mistakes. |
| |
|
| | uem estiver ao lado vê o código sem problemas nenhuns, e o raio dos botões são minúsculos q acabo sempre por clicar 2 vezes mais pq não consigo apontar exactamente onde está o número Se quem clica não os consegue ver, como é que outros conseguem ? :) Lá vou ter que ir novamente pedir outro código ao MB ao fim da rua Só vantagens, heim ? Não tenho keyloggers nem spyware nos meus 2 desktops (MacOSX e Linux) mas tenho que levar com esta treta toda na mesma... Enfim.. há que comer e calar... Claro, tudo à base da confiança. Enfim, pelo pecador paga o justo.
//vd |
| |
| | Se quem clica não os consegue ver, como é que outros conseguem ? :) Bem, posso não conseguir clicar no "1" por a ponta do ponteiro do rato não estar mesmo em cima dos pixeis do caracter, mas alguém que me veja o que estou a fazer vê bem em qual o número que quero clickar. Se fizessem botões normais, em vez de links, ficava melhor. I live the way I type; fast, with a lot of mistakes. |
| |
| | Quem estiver ao lado vê o código sem problemas nenhuns, e o raio dos botões são minúsculos q acabo sempre por clicar 2 vezes mais pq não consigo apontar exactamente onde está o número. e dantes não podia ver? :) acho que quem olha para o monitor também olha para o teclado e vê onde metes o dedinho ;). Aumenta o tipo de letra :) E quando sei que me engano, para não ter limpar o campo e escrever tudo de novo (quando é no último dígito), levo com um Alert('Por favor utilize o teclado virtual') ao fazer o backspace por acaso não tive esse problema com o backspace.. talvez já tenha sido resolvido? Não tenho keyloggers nem spyware nos meus 2 desktops (MacOSX e Linux) mas tenho que levar com esta treta toda na mesma... Enfim.. há que comer e calar... xiii!!! ganda barraca... epá, telefona já para eles e diz que percebes bué disto e que os teus sistemas são imunes, o mais certo é eles pedirem desculpa e fazerem um site diferente só para ti if( user == 'pcardoso' ) { show_versao_pacromos() } quanto ao comer e calar, sempre podes mudar de banco, ninguém te obriga a ter conta lá nem usar o homebanking ;D |
| |
| | e dantes não podia ver? :) acho que quem olha para o monitor também olha para o teclado e vê onde metes o dedinho No teclado regra geral tens o corpo à frente e a mão por cima, não é fácil perceber onde se está a carregar, especialmente porque o código era alfanumérico e maior (8 c. conta os 6 c. de agora), e também é muito mais rápido o que faz com que não se consiga apanhar o código if( user == 'pcardoso' ) É melhor porem lá o meu username também porque eu tambem dispenso o show_versao_paraotarios() quanto ao comer e calar, sempre podes mudar de banco Como felizmente os outros departamentos da CGD parecem funcionar melhor do que o departamento responsável pela "caixadirecta" existem outras vantagens em ter conta na CGD que acabam por compensar estas novas falhas na "caixadirecta", na pior das hipóteses poderia deixar de usar a "caixadirecta" e esperar que venha uma nova versão melhor, o que mais tarde ou mais cedo vai acabar por acontecer.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Como felizmente os outros departamentos da CGD parecem funcionar melhor do que o departamento responsável pela "caixadirecta" existem outras vantagens em ter conta na CGD que acabam por compensar estas novas falhas na "caixadirecta", na pior das hipóteses poderia deixar de usar a "caixadirecta" e esperar que venha uma nova versão melhor, o que mais tarde ou mais cedo vai acabar por acontecer. "Parecem" :) O que parece por vezes não é realidade. E ainda bem....
//vd |
| |
| | Pelo menos a imagem que passam cá para fora é melhor do que a "caixadirecta" passa neste momento. É que a "caixadirecta" até está bem feita, tinha uma boa usabilidade e a segurança não era má, as alterações só vieram piorar.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Se tivesse duvidas se serias portugês deixei de ter. Gostas mesmo de falar sem saber do que falas não ?
«Nunca discutas com um idiota. Ele colocará a conversa ao seu nível e bater-te-á pela maior experiência» Mark Twain |
| |
| | Deixaste mas não devias ter deixado, é que eu nasci a 10 000Km de Portugal. ;)
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Porra , apanhaste o espirito da coisa depressa...
