Fórumok
https://kepkuldes.com/images/e9b516db95b40b08c733cfeb5d8aca35.png
A képen is látható az, hogy bekérik a regisztráció végén az email címét és a jelszavát, ugyanakkor odaírják, hogy ők ugyan ezeknek a birtokában sem fognak senkit sem megkeresni. Amennyiben nem keresnek meg senkit sem, minek nekik a jelszó? Egyáltalán ez etikus eljárás?
Hozzászólások
lol, ez meg milyen adathalasz site?
Nemed? Férfi Nő
El vannak maradva :Đ
"Normális ember már nem kommentel sehol." (c) Poli
Réges-régen a Facebook is így működött, mi ezzel a baj ;-)
arcpalma
freemail [beta] XD
Szerintem amúgy csak 2008 óta nem nyúlt hozzá senki :D
Szerintem olykor hozzányúlnak, csak nem sok köszönet van benne...
Van egy rendszerem, ami a történelmi e-mail címemet töltögeti időzítve POP3 protokollon.
...nem azért, mert használom, hanem azért, mert használtam...
Ez egész tűrhetően működött, míg a rendszerem által 2021. május 17. 10:18 és 14:56 között jelzett leállást követően a POP3 protokollon keresztüli levélletöltést követő törlés nem történik meg.
Ergo bármi jön rá, az megjön újra és újra, amíg le nem törlöm a webes felületükön.
Megírtam nekik a problémám általánosan, visszakérdeztek a konkrét e-mail címre, azóta csönd van.
Írtam nekik többször is, de válaszra sem méltatnak.
Tudom, hogy ennyit nem ér, de azért elcsodálkoztam, hogy ilyen mértékben izélnak az ember fejére... kuka a rendszerük az ún. ügyfélszolgálattal egyetemben.
Igazándiból jobb lenne, ha inkább nem erőltetnék ezt a "szolgáltatást"...
A freemail régóta egy hulla. Semmilyen érv nem szól mellette, annál több ellene.
Beszédes, hogy spam jött arra a fiókomra is, aminek a címét soha senkinek nem adtam meg.
A Holdon kellett élni az elmúlt évtizedben űrhomokba dugott fejjel, vagy kurvára beleszarni mindenbe, hogy valaki pont freemail fiókot hozzon létre magának. Az meg még durvább, ha valakinek van, ismeri, szopja nap mint nap, és mégis tovább használja.
Hátizsákosok bohóckodása. Gondolom fel lehet venni rá valami támogatást, így kamuprojektként lehelik belé a fingot.
Annyira gáz, hogy már a közigazgatásban is ciki lenne.
Igen, a Freemail mára sajnos csak egy vicc.
Magam részéről nem használom, de a nagyon régi címemet töltögeti... fentiek alapján már nem sokáig.
Nem a királyi matáv vette meg még a 2000-es évek közepén? Azaz már régóta nem a c3 sorosista bérenc fedőszervezet üzemelteti. Így állami csecsen lógás sem áll fenn már régóta. Vagy?
Közben látom h. new wave media group, azaz a gázszerelőé...
Freemail 2.0
Mondjuk ha jól látom már fizetős. :D Minden beleölt adóforintot megért. ;)
Addig volt jó, amíg a c3 üzemeltette.
Emlékeztek a modemes betárcsázós korszakra? :-)
Akkor tényleg adott valamit, adott egy free mail-t a tömegeknek, akiknek nem volt internete. A webmail korszak beköszöntével lett aztán egyre szarabb.
Jogilag lehet, de semmilyen más szempontból nem. Manapság ilyenre OAuth (vagy egyéb hasonló delegáció) a megfelelő eszköz.
soha semmilyen szinten nem volt indokolt az account jelszavának bekérése az ügyféltől egy 3rdparty oldalon.. :)
amugy a gmail is bekeri a jelszavad a masik (pl. ceges) fiokhoz, hogy tudjon annak a neveben is kuldeni...
Sot ha a desktopon beallitod a levelezo kliensben akkor oda meg az osszeset be kell
Anno néhány (külföldi) online házipénztár jellegű alkalmazásnál működött hasonlóan a dolog, csak ott a netbank felhasználónevet és jelszót kérték az integrációhoz. Aztán a HTML-ből próbálták meg kinyerni az egyenlegét az embernek. Nekem már akkor is volt 2FA rajta, szóval nem igazán értettem, hogyan tudott volna működni ez az én bankommal, de nem is akartam kideríteni. Elég népszerű alkalmazás volt pedig, de nem értettem már akkor sem, hogy tényleg ilyen könnyen megadják az emberek a hozzáférésüket bárkinek?
