Banki biztonsag

Masik topicban feljovo offtopic szalrol jutott eszembe, hogy akartam irni egy par szot a banki biztonsagrol.

Ugye az alap, hogy amikor kozvetlenul az ember penzerol van szo, oda hosszu, eros, de azert megjegyezheto jelszot valaszt (es meg is jegyzi). Ezt nehany helyen tovabb erositik SMS belepessel (ami a usernev es a jelszo, meg esetleges plusz ugyfelazonosito) melle kell. Ez nem olyan zavaro - szerintem. Van, ahol plusz token van, ami macerasabb, de most nem errol akarok irni. Vajon mennyire jogos (vagy mennyire alszent) a bankok ilyen biztonsagi kovetelmenye? Ugye a biztonsag a leggyengebb lancszemen mulik.

Ha jol emlekszem, akkor a bankautomatak es a kozpont kommunikaciojaban egyedul a PIN kod titkositott, minden mas plaintextben megy. A PIN 56 bites DES titkositasa sincs messze a titkositatlan valtozattol - elvileg ma mar torheto. Jo, valoszinuleg maceras a bankautomata kommunikaciojat lehallgatni, nyilvan fizikailag is vedik, es remelhetoleg nem megy kozben sehol IP halon a forgalom, ugyhogy ez tobbe-kevesbe vedheto, de akkor sem szep.

A bankkartyak kozul az ujabbakat mar lehet neten is hasznalni. Ez egyreszt jo, mert kenyelmes. Mindossze a kartya szamat (16 szamjegy) kell beirni a megfelelo mezobe, es a hatoldalon talalhato 3 jegyu szamot. Nem netes fizetesnel a penztaros a 4x4 jegyu szamot is latja, es ha az alairast ellenorzi, a hatoldal 3 jegyu szamat is. Egyik szamot sem lehet konnyen modositani, szoval utolag konnyen leemelheti a teljes (vagy a limit miatt csak egy jelentos) osszeget barki, aki latta valaha. Zsenialis! Oke, nyilvan gyakorlast igenyel, nem mindenki tud megjegyezni ennyi szamot ennyi ido alatt, de egyreszt hasznalhat segedeszkozt, masreszt a szamjegyek kozul nehany a bankot azonositja, es biztos van kozte valami checksum is, innentol lecsokken a lehetosegek szama.
Nehany bank raadasul (Erste biztosan) a ket evente lecserelendo uj kartyat sima levelben postan kuldi ki. Automatanal/penztarnal kell hozza a PIN kod is, de a kartyaszam (es a 3 jegyu netes kod) elvileg azonos az elo kartyaval, es nehany helyen nepi sport a postaladak feltorese..

Erste telebank.
Valami miatt kulonos modon ragaszkodnak hozza. Az otlet maga nem lenne rossz, ha nem lenne kotelezo a fontosabb szolgaltatasaikhoz. Ha netbankot szeretnel, semmi gond, mindossze annyi a teendo, hogy belepsz a netbankodba, beirod a PIN kododat (nyilt telefonhalo, titkositas nelkul, plusz feature-kent esetlen mobilhalon a levegoben), es megrendeled. PIN kodot szinten telebankon keresztul tudsz modositani (netbankon SSL titkositassal veletlenul sem, az nem biztonsagos). Kartyalimitet szinten. Nice. (Ja, atutalni is tudsz telefonon keresztul, ha a PINt mar megszerezted. :) )
A telebanknak persze lenne ertelme, a kartyaletiltas nagyon hasznos. De igy kosz, nem. Lemondani nem lehet, mert akkor a netbankot sem tudod hasznalni (ott nem megy a limitvaltoztatas es a PIN csere sem).
Ha majd lelepek az Erstetol, a telebank lesz az egyik nyomos ok (sokaig ezert nem volt netbankom sem).

PPO. Az, hogy megtehettek, szinten a rossz tervezesnek (is implementacionak) koszonheto.

Nem csoda, hogy a banki biztonsagi resek betomkodesere (es a kenyelmesebb online fizetesre) iparag jott letre, a Paypal egeszen jol jart vele. Azert naluk is van olyan, ami nem tetszik: regisztracional kotelezoen meg kell adni a jelszoemlekezteto kerdest (2-t is), raadasul fix kerdesekbol. De ez kijatszhato random stringek beirasaval, sok vizet nem zavar (szoval ha sokan ismerik a matektanarodat, a kutyad neve akkor is biztonsagban marad).

Az latszik, hogy ahol biztonsagi orokrol meg acelrol van szo, ott nagyon esznel vannak. De a leggyengebb lancszemet valami miatt nem latjak.