«Nunca discutas com um idiota. Ele colocará a conversa ao seu nível e bater-te-á pela maior experiência» Mark Twain |
| |
| | e dantes não podia ver? :) acho que quem olha para o monitor também olha para o teclado e vê onde metes o dedinho ;). Aumenta o tipo de letra :) Acho que alguém como eu, que tenha de (ou queira) usar um computador a maior parte do dia, acaba sempre por conseguir escrever muito mais depressa para que alguém consiga ver quais as teclas que estão a ser premidas. Pelo menos comigo é assim, e não acho que escreva assim tão depressa como isso. xiii!!! ganda barraca... epá, telefona já para eles e diz que percebes bué disto e que os teus sistemas são imunes, o mais certo é eles pedirem desculpa e fazerem um site diferente só para ti if( user == 'pcardoso' ) { show_versao_pacromos() } quanto ao comer e calar, sempre podes mudar de banco, ninguém te obriga a ter conta lá nem usar o homebanking Não vou alongar-me muito com este comentário infeliz e infantil, além de que um "cromo" pode não ter o mesmo significado para todas as pessoas. De acordo com a Fitt's Law, "The time to acquire a target is a function of the distance to and size of the target.", ou seja, ainda que a distãncia entre os números seja pequena, eles são muito pequenos para clicar confortavelmente, e sinceramente preferia não ter de redimensionar o texto para apenas poder fazer o login, após o qual voltava ao tamanho normal de texto. Com o Safari tenho 2 botões para o fazer directamente, mas é uma coisa que não devia ter de fazer para poder usar o site em condições. Tem tudo a ver com usabilidade. Não questiono a necessidade de um sistema semelhante (ainda que ache que a responsabilidade de ter um computador em condições para utilizar um serviço destes deveria ser do utilizador, em vez que andarmos todos com workarounds), mas acho que esta sua implementação não é a melhor. Procurei na página da CGD por um email para dar a conhecer a minha opinião, mas perdi a paciência a meio e desisti. I live the way I type; fast, with a lot of mistakes. |
| |
| | Procurei na página da CGD por um email para dar a conhecer a minha opinião, mas perdi a paciência a meio e desisti. Pagina de contactos. Have fun... também detestei as alterações... "Se vi mais além do que outro, é porque estava nos ombros de gigantes." Sir Isaac Newton
|
| |
| | ...e ocasionalmente pede-me 3 dígitos de um código de validação emitido por eles. Dizes "ocasionalmente" como quem diz "quando se lembra"... surge em operações mais sensiveis, tipo pagamento de serviços ou transferencias. |
| |
SE ... (Pontos:3, Interessante) |
| | Segundo o artigo do SE ... "A utilização do teclado virtual traz vantagens em termos de segurança mas tem alguns “senãos” [snip] Este responsável explica, por exemplo, que, em alguns bancos, os clientes tiveram de alterar a sua password para que dela passassem a constar só números, já que o teclado virtual não possui letras. Uma password só com números é de muito mais fácil detecção já que o número de combinações possível é muito menor." É verdade. Mas também é verdade que existem mecanisnos que bloqueam a password ao fim de x tentativas. Ou seja, menor numero de combinações e excassas tentativas. "O administrador da MarketWare tem dúvidas de que este seja um instrumento de protecção do Internet Banking de longo prazo. “Há outras tecnologias que no médio/longo prazo poderão ser utilizadas, como sejam os certificados digitais, que identificam o utilizador através de uma assinatura digital, ou a password única”, refere." Ok. Certificados digitais ? É um caso, mas experiências recentes levaram-me a considerar isso como algo inatingivel para o comum dos mortais. Sim, sai caro ter um certificado nivel 3 e não o podemos levar para qualquer lado, como a nossa password. "O responsável lembra ainda que, no Internet Banking, os clientes são sempre o elo mais fraco da cadeia. Sobretudo os particulares, muito menos atentos do que os empresariais aos perigos da Internet." Exacto, são! E por isso acho que compete às entidades melhor proteger e da melhor forma os seus clientes. Como vai este sr. explicar aos particulares, muito menos atentos aos perigos da internet que agora vão ter de adquirir certificados, usar as propriedades xpto do browser e usa-los no site do sue banco ? :) "Os contratos de Internet Banking responsabilizam, à partida, o cliente pelas movimentações feitas, mesmo que tenham origem num “ataque” informático" Eish! :) Essa é nova :) Mas ataque ? Hello ?