Mikor jön a "Visa 3D (??) Secure" (kvázi 3FA) netes vásárlásnál, és átirányít egy félig phishing-szagú oldalra, ahol nem elég h. az sms-ben kapott kódot adjam meg, de a netbank-JELSZAVAMAT is(!!), olyankor mindig megfagy bennem a szar egy kicsit. Elolvastam az Erste oldalán a tájékoztatót, es valóban meg kell adjam a netbankos jelszavamat... Nem értem mitől szekúr ez, de fázok tőle nagyon.
https://www.myerste.hu/hu/myerste_lakossagi/bankkartya/bankkartya-haszn…
Az Internetes vásárlás ellenőrző SMS-kód és az E-csatorna jelszó megadására szolgáló oldal minden esetben az Erste Bank saját oldala, melyre a kereskedői vásárlás során irányítják át.
Csinálnék egy hevenyészett közvéleménykutatást, h. vajon hány ITSEC ember tudná eldönteni egy tetszőleges IFRAME-be töltött oldalról, h. az most a bank legitim adatbekérő oldala, v. profi phishing.
A 3DS-nek ugye az a célja, hogy a kártyaadatokon túl azonosítson téged, mint ügyfelet. Erre az egyik lehetőség az, hogy kapsz egy egyszer használatos kódot valahogy, és azt -azonosítás után- megadod a banki oldalon. A másik lehetőség az, hogy kapod ezt a kódot egy okos eszközre, azon azonosítod megadat, és az eszköz küldi vissza a kódot, meg azt, hogy "rendben, ez tényleg RicsiP".
Lehetne persze úgy is csinálni, hogy a normál netbankba érkezne üzenet, és az abban található linkre kéne kattintanod ahhoz, hogy a 3DS jóváhagyás megtörténjen - de ezt azért a fél maréknyi SMS-es ügyfélért nem fogják megcsinálni.
De érted, a korlátlan netbank hozzáférés jelszavát elkérni egy szaros ezer ft-os online vásárlásért, ráadasul 1 olyan oldalon ami csak arra var h. vmi fasszopó hekker kipécézze magának phishingre, és utána tizen milliókat ellopjon!
A normál folyamat az a kereskedői oldal redirect a fizető oldalra, az redirect a 3DS-es auth oldalra, az redirect vissza a fizető oldalra, az redirect vissza a kereskedőhöz.
Mondj rá jobb megoldást, ami az ügyfelet a bank felé egyértelműen, nem a kátyaadatokkal azonosítja, és sem a kereskedő, sem a fizetési szolgáltató (kártyaelfogadó bank) nem kapja meg azt egy vásárlás során. Mindezt úgy, hogy erre csak egy legacy (sms) csatora létezése miatt van szükség. Bónuszként ennek a költségét semmilyen módon nem lehet az üf.-re hárítani.
Ugye a netbankba belépés _is_ 2FA-s, vagy push, vagy sms-es kód beírásával megy, illetve az ottani tranzakciók is csak 2fa-val megerősítve mehetnek csak, ergo ha a jelszavadat el is kapja valaki, a 2fa (sms, push) miatt tranzaktálni nem fog tudni. Nomostan ha azt mondjuk, hogy ne egy erre kihegyezett oldal legyen, hanem a netbankba belépve lehessen jóváhagyni a tranzakciót, akkor az üf. máris két sms-t kap, az egyik a tranzakció jóváhagyó kódja, a másik a netbankos belépési kód - meg fog kavarodni. Ha meg azt mondod, hogy a tranzakcióengedélyező oldalra legyen másik jelszó, akkor... Szerinted hány üf.-nek lesz az ugyanaz, mint a netbanki belépésé? És mennyivel növeli az meg a valós biztonságot, hogy nem egy, hanem két jelszót kell az üf.-nek kezelnie?
Röviden, velősen megfogalmazva: el kéne felejteni az sms-es bohóckodást, de nagyon rövid időn belül, mert csak a copás van vele, úgy üf. mint banki oldalról.
One time password? (3DS generálja és küldi SMS-ben)
3DS jelszóból random választott 3 karakter?
Lehet, hogy nem értem a kérdést, de ne csináljunk már úgy, mintha csak és kizárólag ezzel az egy jelszóval lehetne azonosítani!
