Mekkora kamu ez, Angliaban mar 7 (het!!) evvel ezelott is mukodott ez..."nem magyar sajatossag" nem a lopikulat nem! A vilag kulturaltabb felen ez mar a mindennapok resze.
Ilyen oskori dinoszauruszokkal mint az OTP soha nem fog ez menni...koltenei kene ra es ez nem tetszik nekik

De mi lenne a megoldás, mert ez alapján maga a zinternetes vásárlás nem biztonságos.

Khm, de, vannak külföldi webshopok (főleg amerikai), ahol az ő hülye felületükön adod meg a kártya adatokat... erről beszélek. Van egy tippem, hogy a csalások kb 99%-a az ilyeneken történik. Szerencsére Magyarországon ezzel még sehol nem találkoztam. Tessék egy példa, ahol bizony simán az oldalon lévő formon várják a kártya adatokat. (Hm, csak nálam rontja el a PNG-t most a PH! feltöltéskor? ...mindegy, olvasható így is.)

Mondjuk csinálsz egy számlát csak netes vásárláshoz és beállítasz a bankodál napi limitet.

Megy az [link]

Mi is az otp-ét használjuk, de jelen állás szerint a mi felületünkön kell bekérni adatokat, amit az otp-nek kell továbbítani (jelen doksi alapján - nincs technikai dokumentáció még!)

Azt nem értem, hogy ezeket miért nem az OTP saját felülete kéri be...

Remélem még átgondolják ezt

Ez kb az OTP webkártya, nem? ...csak annyi pénzt teszel át rá, amennyiért épp vásárolni akarsz. (nem vagyok OTP-s, csak másoknál láttam ezt)

#19 sphe: Igen, de arról sajnos nem volt adat a cikkben. Ha valaki tudja, akkor ugyan így kiszámolható.

Ezt nem értem, mert pl. a Telekomnál fizetésnél átirányít az OTP-hez.

És ez hogy oldja meg a 2FA problémát, amit írtál? Így max kevesebb pénzzel tudnak lenyúlni, cserébe fizethetsz még egy számlavezetési díjat + esetleg még utalási díjat is, mert a vásárlós számlára valahogy pénzt kell tenned a normál számláról.

Egyébként sem értem teljesen a dolgot. Ha lehallgatják az SMS forgalmat, mégis honnan fogják tudni, hogy az egy banki fizetéshez egy token kód, és pont az enyém?
Max akkor, ha a támadó konkrétan tudja, hogy mit csinálok, és milyen számra várom a kódot. Ha pedig ezt a 2 dolgot tudja, akkor konkrétan bent van a gépemen és a telefonomban. Ebben az esetben már tök mindegy, hogy titkosítva jön az SMS vagy sem.

Nem kell minden baromságot leszedni store-ból, nem kell minden hülye linkre rákattintani, és kártya adatot meg csak banki oldalon adunk meg. (természetesen az URL-t is ellenőrizni kell minden esetben) Ezzel kb 99%-át ki is védtük a csalásoknak, támadásoknak.

Én se vagyok OTP-s.

" Így max kevesebb pénzzel tudnak lenyúlni,"

Így van, kockázatcsökkentés. Így már nyugodtan vásárolhatsz neten, picit drágább, de megéri. Évi kb. 5000 forintba kerül.

Azt, hogy hogyan oldják meg, hogy kijátszák van pár módszer és újakat is kitalálnak.
Nemrég találtak ki ezt:

Új trükkel nyúlhatják le az egyszer használatos jelszavainkat

Jó lett volna, ha kiderül teljesen egyértelműen... Ez érinti ezt a 5000Ft-os érintés nélküli kártya dolgot is, vagy azt nem?

Igen, általában nem irányít át, hanem a webshop oldalán kell megadni az adatokat, viszont a háttérben végül a gateway-nek küldi az adatokat, maga az oldal nem tárolja őket. Nem tudom konkrétan ennél az oldalnál hogy megy. Stripe látványos szokott lenni, amikor azt használják, a többi nem feltétlenül.

Direkt azért nyitottam ki, látszik, hogy az adatok nekik mennek. Innentől teljesen mindegy, hogy elvileg ők csak tovább adják, a lehetőségük megvan a tárolásra.
Ezért sokkal jobb az, ha átdob a bank oldalára, és ott adom meg az adatokat... így a webshop csak annyit kap meg, hogy sikeres a fizetés, a többi adat át sem megy rajta.

Bocs, de amit írtál az igencsak nagy ferdítés. Az hogy a 2 faktor rosszabb, mint az egy, az nettó baromság. Az általad bevágott részlet sem azt mondja, hogy szar az sms, hanem hogy mást javasolnak, de nem azért, mert rossz, hanem mert kényelmetlen. Pl a Google Auth program használata mérföldekkel kényelmesebb és gyorsabb, vagy pl a Revolut ujjlenyomatazonosítása. SMS-t sem lehet csak úgy kijátszani malware ide vagy oda akármit linkelsz be, mert pl anno amikor még a Budapest Bank-nál voltam, akkor az SMS-ben kiküldött kód második faktor gyanánt 30mp-ig élt, és utána inaktívvá vált, szal elkaphatja akármi, semmit nem fog érni vele. A másik, hogy az én gépemen levő malware mi alapján kerüli meg a 2 faktort? Főleg hogy a 2 faktort nem a gépem igényli, hanem a szolgáltató, tehát tökmindegy mivel van fertőzve az én gépem.

Amúgy a linked: "Szerencsére ennek a technikának is megvannak a határai: a támadók "csak" az értesítés terjedelmének megfelelő szöveghez férnek hozzá, így nem garantált, hogy ez a rész tartalmazza az egyszer használatos jelszavakat."