Vegezetul kedvenc idezetem Abagnale-tol:
What I did in my youth is hundreds of times easier today. Technology breeds crime.
Es ez az egesz csak rosszabb lesz.

( sj | 2011. 02. 09., sze – 20:09 )

Interneten vasarlasra csakis virtualis kartya, pl. az erste is ad ilyet. Ha a sima bankkartyam is alkalmas lenne erre, akkor letilttatnam ezt a feature-t.

HF*P portal - politika, flame és offtopic huppereknek szabadon!

A virtualis kartyanal is a telebankon keresztul kell szenvedni, nem lehet a netbankon belul limitet novelni.
Akkor mar a churn egyszerubb.

A sima kartyad hatoldalan nincs 3 jegyu kod? Ha van, akkor sztem alkalmas az is, max. eddig nem hasznaltad.

--
Auto correct can go straight to He'll.

Errol van szo. Az xxxx a kartyaszam utolso 4 jegye, az xxx meg a "titkos" kod. Ha paypalra akarsz regisztralni, akkor a bankkartyadrol szabad szemmel leolvashato infok alapjan le fog tudni vonni 1+400 ft-ot. (vagy ha mashol hasznalod netes kartyakent, akkor ok es annyit, amennyit akarnak)

--
Auto correct can go straight to He'll.

CIBezz számlacsomaghoz pontosan ilyet adnak. A típusa ugyan unembossed, de ettől függetlenül dombornyomásosnak számít.

* 0-24 tudsz átrakni instant bármelyik irányba ingyen
* limitet állítani instant
* van hozzá külön kártya, mágnescsík nélkül, külön számlával
* MasterCard vagy Visa választható.

Ingyenes 26 év alatt, vagy amíg egyetemista vagy. Tovább pedig eddig még nem érdekelt :)

No persze, vannak az OTP-sek… :D Ők voltak/vannak akik még azon is csodálkoz[tn]ak, hogyhogy ingyen lehet utalni bárhova (belföldön), vagy díj nélkül bárhonnan pénzt felvenni (ok, csak havi kétszer).

--
The Elder Scrolls V: Skyrim

Nem minden banknal van ilyen, mint ahogy nincs minden banknal kotelezo telebankos okorseg sem.
Sok banknal van junior kategoria, altalaban olcsobb egy fokkal, rengeteg korlatozassal (pl. Odonbanknal is van/volt havi 2x ingyenes felvetel, felnott kategoriaban mar nem).

--
Auto correct can go straight to He'll.

Persze, persze, gondolom, hogy ha a 26+ konstrukciókhoz is hasonló feltételeket adnának, picit kevesebbek lennének az év végi bónuszok :)

Meg ekkor az x×1000 Ft-os átutalási költségeket sem lehetne lenyomni az emberek torkán pl. egy üzleti csomag esetén (miközben még mindig 17 Ft egy átutalás bankok között…).

( NagyZ v | 2011. 02. 09., sze – 20:27 )

netes fizeteshez kell a lejarati datum is.

sajat tapasztalat: ~6 eve van dombornyomott kartyam, eddig 1x csereltem amiatt, mert valahogy illetektelenek kezebe kerultek az adataim. a bank (OTP) korrekt modon elengedte az uj kartya dijat, a kartyaletiltas dijat, illetve visszakaptam a levont penzt.

Ok, lejarati datum: Erste 2 evente cserel, szoval van 24 lehetoseg. De egyebkent az is rajta van a kartyan, szoval amikor a kartyaszamot es a biztonsagi kodot leolvassa, nem gond ezt is.

Az OTP veled korrekt volt. De ez is azt mutatja, hogy ahelyett, hogy esszeruen, biztonsagi megfontolasokat is szemmel tartva epitettek volna fel a rendszert, inkabb a bizalomra epitettek. Holott ha nem tettek volna, mindenkinek egyszerubb lenne az elete. A bankoknak, mert nem lenne egyaltalan kartyacsalas, es joval kevesebb lenne a problema (meg emiatt a karterites), es az ugyfeleknek is, mert biztonsagban lenne a penzuk.

--
Auto correct can go straight to He'll.

Az egésznél nagyobb gond az elvileg a pénztárosok svindlijeinek a kiszűrésére szolgáló ipari kamnera a fejed fölött a pénztárnál... Egyébként hívtak már fel engem budapesti tranzakció ügyében telefonon egy másik banktól, hogy én voltam-e? Mint kiderült, az elfogadóhely némileg magasabb figyelmet kapott - a sorozatos panaszok miatt.