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
"One time password? (3DS generálja és küldi SMS-ben)" - A tranzakciót jóváhagyó kóddal azonos csatornán érkezne, úgyhogy nem felel meg másik faktornak, úgyhogy valami más javaslat?
Mondom, nem tiszta, hogy mi a kérdés. Hány faktorra van szükséged? A kártyaszám mellett az SMS-en érkező OTP a második. Ez elég szokott lenni más bankoknál, régebben az Ersténél is elég volt.
Azt mondod, hogy az Ersténél valami miatt két faktor már nem elég, kell egy harmadik is?
És ha kell egy harmadik, akkor miért nem lehet a kötelező SMS-es OTP bevezetése előtt használt 3DS jelszó teljesen vagy belőle random karakterek a harmadik faktor, ami az előző hozzászólásomban szintén szerepelt?
Vagy mondjuk a netbankban előre generált authorizációs kód, amit netes vásárlás előtt leírok egy kis papírcetlire aztán beírom?
Miért csinálsz úgy, mintha ez a harmadik faktor kizárólag a netbank belépési jelszó lehetne? Vagy miért csinálunk úgy, mintha egyáltalán kellene harmadik faktor, amikor a többi bank boldogan megelégszik csak kettővel?
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
A 3DS egy egyszer használatos kódot és outband auth-ot igényel. Azaz a kártyás tranzakciótól független csatornán kapott kódddal kell authentikáció után jóváhagyni a tranzakciót. Az auth jobb esetben mobilbanki app és annak az authentikációja (jelszó vagy biometria), és push üzenetben "érkezik" a jóváhagyási kérés - rosszabb esetben sms-ben kapott kód és netbanki login, még rosszabb esetben egy gyenge jelszóval (pin) történő azonosítás+sms-ben érkező kód.
Az, hogy _hogyan_ érkezik, az gyakorlatilag mindegy, az viszont nem, hogy azt milyen erős védelemmel "hagyod jóvá". A jelszó erősebb, mint egy csak numerikus karakterekből álló pin, ennyit mondtam.
Pedig van ilyen megoldas, az en elozo es aktualis bankomnal is volt egy PIN, amit a netes vasarlaskor be kellett utni, es nem egyezhetett a netbank belepesi jelszavaval, mivel csak szamok lehettek benne.
Tehat RicsiP eseteben az online vasarlashoz kell a bankkartya cvc, az SMS-ben kapott kod es a netbank jelszo. Nalam meg az elso ketto + a PIN.
"volt egy PIN, amit a netes vasarlaskor be kellett utni, es nem egyezhetett a netbank belepesi jelszavaval, mivel csak szamok lehettek benne." - Azaz gyenge auth, mint másik faktor... Oké, a Cikibanknál anno a jelszóban a kis- és nagybetűket nem különböztették meg, de egy 2FA-t ne bízzunk már egy szimpla PIN-re. Ahol így csinálják, ott érdemes elgondolkodni azon, hogy a biztonságot mennyire veszik komolyan...
Miert is? Tudnod kell: a kartya CVC kodjat, az SMS-ben kapott egyszeri, rovid ideig ervenyes kodot es a PIN-t. Annyi a kulonbseg, hogy nem a netbank jelszavadat adod meg, amivel minden mashoz is hozzafersz, hanem az altalad elore beallitott PIN-t, ami csak online fizeteshez hasznalhato.
A PIN, azaz egy n számból álló kód nem igazán tekinthető erős azonosításnak - sőt. Ezzel a 2FA-d egyik "lába" lesz kifejezetten gyenge - de a másik sem igazán erős, mert ott is csak számokból álló kódod van, ha jól tévedek.
"nem a netbank jelszavadat adod meg, amivel minden mashoz is hozzafersz" - önmagában a netbankos user+pw nem elég, oda is kell a 2fa, azaz az érkező sms-ben szereplő kóddal jóvá kell hagyni a belépést és valamennyi tranzakciót, nem?
Nem feltétlenül.
Ugye nemrég kötelezővé tették a 2fa-t belépéskor is, de mindegyik bankom felajánlja, hogy ha megbízom ebben a számítógépben, akkor elmenti kis sütiben, hogy ez megbízható, és akkor a második faktor az nem az SMS, hanem az, hogy ott a böngészőben a süti.