No meg aki egy appnak minden hozzáférést megad, az meg is érdemli.

[ Szerkesztve ]

"Főleg hogy a 2 faktort nem a gépem igényli, hanem a szolgáltató, tehát tökmindegy mivel van fertőzve az én gépem." Ez így nem igaz. A szolgáltató téged kérdez, hogy mehet-e az utalás, vagy belépés vagy valami.
Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be. Te is látod, hogy beléptél, csak a kamu oldalon. Utalásnál meg amit elküldesz címet, azt ők kicserélik és máshova más összeget küldenek. A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik.
Jó esetben olyan ellen védelem van, hogy SMS-ben küldött kódot ellopják és azzal lépnek be. Jó esetben ilyenkor a rendszer érzékeli, hogy ugyan azzal a kóddal 2 helyről próbáltak belépni és azonnal tilt. Ez igazából +1 faktor. De ha a te géped meg van fertőzve akkor a hely is stimmel.
Pont ezért nem nagyon lehet mindent kivédeni, mert ha a te gépeden ülnek, akkor igazából bármit ki lehet játszani és csak a vírusirtó véd meg. Lehet akármilyen authentikátorod.

"Minden authentikálással az a gond, hogy ha valaki a gépeden/telefonodon ül akkor ő kapja meg az kérdést, hogy mehet-e az utalás. Eljutsz egy kamu bankos weboldalra, mert automatikusan átirányított a malware, benyomtad az azonosítódat, majd ezt ők automatikusan a saját felületükön használják és ők lépnek be."

A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít.

"A kódot pedig ugyan úgy szépen begépeled, ők ezt felhasználják és kész. Te teljesen mást látsz mint ami valóságban történik."

Akkor újra. Az utaláskor kapott sms kód csak 30 mp-ig él, és azzal a kóddal te csak az általam kért utalást vagy egyéb dolgot lehet jóváhagyni. Azzal a kóddal más csinálni, pl belépni, más utalást indítani stb nem lehet! Arról nem beszélve, hogy eddig akárhány banknál voltam, minden műveletről küldtek értesítést. És akkor még nem említettem, hogy olyna is volt, hogy nagyobb összeg leemelésekor telefonon felhívtak, hogy ez tényleg én vagyok, és jóváhagyhatják. Amúgy meg az én gépemen ülhetnek, mert a 2 faktor lényege az, hogy több eszköz hitelesítése szükséges, úgyhogy ülhetnek a gépemen nyugodtan...

Ha a browseredben csücsül a malware, ami tartalmaz egy tanúsítványt is a másik oldalra, akkor se a browsered nem visít, se te nem biztos, hogy észreveszed.
Ezeket rendszerint már nem emberek pötyögik, hanem automatán sw csinálja és figyeli.
Innentől annak a 30 mp az egy örökké valóság+1.
Te ami kódot kapsz azt már az ő átutalásukra kapod(kapják), nem arra amit te írtál be, mert te a kamu oldalon pötyögsz.
Mind1, nyilván nem az itt lévőek lesznek a célközönség, aki figyel ezekre, hanem egység Gizi aki nem nézi se az átirányítást, se a böngésző címsorát, és nem is Brave browsert használ. Itt nagy tömegekre mennek, pár úgyis bejön. PH közösség tipikusan nem reprezentatív ebből a szempontból.

El olvasva a linkelt cikket, az akkor működik, ha valaki van olyan hülye, hogy ugyanazon a telefonon jelentkezik be a pénzügyi alkalmazásba, amire a token fel van rakva, vagy amire az SMS érkezik.

Ha mindkét faktor ugyanazon a készüléken van, akkor az egész semmit nem ér.

És ha jól gondolom, akkor a többi cikk is ilyen lehet, amire hivatkozol, hogy a 2FA feltörhető.

Ha így nézzük, akkor a harvderes token, csak annyival jobb, hogy fizikailag külön eszköz. Ha akarnád sem tudnád a két hitelesítést egy eszközben használni.

"Így van, kockázatcsökkentés. Így már nyugodtan vásárolhatsz neten, picit drágább, de megéri. Évi kb. 5000 forintba kerül."
Ez azért jóval több is lehet. Számlavezetési díj, utalás számlák között, bankkártya éves díja, a kényelmetlenség, hogy mielőtt vásárolsz fel kell tölteni a számlát. Ha valaki arra nem figyel, hogy a 2FA két külön eszközön legyen megvalósítva, akkor biztos nem fog 2 számlát és két bankkártyát használni.

Shyciii #38 "A kamu oldallal az a gond, hogy a címsorban látod, hogy nem a megszokott oldalon vagy. A másik, hogy a Chrome, de szerintem a Firefox-ban is van már olyan védelem, hogy egy tök más átirányított oldalra kerülsz, vagy kamu oldalon vagy amit már egyszer bejelentettek, akkor visít a böngésző. A Brave browserem mobilon meg pláne azonnal visít."

Ahogy írtad is, csak akkor jelez, ha bejelentett támadó / adathalász a weboldal. Ahhoz, hogy valaki bejelentse azért eltelik nem kis idő, és addig jó pár embert le lehet nyúlni. Az utóbbi időben jó pár oldallal ami nagyon jól meg volt szerkesztve. Sok ráadásul magyarul volt (OTP, Posta, Telekom), így nem hiszem, hogy túl sok bejelentés érkezett volna, hogy "heló, felnyomták az oldaladat, és most épp phising oldalt üzemeltetsz, jó lenne ha csinálnál valamit".

[ Szerkesztve ]