CIB Bank Token

Nooormális? Ki találta ki ezt a cibes tokent? Aki ilyet igényel, annak csak egy 8 számjegyű azonosítót kell beírnia bejelentkezéskor (ami alapból asszem a számlaszám középső 8 jegye), illetve a token által generált egyszer használatos kódot. Tehát nem túl biztonságos, mert a token elvesztése esetén könnyen be tudnak lépni mások az internetbankba.

De a másik hülyesége, hogy "A Token időszinkronizáció elv alapján működik. Ha a Felhasználó régen vagy túl gyakran használta a Tokent, elcsúszhat ez a szinkron, ezért a generált jelszót téves jelszóként érzékeli a rendszer. Ekkor a Felhasználó azt észleli, hogy a Token által generált jelszóval nem tud belépni az internetbanki rendszerbe, az azonosítás sikertelen. Bankfiókjainkban vagy a CIB24-en keresztül kérheti az újraszinkronizálást."

Ráadásul így mindig cipelni kell magaddal a tokent. Egyszóval, miért a leghülyébb megoldást választották? A többi bank a sokkal egyszerűbb és logikusabb SMS kódszót alkalmazza, a mobil mindig nálad van, tehát nem kell eggyel több eszközt magaddal vinni.

A másik hülye cib internetbankos megoldás a Java alapú kliens. Biztos vagyok benne, hogy sokkal több pénzbe kerül fejleszteni, és sokkal több a felhasználói ügyfélszolgálati panasz, mintha sima HTML-es felület lenne.

Példát vehetnének a Magyar Államkincstár internetes felületéről (Webkincstár), ami sima HTML+javascript, és egyszerű SMS kódszót használ (azaz jelszó beírása után jön egy SMS, amiben van egy egyszer használatos kód, amit be kell írni a továbblépéshez). Tisztább, szárazabb érzés. Meg ilyen apróságok, hogy egy számláló van a sarokban, hogy mikor dob ki a rendszer, szemben a cibes megoldással, amikor egyszer csak kidob, ha lejár az idő.

De van ám még pár hülyesége a cibes appletnek. A betűméretet csak szűk sávban lehet változtatni (11-14), a számlaszámot csak úgy lehet beilleszteni vágólapról utaláskor, hogy előtte az egész szövegmezőt kijelölöm, továbbá bizonyos felbontásokon nem fér ki a felugró ablakba az applet, viszont utólag már nem lehet átméretezni.

( NagyZ v | 2011. 02. 03., cs – 16:44 )

inkabb toled kerdeznem, hogy nooormalis?

az OTPnel (nem, nem a bankra gondolok) _nincs_ biztonsagosabb belepesi forma.

De még kellene mellé egyedi jelszót is megadni. Mert mivel alapból a számlaszámból jön a 8 jegyű azonosító, ezért akinek tudod a számlaszámát, és vhogy megszerzed a tokenjét, akkor be tudsz lépni az internetbankjába.

Tehát ha még kérne mellé jelszót is, akkor lenne eléggé biztonságos. mert amúgy ennek a tokennek az alternatívája, hogy saját jelszót írsz be. Namost nem vagyok benne biztos, hogy egy 14 jegyű jelszó kevésbé biztonságos lenne, mint egy fizikailag ellopható token. Mert ugye ezt a tokent arra találták ki, hogy elvileg biztonságosabb, mint a sima fejben tárolt jelszó.

Mondjuk a tokent még védi egy PIN kód, de azt elvileg vissza lehet fejteni az eszközből, nem? De ez a PIN kód is plusz egy dolog, amit fejben kell tartani, tehát ez a token nagy macera. Mért nem volt jó nekik a mobilos megoldás?

Ha valakinek tudod a szamlaszamat, es valahogy megszerzed a telojat, akkor be tudsz lepni az internetbankjaba. Marpedig az ember tobb helyre viszi a telojat, mint a tokenjet. En pl. el nem tudnam kepzelni a bankos tokent egy hazibulin, ellenben a telot...
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( eax | 2011. 02. 03., cs – 17:19 )

Ne rohogtesd ki magad, az SMS azonositas egy vicc.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Mért, hogyan hallgatod le a kiküldött SMS szövegét 1-2 perc alatt? És honnan tudod, hogy melyik SMS-t kell lehallgatni? Illetve hogyan hackeled meg még emellé az SSL-en titkosított sessiont?