//vd |
| |
|
| | O BCP inicialmente usava certificados digitais. Funciona bem, mas ainda é demasiado complicado para o comum dos mortais. O BCP desistiu depois de muitas reclamações dos clientes. Nestas questões há sempre um trade-off segurança usabilidade. Bom bom, era uma password de 1024 bits que muda por sessão, sem possibilidade de repetir nenhuma das password já utilizadas. A password deveria obrigatoriamente que utilizar caracteres especiais, letras e números, etc, etc. Era bom em termos de segurança (not) mas acham que alguem ia conseguir utilizar isto? Os tokens podem ser uma solução. São é um pedacinho caros mesmo para os bancos portugueses. -Sab "Um mundo melhor é deixado como um exercício para o leitor, Paul Graham" |
| |
| | O Sotto e o CPP em tempos tiveram o serviço BIT cujo o acesso era por token. Custava ao cliente uma caução de 6.500$00 Esc . Sabem porque acabou ? Porque os clientes não quiseram pagar a caução.
«Nunca discutas com um idiota. Ele colocará a conversa ao seu nível e bater-te-á pela maior experiência» Mark Twain |
| |
| | O Sotto e o CPP em tempos tiveram o serviço BIT cujo o acesso era por token. Custava ao cliente uma caução de 6.500$00 Esc . Sabem porque acabou ? Porque os clientes não quiseram pagar a caução. No caso do CPP não sei, mas sou cliente do Sotto Mayor e lembro-me perfeitamente que o BIT acabou pouco depois do BPSM ter sido integrado no BCP. Acho que ainda lá tenha a maquineta do BIT e tudo. As facilidades internet do sotto foram descontinuadas e integradas na cidadebcp. Curiosamente, na altura usava as primeiras, mas, incidentalmente, nunca usei a cidadebcp ;-) |
| |
| | Só por curiosidade: o teclado virtual funciona em browsers não-manada (i.e. Mozilla, Opera, Konqueror, Netscape, etc.)? |
| |
|
| | Com o Mozilla funciona bem. Netscape é 100% apoiado (dizem no BES q o site está optimizado para este browser para além do IE). Konquerero n faço ideia... Giro giro era funcionar tb no lynx :)
---------- Este post foi publicado segundo a licensa IDC (I Don't Care). |
| |
| | funciona perfeitamente no Safari :) |
| |
| | O site da CGD abre bem no Opera, tirando a ***** do teclado virtual que fica com uns numeros minusculos e tou sempre a enganar-me quando preciso de fazer login... "Se vi mais além do que outro, é porque estava nos ombros de gigantes." Sir Isaac Newton
|
| |
| | No meu Mozilla Firebird em Linux ficam com um tamanho que eu consideraria normal. Diria que os números aparecem-me com um tamanho semelhante ao das letras dos comentários do gildot, mas como estão a bold deve ser uma fonte um pouco mais pequena.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Isto é uma estupidez - não acho que seja realmente mais seguro, mas é sem dúvida muito mais incómodo para o utilizador. Desde esta alteração, dou por mim a suspirar sempre que tenho de aceder à CGD Online. Se isto não foi decidido por um marketóide ou um director que leu (sem entender) algum artigo numa revista, ficarei muito surpreendido. E também aposto que quem tomou esta decisão NÃO usa o serviço.
"It is every citizen's final duty to go into the tanks and become one with all the people." - Chairman Sheng-ji Yang, "Ethics for Tomorrow" |
| |
|
| | Teclado Virtual -> Resposta dos bancos aos keyloggers. Boa solução? Não! Só para remediar..... Podes ficar surpreendido mas "isto não foi decidido por um marketóide ou um director que leu (sem entender) algum artigo numa revista. Rest my case. };- WickeD -;{ |
| |
| | (off-topic!) foste tu que fizeste um "wicked screensaver" que anda por aí no email? já me enviaram umas 200 cópias, mesmo de pessoas que nunca conheci.. preciso de ajuda: é que já tentei correr o .PIF que vem no attachment mas aquilo só me faz reinicar o computador ao fim de 60 segundos! tens aí alguma solução? :) I live the way I type; fast, with a lot of mistakes. |
| |
| | Parabéns: apanhaste um virus (penso que o Blaster). É por estas e por outras que o factor humano é aquele que mais causa problemas de segurança: executar/abrir um ficheiro que por n ter extensão exe n é executável e n deve ser virus.
========== Nuno Pereira Estudante de Engenharia de Sistemas e Informática Universidade do Minho |
| |
| | Nestas questões há sempre um tradeoff entre usabilidade e segurança. Tipicamente, para aumentar a segurança tem que se reduzir a facilidade de utilização de uma dada aplicação.
Neste caso, e pelo que estou a ver aqui no gildot, está-se a prejudicar bastante a usabilidade para um aumento marginal da segurança. Digo um aumento marginal pois se assumirmos que o computador cliente está comprometido (se está lá um um keylogger...) então deixamos de confiar no browser, no rato, etc. e isto vai tudo por água abaixo.