A chipkártya, és az online fizetésekhez egyszer használatos azonosító lenne valóban a megoldás - csak ugye van ezen a világon néhány tonnányi bankkártya...

Segedeszkoz alatt tobbek kozt a kamerara gondoltam (egyebkent pin kod beirasakor ezert is takarom le egyik kezemmel).

Az online fizeteses otleted szerintem is korrekt lenne. Mondjuk a bank online feluleten kap egy azonositot, ezt megaadja masik tabon a boltnak, az atkuldi a kert osszeget a banknak, utana a bank oldalan meg le tudod ellenorizni, es ha engedelyezed, akkor a bolt megkapja a banktol az infot (meg idovel a penzt is). Egyenleget/hitelkeretet is tudnanak igy ellenorizni, es mindenki jol jarna. Meg az informatikusok is, mert ez valamivel bonyolultabb rendszer, mint a mostani. :)

--
Auto correct can go straight to He'll.

Ma magyarországon minden banki napon egyszer "mennek át" a normál utalások. Egy elektronikusan beterhelt utalást pl. telebankon a napi zárásig tudomásom szerint meg lehet állítani, egy hagyományos, nem chip-es, PIN alkalmazása nélküli (csak aláírós) kártyás tranzakciót valószinűleg szintén be tudsz fékezni. Ha PIN-t kell megadni a vásárlásnál, akkor viszont nincs lehetőség utólagos reklamációra.

A nemzetközi utalások bonyolultsága, a konverziós- és egyéb banki költségek botrányosan lassúvá és költségessé tennék az egész tranzakciót. Meg persze a netbankod sem biztos,hogy fel van készítve arra, hogy a világ végére tudj belőle (helyesen!) utalni.

Erste-vel hasonlo a tapasztalat, nagyon korrektek, es a telebankban is segitokeszek, nem ertetlenkednek, ha azt mondom, hogy SMS-ben kaptam az infot, hogy szopjak a kartyarol a penzt (nyilvan mas szohasznalattal mondtam :D).
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( erdohegr | 2011. 02. 09., sze – 22:08 )

Nehany bank raadasul (Erste biztosan) a ket evente lecserelendo uj kartyat sima levelben postan kuldi ki.
Szerintem értékküldeményként küldi ki az Erste és ha nem veszed át személyesen a postástól, akkor ballaghatsz be érte a postára. Legalábbis nekem még soha nem dobták be a postaládába sima levélként, pedig már vagy 8 éve biztos náluk van a számlám, úgyhogy volt pár kártyacserém.

Es teljes joggal. Addig ugyanis az a kartya ervenytelen, amig egyszer nem vegzel vele egy PIN kod beuteset is igenylo tranzakciot, peldaul ATM-es keszpenzfelvetelt, ATM-es egyenleglekerdezest, illetve PIN kodot igenylo POS terminali fizetest (ez utobbi FIXME). Ha valaki venne a faradsagot, es elolvasna a mellekelt levelet, ez mind-mind le is vagyon irva benne.

A sejtes az, hogy kikuldik a kartyat, de a kartyakozpontban valahogy az ervenyessegi datumot csak az elso ilyen tranzakcio frissiti be. Marpedig az ervenyesseg megtalalhato a magnescsikon, tippre a chipen is.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Figyelmetlenul olvasol.
Azt tudom, hogy addig a magnescsik hasznalhatatlan, amig automatabol le nem kered az egyenlegedet (ki is probaltam egyszer, magammal vittem az ujat es a regebbit is).
De ha a kartyaszam azonos (mert az) es a 3 jegyu is, akkor aki megszerzi az uj kartyadat, az a regi adatait is tudni fogja, mert a regivel egyezik, a lejarat meg egyertelmu (amikor lopta/ill. kivon n kerek evet az ujbol). Innentol neten hasznalhato.

--
Auto correct can go straight to He'll.

Nem egyertelmu. Nem tudhatja, hogy ez utemezett kartyacsere, vagy pedig uj kartya kervenyezese. Max tippelhet. Es a CVV az en emlekeim szerint sem azonos, majd megnezem, valahol megvan a regi kartyam.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( bambano | 2011. 02. 09., sze – 22:48 )

Amióta az az ersténél az átutalás rendje, hogy az előtérben kitöltesz egy nyomtatványt, lebélyegzed az órával és bedobod egy dobozba, azóta szerintem az erstében semmiféle biztonságról nem lehet beszélni. Felettünk a bányabéka hátsója jeligére.