Tranzakciókat jellemzően nem kell 2fa-val jóváhagyni, csak akkor, ha új helyre akarok utalni.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
"mindegyik bankom felajánlja, hogy ha megbízom ebben a számítógépben, akkor elmenti kis sütiben, hogy ez megbízható"
"Tranzakciókat jellemzően nem kell 2fa-val jóváhagyni, csak akkor, ha új helyre akarok utalni"
Bankja válogatja - nekem minden esetben kell 2FA a loginhoz, és a tranzakciókhoz - és ez így van jól - a pécé, még akkor is, ha nagyon secure módon kezelem, _önmagában_ nem egy megbízható eszköz, pont az a 2FA lényege, hogy outband csatornán történik a jóváhagyás, az adott tevékenységtől független útvonal/eszköz használatával.
Az SMS-ben érkező kód 6 számjegy, minden vásárlásnál más, 5 percig érvényes, és egyszer sem ronthatod el. Ez az SMS elfogása nélkül teljesen esélytelen. Persze láttunk már két lábú malwaret, ami mobilra és számítógépre is települt, és az egyik faktort az egyikről, a másikat a másikról lopta el.
A fizetési PIN esetében szerintem van limit, ha többször rontod, valószínűleg tiltják. Én legalábbis ezt tenném, de nem néztem utána, hogy tényleg így van-e.
Nem látom, hogy miért lenne annak kisebb az esélye, hogy a netbank belépés 2FA kódját lopják el, mint annak, hogy a fizetés 2FA kódját. Ha ahhoz hozzáférnek, és phishinggel - ugye ez volt az eredeti felvetés - megszerzik a PIN kódod, legfeljebb fizetni tudnak a beállított limitig, a netbank jelszavas bejelentkezéssel viszont szinte teljes kontrollt szereznek a számlád felett.
"a netbank jelszavas bejelentkezéssel viszont szinte teljes kontrollt szereznek a számlád felett." - Ha és amennyiben a netbankhoz kapcsolt mobilszámot "hordozó" SIM-et is megszerzik, mert ugye 2FA a netbank esetén is van - úgy a bejelentkezéshez, mint a tranzakciókhoz.
Kicsit ugy erzem, hogy korbe-korbe jarunk, hiszen fizetni is csak akkor tudnak, ha es amennyiben megszerzik nem a SIM-et, hanem az SMS-t, amiben az OTP kiment. Tehat ott vagyunk, hogy akkor most vagy a PIN-es fizetes is biztonsagos, vagy a netbankos belepessel egybekotott fizetes sem az. Mindenki dontse el maga.
Masik oldalrol viszont ha normal banki eljaras, hogy uton-utfelen elkerik a netbank bejelentkezesed, akkor konnyebben megadod phishing oldalon is. Marmint nem te, mert informatikuskent nehezebben dolsz be ilyesminek, de mondjuk az anyukad.
Na mégegyszer... A netbankos user+jelszó gyakorlatilag semmire nem jó, mert már a loginhoz is az kell, hogy a SIM-kártyádra (mobilszám) küldött, a bejelentkezéshez szükséges egyszer használatos kódhoz is hozzájussanak.
Akkor megegyszer: ha kitalaljak a gagyi netes fizeteshez valo PIN kododat, az nem jo semmire, mert a fizeteshez kell az SMS-ben kikuldott jelszo. Pont ugyanugy, mint a netbankos belepeshez. Te azt mondod, hogy a PIN szar, mert a kicsi ter miatt konnyen kitalalhato, teljesen figyelmen kivul hagyva, hogy a masik oldalrol pontosan ugyanugy egy egyszer hasznalatos 6 jegyu koddal van megtamogatva, ming a netbank belepes, amit viszont latszolag teljesen biztonsagos megoldasnak tartasz. Ez igy duplagondol.
Egyebkent az SMS megszerzesehez nem kell a user SIM kartyajahoz hozzaferni, volt mar olyan mobilos malware, ami pontosan a 2FA uzenetek megszerzeset szolgalta.
Ebből is látszik, hogy az SMS-es 2FA pont az SMS miatt sz@r.
Szerintem az alternatív megoldások sem sokkal jobbak. Ha kompromittálják a készüléked, akkor valószínűleg az appos push notification is elfogható, megválaszolható. Az meg nem reális, hogy minden user biztonságos tokennel a zsebében szaladgáljon. Szóval marad ez a köztes megoldás, ami őszintén szólva még mindig sokkal jobb, mint a régi rendszer, amikor bepötyögted a bankkártya adatait, és minden további nélkül vonták is a pénzt.