Por outro lado, o teclado está muito mais resguardado do que o monitor de olhos alheios, já para não falar na velocidade com que se digita comparada com a velocidade com que se clica. Por mim, até pode estar alguém mesmo ao meu lado a ver-me digitar a password...duvido que a consiga apanhar. O mesmo não posso dizer do teclado virtual.
Cumps, alves. |
| |
| | Por outro lado, o teclado está muito mais resguardado do que o monitor de olhos alheios, já para não falar na velocidade com que se digita comparada com a velocidade com que se clica. Também essa "regra" tem excepções; A velocidade ao teclado de algumas pessoas deixa muito a desejar. Se estiver alguém ao lado... |
| |
| | Concordo 100% com o teu comentário e com a resposta do utilizador palves.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Eu não sei de vocês, mas estas medidas de segurança extra deixam-me a mim muito mais descansado.
Ou vocês têm tanto que não se importam de o perder, ou tão pouco que ninguém se daria ao trabalho, mas eu gosto de saber que é um bocadinho mais dificil chegar à minha fortuna pessoal. Seja ela qual for... |
| |
|
| | Então a ideia do teclado virtual foi tua... Cromo :) |
| |
| | estas medidas de segurança Eu não lhes chamaria isso gosto de saber que é um bocadinho mais dificil chegar à minha fortuna pessoal O problema é que não é mais dificil, eles fecharam uma janela pequena e abriram umas portas! Por exemplo um computador que esteja numa situação onde alguém possa instalar um keyloger está provávelmente num local onde passam várias pessoas e essas pessoas podem agora apanhar o código sem recorrer a nada mais do que os próprios olhos, ou seja ainda poupam o trabalho de instalar o keyloger, mais, tal como alguém disse quem instala um keyloger também pode instalar um gravador de screenshots, que a julgar pelo que alguém transcreveu de uma faq não ocupa assim tantos recursos.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | hehhe, continuas sem acertar.... Acho que potencialmente podes vir a ter problemas , se continuas a encarar a situação com tanta ligeireza.
«Nunca discutas com um idiota. Ele colocará a conversa ao seu nível e bater-te-á pela maior experiência» Mark Twain |
| |
| | Eu tou na cidadebcp.pt. Agora enho de inserir códigos de cartões pessoais... |
| |
| | Boas, Li todos os post´s ate agora publicados, se vi alguns disparates tb vi algumas verdades... Vejamos:
1. A tentativa de se melhorar um sistema já de si deve ser vista com agrado, mesmo que o sistema não seja o melhor, isso permite ao consumidor final ter uma percepçao que afinal a banca esta atenta ao problema do roubo de identidade e pelo menos está a tentar "dar a volta" a isso. Não quero dizer com isto que a solução encontrada foi a melhor, porque penso que não terá sido. 2. Realmente um sistema de autenticação que use so numero é mais facil de crackar, mas nao esqueçam que o site está em SSL (nao sei a kanto, 40, 128?) 3. Ainda nao vi o sistema de autenticação porque acredito que os homebankings nao são seguros ainda como tal não os uso. 4. Alguem aqui referiu o uso de token´s e "password únicas" penso que se referem aos sistemas em que a password é gerada no momento e só utilizada uma vez... Não é um mau sistema, falha = depende sempre de uma password "inicial" e de ser portador de um gadget. 5. Vou aqui apresentar o que penso ser actualmente o sistema mais seguro, sei que vao me cair em cima, mas enfim, criticas construtivas sao sempre bem vinda...