Ennek az SMS kódnak az a lényege, hogy valami kémprogram el is lopná a banki jelszavad, akkor sem tud vele mit csinálni, hacsak nem lopja el a mobilodat is.

De ez a mobilos megoldás sokkal kényelmesebb, mert nem kell plusz egy PIN kódot megjegyezni, a mobil úgyis mindig nálad van, nem csúszik el a szinkron.

"Mért, hogyan hallgatod le a kiküldött SMS szövegét 1-2 perc alatt?"

igy

"És honnan tudod, hogy melyik SMS-t kell lehallgatni?"

Ennyire ne nezd hulyenek a potencialis tamadokat, meg megsertodnek. :)

"Illetve hogyan hackeled meg még emellé az SSL-en titkosított sessiont?"

Hidd el, az sem lehetetlen, de most masrol beszelgetunk.

"Ennek az SMS kódnak az a lényege, hogy valami kémprogram el is lopná a banki jelszavad, akkor sem tud vele mit csinálni, hacsak nem lopja el a mobilodat is."

A "kemprogramok" nem a jelszavadat fogjak ellopni, hanem a session-odet, es ez a legtobb implementacional mar eleg. Ahol megsem, ott bejon az, hogy a telefon is torheto, kulonosen ha idonkent radugod a kompromittalt szamitogepedre.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( szotsaki | 2011. 02. 03., cs – 17:59 )

Jobb felső sarokban számol vissza öt perctől, de csak akkor, ha nem használod egy pár másodpercig.

Amúgy nekem tetszik a Javás megoldás. Jobb mint HTML-lel végigpróbálni az összes böngészőt…

--
The Elder Scrolls V: Skyrim

Nem tom, én nem netbankolok, de azért most belegondoltam: az azért elég idegesítő lenne, hogyha egy havernál lennék épp és feltétlenül netbankolnom kéne (tegyük fel, hogy megbízom benne annyira, hogy tudjam, nincs szétfertőzve a gépe) és nem lenne Java a gépén...

Jól van, ragozhatjuk még egy ideig a semmit. A "szálindító" benyögésem is egy olyan tipikus "ne válaszolj rá, csak ide-elmélkedtem" típusú szösszenet volt, kár tovább csócsálni. (Nyilván, ha annyira közeli az a barát, hogy nőnemű és dugom, akkor akár kérdezés nélkül is fel lehet tenni a gépére bármit, ami kell. Nézőpont kérdése.) Téma lezárva.

( Gergely | 2011. 02. 03., cs – 20:28 )

tokent nem használtam még cibnél de az biztos, hogy az összes többi bankhoz képest a cibnek ez a javas applete a leg felhasználóbarátabb.
---
Tévedni mindenkinek szabad, csak a mérnöknek észre kell vennie.

( cheoppy | 2011. 02. 03., cs – 22:22 )

A CIB mobilnetes netbankja röhögve megy iphone-os user agent-tel (firefoxban lehet addonnal kattintásra állítani), egy egyszerű átutaláshoz vagy egyenlegellenőrzéshez pont elegendő. És szinte nyers html, jó gyors, csak nagyobb képernyőn picit szétesik. :)

( szebeni | 2011. 02. 03., cs – 23:26 )

Ez a javas kliens pont az a CIBnel, amit elvarok egy banktol, vigyazzon a penzemre.
Viszont a tokent en sem tartom jonak, de hat pont ezert valaszthatsz vagy token, vagy ujabb jelszo.

---
return NEVER;

Ubuntu 8.10
HP nx6110
http://java.tszebeni.hu

( rolikhan | 2011. 02. 04., p – 00:38 )

Ha feltesszuk, h ellopjak a tokent, a pin kododat 3 probalkozasbol kell kitalalniuk. Ha nem jon ossze, akkor a CIB-bel kell megbeszelni az ujraelesztest. Ha elkezdik maceralni (pl szetszedik), akkor szinten megkovul csak vegleg.

( andrasf | 2011. 02. 04., p – 13:14 )

Azt hallottam, hogy valamelyik banknál van olyan is, hogy emailben is elküldik a netbankos kódot, nem nehezítve ezzel a kéretlenül bejutni kívánók egyébként sem könnyű dolgát.