Ebben nem vagyok biztos.
Ha pl. Erste belépésnél jön egy push notification a telefonra, akkor az Erste alkalmazást meg kell nyitnom (ezt a malware is meg tudja tenni), rá kell böknöm a megerősítésre (ezt is meg tudja tenni a malware), aztán azonosítanom kell magam. Én erre ujjlenyomatot használok. Azt remélem, hogy egy malware nem tudja átverni a telefonon futó rendszernek azt a részét, ami az ujjlenyomatot ellenőrzi és egyezés esetén a pozitív választ küldi. Azt el tudnám esetleg képzelni, hogy a malware úgy csinálna, mintha ő lenne az ujjlenyomat ellenőrző része az OS-nek és egyszerűen minden kérésre egy kis várakozás után sikeres azonosítás választ küld, de remélem, hogy annyira nem tudja átvenni az uralmat, hogy az OS ujjlenyomat ellenőrző API-t lecserélje / eltakarja.
De mondjuk lehet, hogy csak optimista vagyok, nem tudom igazán, hogy működik ez az egész rendszer szinten és milyen biztonsági megoldások vannak beépítve a rendszerbe.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
OTP-nél hatjegyű a PIN (ha már önszopató vagy és nem ujjlenyomatozol helyette inkább) és három próbálkozás után lock-ol. Szerintem elég jó. Előnye, hogy nagy, numerikus billentyűzeten kéri be, ami jóval kényelmesebb, mint jelszót pötyögni.
omg ezek helyett már van ujjlenyomat illetve backup pin
Az SMS-ben az a legszebb, hogy még csak nem is biztonságos.
Nalam mukodik (UBS)
Ez nem gyenge.
Nekem eddig csak az volt, hogy a webes vásárláskor a mobiltelefonon az Erste appban jött egy jóváhagyandó kérés. Ott rábökve, hogy rendben, a weboldalon nem kellett megadni semmi adatot.
Kicsit biztonságosabbnak érzem ezt így.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
"az Erste appban jött egy jóváhagyandó kérés" - Igen, mert te push-ban kapod a jóváhagyási igényt, ő meg sms-ben, amit valahogy be kell csépelnie a netbankba megfelelő azonosítást követően. Te az mobilos app-ba belépve azonosítod magad a push-ban kapott kérés jóváhagyásához, ami meg sms-t kér, az meg a netbankba kell, hogy belépjen.
Jó, de mobilbankos push üzenet előtti időkben meg csak egy SMS jött, amiből a kódot kellett becsépelnem, a netbankos jelszót nem kérte el soha. (Mondjuk csak a Citi - Erste migráció óta vagyok Erste ügyfél, nem tudom, az előtt mi volt).
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
A Cikibankot hagyjuk... Anno én azon lepődtem meg, hogy véletlenül bekapcsolva hagyott caps lock mellett begépelve a jelszót (a képernyőbillentyűzetes idők után) is beengedett... Aztán szándékosan is kipróbáltam tetszőleges kombinációban a jelszóban a kis/nagybetűzést, és ment... Aztán rákérdeztem, és írásba adták(!) hogy valóban nincs megkülöböztetve a kis- és nagybetű - de az SSL meg a titkosítás az hűdebiztonságossá teszi az egészet...
Hát egy hibája se legyen? :-D
Tudom, ezt a részét én se szerettem.
Volt egy időben webes billentyűzet, ahol egérrel kellett a jelszót beírni (feltételezem keyloggerek ellen találta ki valaki), ott pl. nem is volt kis/nagybetű váltás.
De nem csak ők voltak ilyenek ám, amikor az OTP-nek lett netbankja, eleinte valami java applet volt, az pl. a jelszó megadáskor ha shiftet nyomtam, akkor sípolt egyet, és bizony hiába akartam nagybetűt beírni, csak mind kisbetű lett.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
OTP bekéri az ujjlenyomatot a push-ban jövő jóváhagyásra. Vagy lehet választani backup-nak pin-t, ha épp retkes a kezed.
Erste detto.
ugy tudom, a SOFORT fizetesi rendszer is ugy mukodott, hogy megadtad nekik a netbank jelszavad es ok inteztek az utalasokat.
Azaz... Már akkor is fogtam a fejem, hogy wtf???
ja. csak ott van mellette OTP
Mert majd biztos megadom a gmail jelszavamat :-D
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.