Assim: Site HTTPS CHECK Smart Card com Certificado Digital embutido (reader de smart card nas wks) CHECK Acesso biometrico as contas CHECK (sensor de impressão digital embutido no reader de smart card)
Toda esta tecnologia encontra se a laborar. Vou enumerar as vantagens e as desvantagens para vos poupar trabalho, ok? Vantagens:
3 Sistemas de autenticaçao state of the art, porque? POrque se complementam, vejamos como! O certificado digital quando emitido por uma "Trusted Root" (ex: Verisign) funciona como um BI electronico. O Smart Card é neste momento o meio mais seguro de conter dados confidenciais visto estes estarem encriptado E para provar que o detentor do smart card com o nosso BI (Certificado digital) é de facto a pessoa "certa" autentica se com a sua impresão digital. Maior falha deste sistema: CARO! POuco ou nada explorado em ambientes *nix
Vou ficar por aqui, ia escrever mais mas prefiro que comentem para podermos trocar ideias mais concretas. Saudações! New Wave "May The Peace Be Green" |
| |
| | Neste momento encontro-me na suécia, um pais tido como avançado... Sou cliente de um banco local (SEB) e do seu serviço de homebanking. A autenticação da-se com recurso a um numero pessoal (numero de pessoa, tipo BI) e um codigo (6 digitos) gerado a partir dum PIN (4 digitos) e de dois numeros (6 digitos) que são apresentados na pagina com auxilio de uma geringonça catita (digipass)... Parece-me um bom sistema, pois ng ve o meu PIN e o digipass só funciona com um PIN. Agora só era porreiro se eles nao mandassem o pin + cartao de credito tudo por correio... :) |
| |
| | Como já foi referido por aqui, acho que realmente este método bastante mais seguro do que o anterior. No entanto deixo aqui uma sugestão (que já enviei também para o BES): Em vez de se optar por um sistema de acesso apenas baseado no teclado ou apenas baseado no rato, porque não optar por um sistema misto? Imaginem o código 1234. O 1 era colocado com o rato, o 2 com o teclado, e assim por diante... Assim estaria-se a eliminar a possibilidade dos keyloggers registarem a password e também se evitaria que alguém visse a password total colocada usando o rato. O que acham?
KISS - Keep It Simple, Stupid! |
| |
|
| | keep it simple?? nada te impede de além do key logger fazer o mesmo tempo screenshots do ecrâ. só dá é mais trabalho. além de ser ainda mais lento e dar mais tempo para espreitadelas. experimenta escrever alternadamente com o teclado físico e com o virtual e vê quanto demoras a por uma password assim. |
| |
| | Boas, Confirma-se de facto várias modificações a nível de segurança, quanto ao acesso aos Bancos pela Internet. Facto deste acontecimento, no meu Banco por exemplo, o BES, adptou um sistema de inserção do código de acesso com um teclado. Ora, poderia eu pensar que isto iria fazer com que os mais curiosos tentassem ver o meu código de acesso, por outro lado, obriga sempre que este seja inserido atravéz de alguém e não poderá ser forçado! Estas medidas, têm como função trazer mais segurança aos utilizadores de internet com os Bancos ONLINE, deste modo que estes serviços sejam mais utilizados, com mais frequência, pois deste modo, cada operação feita pelo cliente OnLine, tem sempre um custo, e o Banco está cá para fazer dinheiro, e não para perder! Linux, proof of concept! |
| |
|
| | cada operação feita pelo cliente OnLine, tem sempre um custo, Assumir-se-ia que o que pouparam na diminuição de pessoal seria suficiente justificativo... é um bocado demais usar tecnologia para poupar pessoal e depois querer poupar na tecnologia. e o Banco está cá para fazer dinheiro, e não para perder! Claro, obvio. Isso é perfeitamente legitimo. Desde que as medidas para fazer dinheiro não dêm a volta e se transformem em medidas de perder dinheiro: Gestor: Oh pá! Isto nao pode ser, estamos a ter custos muito grandes com o call center. O que se passa ? Operacional: Temos precisado de mais pessoas para dar resposta aos pedidos. É que as pessoas esquecem-se das passwords e enganam-se frequentemente... Gestor (que anteriormente tinha feito uma cara inteligente mas agora volta ao normal): Entao o que é que se pode fazer para garantir que as pessoas se lembram da password e se enganam menos ? Hmmmmm..... JÁ SEI!!! Em vez de passwords com numeros e letras, fica só com letras !!! MUITO mais simples!!! Ah, pois é mais facil de existirem ataques.... JÁ SEI!!! Faz-se um teclado virtual onde se baralham os numeros, e assim já nao acontece as pessoas digitarem o codigo tão rapido, com os erros consequentes. Reduzimos os custos de call center e ainda por cima damos a "tanga" à comunicação social que isto foi feito para "aumentar a segurança"... Criminosos: Nyah nyah nyah! (esfregando as mãos de contentes...) Cumprimentos Mario Valente |
| |
| | fica só com letras !! ..."fica só com numeros", obviamente... C U! -- MV |
| |
| | O Besnet nao tinha so ja numeros na password? Pelo menos a minha tinha... e ja eram 6 digitos. Quanto as validacoes... o bes tem uns codigos alfanumericos que sao dados ao cliente num cartao e que servem para validar as operacoes mais significativas...... Penso que o sistema e fiavel e muito bom... muito melhor que o da caixa .... que tinha as passwords alfanumericas. Cristo.. passwords alfanumericas ja me chegam as de root. Edgar Durao >> Pirlas |
| |
| | É positivo que surjam medidas que visem a criação de sistemas de online banking mais seguros, mas penso que todos eles (.pt) se encontram mais ou menos vulneraveis. É complicado ter sistemas seguros quando do lado do cliente existe na maior parte das vezes um total desconhecimento de regras de segurança, veja-se o caso da dcom vuln, que foi preciso 1 worm rebootar uns milhares de pcs para o comum dos cybernautas de aperceber que o "windows update" não estava la apenas para efeitos de visual. Portanto na minha opinião com teclados virtuais ou não vai tudo dar ao mesmo, a partir do momento em que a maquina do cliente esta "owned", é uma questão de o "intruder" ter ou não "skills" para executar a tarefa pretendida. Quanto ao facto que ja foi debatido anteriormente, em relação ao teclado virtual, permitir um visionamento facilitado do que estamos a inserir, concordo plenamente, basta algo como um vnc com pequenas alterações instalado na maquina do utilizador, e alguma paciência por parte do intruder. Existem sistemas seguros sem duvida agora so resta saber se os utilizadores estão dispostos a sacrificar a simplicidade (e preço ?) dos actuais em merito da sua propia segurança. P.S ( a mim cheira-me que estas medidas tiveram relação directa com a dcom vuln, e que alguêm fez dinheiro para umas ferias numas ilhas exoticas) |
| |
| | Na minha opinião, a opção pelos teclados virtuais foi no mínimo infeliz. Se por um lado se evitam os keys loggers, por outro lado a opção de mudar o código para apenas 6 digitos pode aumentar bastante a segurança para os utilizadores. É que 6 digitos convidam a coisas como datas de nascimento. Podem argumentar que só um utilizador muito estúpido usaria um código destes mas as estatisticas confirmam exactamente isso: há *muitos* utilizadores muito estupidos! :( Basta ver o que acontece com os pins de multibancos, telemóveis, etc. Um código com 10 caracters e um código de segurança com 12 (antiga solução na CGD) eram muito mais eficazes e mais dificeis de adivinhar por um "amigo". Em relação à questão do wap e da tv interactiva, no serviço da CGD já existia um código de 6 digitos para o serviço telefonico. Esse código poderia ser usado nestes canais e as funcionalidades deviam ser reduzidas a não ser que fosse usado o código de segurança. Este sistema de teclado virtual é uma asneira a nível de usabilidade (a forma como é apresentado devia ser repensada, pois não faz sentido apresentar uma input box que induz ao uso do teclado) além de facilitar a quem esteja por perto veja o código. Isto é equivalente a que os campos de password que tipicamente usam **** para esconder os códigos, passem a mostrar os valores em claro. Muitissímo grave para a segurança é o caso do BES: ao não protegerem a página de entrada com SSL, não autenticam o servidor e como tal os seus clientes estão sujeitos a ataques de web spoofing... :( Só mais um pensamento final: se os bancos estão tão seguros da segurança que implementam, porque é que não assumem as responsabilidades por eventuais ataques mesmo quando a culpa não é do cliente? (Mais uma vez o exemplo do BES: como pode o cliente ter a certeza que não está a inserir o seu código numa página forjada? Quem assume a responsabilidade se um cliente deste banco for lesado porque o BES insiste na asneira? Infelizmente (injustamente), segundo o contrato é o cliente...)
"There are 10 types of people in the world: the ones who understand binary and the ones who don't." |
| |
|
| | por outro lado a opção de mudar o código para apenas 6 digitos pode aumentar bastante a segurança para os utilizadores. huh ? É que 6 digitos convidam a coisas como datas de nascimento. Yeap. Mas com alfannumericos ninguem te impedia de colocar a data de nascimento. Mas para isso necessitam do numero de contrato do cliente, tambem introduzido via teclado virtual. Um código com 10 caracters e um código de segurança com 12 (antiga solução na CGD) eram muito mais eficazes e mais dificeis de adivinhar por um "amigo Neste caso (CaixaDirecta Online) 6 numericos e 12 alfanumericos. Em relação à questão do wap e da tv interactiva, no serviço da CGD já existia um código de 6 digitos para o serviço telefonico. Esse código poderia ser usado nestes canais e as funcionalidades deviam ser reduzidas a não ser que fosse usado o código de segurança. Exacto. O codigo que existe no Wap é numerico. Portanto, não consigo compreender a argumentação efectuada. Por um lado é mau, por outro deviam usar numérico. Certo, pois ... As funcionalidades são reduzidas; não podes transferir para contas internas X e para externas Y. Isso não foi alterado. Isto é equivalente a que os campos de password que tipicamente usam **** para esconder os códigos, passem a mostrar os valores em claro. ahhh.... pois ... se os bancos estão tão seguros da segurança que implementam, porque é que não assumem as responsabilidades por eventuais ataques mesmo quando a culpa não é do cliente? Porque pode haver um marmelo que escreve o codigo de utilizador e password num papel. E saber isso ? ... Paga o justo pelo pecador, sempre foi assim. E se for comprovado ataque, o banco responsabiliza-se por isso, fique descansado.
//vd |
| |
| | por outro lado a opção de mudar o código para apenas 6 digitos pode aumentar bastante a segurança para os utilizadores. huh ? Ops! É uma gaffe. Como se pode perceber pelo resto do texto, onde se lê aumentar, deve-se ler diminuir. Exacto. O codigo que existe no Wap é numerico. Portanto, não consigo compreender a argumentação efectuada. Por um lado é mau, por outro deviam usar numérico. Certo, pois ... O que eu disse é que na versão wap deve ser mantido o código de 6 caracteres tal como tá e como funcionalidades reduzidas. Não estou a ver onde é que fui âmbiguo mas está bem, fica na tua. ahhh.... pois ... Com esses argumentos monossilábicos, vais longe vais... Ficamos todos na mesma. Explica lá melhor porque que é que a minha frase mereceu o teu irónico "ahh... pois..." Porque pode haver um marmelo que escreve o codigo de utilizador e password num papel. E saber isso ? ... Paga o justo pelo pecador, sempre foi assim. E se for comprovado ataque, o banco responsabiliza-se por isso, fique descansado. Qual é que foi a parte de "mesmo quando a culpa não é do cliente" é que não percebeste? Essa do paga o justo pelo pecador serve para quem não está intressado em dar um bom serviço ao cliente. E muito menos se aplica a questões de justiça... Quanto à parte do ficar descansado porque o banco responsabiliza-se, deve ser para rir. Apesar de a maioria dos casos de queixas contra banco ficar bem resolvida, existem muitos casos de injustiça e não sou eu que estou a exagerar. Consulta a DECO. Ouve os inspectores da PJ que se queixam que os bancos muitas vezes não tomam as medidas de segurança necessárias. Se investigares um pouco, até encontras uns bancos onde é possível "recuperar" as passwords de acesso ao homebanking por telefone apenas com dois ou três dados que podem facilmente ser obtidos.
"There are 10 types of people in the world: the ones who understand binary and the ones who don't." |
| |
| | Explica lá como é se faz o spoofing?
tirado da página www.bes.pt <form method="post" id="besx" name="besx" action="https://bes-sec.bes.pt/wclientes/axb/tpl.asp"> Se não verificares o certificado, então sim vejo spoofing. Mas isso tb terias se a página original fosse logo carregada em HTTPS.
Existe muito gente por aqui a falar do q não sabe. um Dia há (espera-se) de se saber a razão desta alteração em massa dos homebankings em Portugal. Esta alteração tb não me agrada muito, mas enfim mais um facto da vida. Pelo q sei os bancos q implementaram estas medidas tem tido muitas queixas de clientes. |
| |
| | web spoofing do site, não é alterar a página. Muito mais simples que instalar um keylogger é alterar o hosts da máquina da vitima para que um site vá parar a um outro ip. Enfim, estou a lembrar pelo menos de mais uma meia dúzia de formas. Um certificado digital não serve só para cifrar a comunicação. Serve também para autenticar os intervenientes. Duh. Existe muito gente por aqui a falar do q não sabe. Ui, se há...
"There are 10 types of people in the world: the ones who understand binary and the ones who don't." |
| |
| | E então? Teu raciocionio: a página q pede o número de adesão está em claro ergo pode ser "spoofada" Porque é que não podes fazer o mesmo logo na página inicial q estava logo em https?
Um certificado digital não serve só para cifrar a comunicação. Serve também para autenticar os intervenientes. Duh. Correcto. Logo se "spoofas" alguém é óbvio a autênticação está comprometida na medida em que vai falhar Q me digas q fazes um man in the middle attack pq não existem certifcados de cliente é outra coisa. Mas meter uma página q te pede dados iniciais em http (o crime hediondo q apontas) ou https, sofre exactamente o mesmo mal. Se tu não reparas na validade do certificado de servidor estás sempre queimado. Quer seja na página inicial quer seja onde for. continuo sem prceber a tua questão. Estou de espírito aberto, se me pudesses esclarecer agradecia. |
| |
| | Ok, foi agora ver o site do BES e reparei que eles já corrigiram a situação. O ataque que eu estava a descrever podia ocorrer até à alguns dias atrás, quando o número de adesão e o código eram ambos pedidos numa página em http que fazia o submit para https. Dai a razão de não nos estarmos a perceber um ao outro. :) Estavamos a falar de coisas diferentes. Mesmo assim, é lamentavel como é que uma falha tão básica esteve tanto tempo no ar. Aliás esta é uma falha que ainda podes encontrar noutros sites do grupo BES como por exemplo o www.pmelink.pt se bem que o mais grave era mesmo o homebanking.
"There are 10 types of people in the world: the ones who understand binary and the ones who don't." |
| |
| | Mas que raio !! Porque será que em 80 posts ninguem perguntou porque é que TODOS os bancos mudaram os acessos na mesma semana ?!?! Pensem....
«Nunca discutas com um idiota. Ele colocará a conversa ao seu nível e bater-te-á pela maior experiência» Mark Twain |
| |
|
| | Não me parece que estas soluções de teclados virtuais e afins sejam muito vantajosas... Alguem referiu receber one time passwords por sms no telemóvel... Talvez essa solução não seja muito viável, mas ocorreu-me outra em algo semelhante. Já se falou nos ditos cartões com códigos que são pedidos em operações de maior valor... Porque não usar um sistema parecido para os logins? A password poderia ser de 8 caracteres sendo 6 deles escolhidos pelo utilizador e os últimos dois seriam do cartão. Para aumentar a segurança poder-se-ia garantir que o mesmo numero do cartão não era pedido duas vezes... É perfeitamente viável ter um cartão do tamanho de um cartão de crédito com 100 números. Supondo um utilizador compulsivo que recorresse frequentemente ao homebanking não acredito que fizesse mais de 100 logins por mês. E o custo de o banco fazer o dito cartão e enviar por correio (por exemplo junto com o extracto bancário poupando nos portes), seria prefeitamente viável.
Outra medida de segurança que eu gostava de ter era receber um email com uma notificação sempre que fosse feita uma operação na minha conta ou cartão de crédito. Penso que em muitos casos seria possível cancelar a operação se detectada a tempo (por exemplo transferências bancárias sabe-se que demoram sempre uns dias se for entre bancos diferentes). E mesmo que não fosse possível cancelar seria detectada a intromissão atempadamente. Obviamente que isto deveria ser uma opção facultativa e deveria ser possível definir um valor mínimo para o trigger se assim desejado.
Claro que isto pressupõe que o atacante não tivesse acesso ao email da pessoa, mas quem diz email, diz sms, e o próprio servidor de mail poderia estar configurado para enviar sms... ou qualquer outra solução semelhante.
Talvez também não fosse má ideia formalizar estas propostas com uma boa dose de marketing à mistura e apresentar aí num banco qualquer e ver se ganhava "umas férias numa ilha qualquer" como alguém sugeriu... Mas imbuído de um espírito "open source" optei por partilhar os meus pensamentos aqui convosco enquanto não há patentes para este tipo de coisa na europa... Cumprimentos, Bruno Gravato.
|
| |
| | Saudações, [sarcasm] o teclado virtual definitivamente deixa-me bastante descançado em relação ao homebanking.. [/sarcasm] sniffing the *stupid* virtual keyboard in 5 easy steps: 0 - code worm with universal offsets for the badtimes.c exploit 1 - deploy keylogger with Internet Explorer CONTRATO submit box intercepting COM handler 2 - wait 4 months 3 - make new worm to harvest results 4 - make easy money and be known for another guy who raped SIBS ..> no comment
|
| |
| | Desculpem talvez alguma ingenuidade, mas depois de se se conseguir acesso a uma conta alheia de homebanking, como é que se faz para retirar dinheiro sem deixar rasto do respectivo destino?
Assim à primeira vista não me parece trivial, não é o mesmo que ir ao multibanco retirar as notas e desaparecer. Fazer compras também deixa rasto, transferências interbancárias também não podem ter destino anónimo num país obscuro qq, ou podem?
Há por aí alguém com experiência? :-) :-) :-) |
| |
|
| | aconselho a leitura dos seguintes: selling_cc+cvv2_cards_to_drug_lords_in_five_easy_steps.txt setting_up_a_dead_mailbox_to_receive_ilegit_goods_in_five_easy_steps.txt :p desculpem a ironia, mas quem está curioso sobre o assunto, dê um saltinho à EFnet e passado umas semanitas de certeza que conhecem um kiddie qualquer que paga tudo com CC's, seja nos USA ou nao..
|
| |
| | Pois, isso é uma resposta a não responder... |
| |