Ilyen jellegu atutalas mashol is van (K&H-nal biztosan). Ilyenkor legalabb az alairast ellenorzik (elvileg), meg a cimzett nevet es szamlaszamat (legalabbis emiatt mar dobtak vissza atutalasomat).
De igazad van, ezt valoban kihagytam a lehetseges bugok kozul, most elsosorban a technikai jelleguekre gondoltam.

--
Auto correct can go straight to He'll.

Amiota lehet NetBankon at is utalni, azota sztem erosen lecsokkent azon emberkek szama, akik ily modon akarnak atutalni, talan ezert a zugolodas hianya. Tessek elektromos szamlacsomagot kerni, es akkor tok free jar hozza a NetBank. Meg a SMS kartyaor is asszem, csak azt ujra kell aktivalni, ha csomgot valtasz.

(PS: tobbeves infok ezek mar, azota lehet, hogy a tobbi szlatipushoz is free a NetBank, ezt meg kell kerdezni a TeleBank-ban benn).
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Arra nincs, de ugy tudom, az Erste-nel nagyon szigoruan veszik az alairast. En pl. amikor csoportos beszedesit inteztem, papiron vagy haromszor ala kellett irnom a nevemet, hogy egyezzen az alairasom a jopar evvel ezelottivel, mert nem akartak elfogadni a mostani alairasommal. Hiaba volt nalam szemelyi, meg lakcimkartya, meg azonositokartya, meg kutyafule, nem akartak elfogadni. Valoszinu, hogy az atutalas is ilyen szigoru. Mivel en nem jarok bankba tul surun, igy tapasztalatom az nem sok van e teren.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Az ilyen utalást egyszer használtam (kellett az átutalás elindításáról egy papír). Reggel bedobtam, utána bemutattam, hogy elküldve, kora délután hívott a bank, hogy tényleg én? (Nem kis összeg volt, aláírás, minden stimmelt). Ha azt mondom, hogy nem, akkor nem megy el az utalás. A számlakivonatot sem azért kapja az ember, hogy pusztuljanak az esőerdők, hanem azért, hogy megnézze, és ellenőrizze, hogy tényleg minden rendben van-e, nincs-e rajta olyasmi, ami nem ő volt.

( dash | 2011. 02. 10., cs – 00:16 )

Hofi: onnan tudjuk, hogy a pénz a CIB banktól jött, mert jött a pénz, s mire odaért, egyre kiCIBB volt

----------------------------
színes ingyen domain domain

( gd | 2011. 02. 10., cs – 00:32 )

Valószínűleg sokan nincsenek tisztában azzal, hogy hiába erős a jelszó, ha a biztonsági kérdésre adott válasz gyenge.

A biztonsági válasz nálam is egy hosszú billentyűzetpüfölés (ahol kötelező), a kérdés meg "fuck off" vagy ilyesmi, ahol meg lehet adni.

( cheeky v | 2011. 02. 10., cs – 10:16 )

Fogalom nélküli vagdalkozás...

"es remelhetoleg nem megy kozben sehol IP halon a forgalom"
Szerinted a mai világban hol megy, ha nem IP hálón?

Kártyaolvasósdi:
Évek óta minden kihelyezett POS terminál PINpad-je képes a kártyaleolvasásra is, hogy a kártyát ne kelljen kiadnod a kezedből a fizetés ideje alatt sem, csak a sok balf*sz pénztáros tartva attól, hogy az ügyfél elront valamit, nem így használja.
Szerencsére a MOL kutaknál pl. ezt mostanában kötelezővé tették (legalábbis némelyiknél), nevelik a népet a helyes kártyahasználatra végre.

"a szamjegyek kozul nehany a bankot azonositja, es biztos van kozte valami checksum is"
Hú, látszik, mennyire értesz hozzá...

1. Elvileg mehetne sima telefonhalon/berelt vonalon is. Ha kozben IP-n is megy (nem a sajat halozatukon), az esetlegesen plusz kockazatot jelenthet a lehallgatas miatt. Szoval annal rosszabb.

2. Jo tudni, mindenesetre nem ez az elterjedt, de majd megnezem legkozelebb. Ezek szerint fejlodik a dolog, regen meg az osszeg utana zoldet is benyomtak, hogy az ugyf-nek ne kelljen, most mar jellemzoen hagyjak, hogy megnezd mielott beirod a PINt.

3. Nem neztem utana elore, de en igy csinalnam, ha en terveznek ilyen szamkiosztasos rendszert. De egyebkent wikipedia szerint jo tipp volt, mert van valami, ami a kibocsatot azonositja (raadasul iparagankent valtozo intervallumbol osztanak), masreszt a legtobbnel van Lund-algoritmusu checksum.
De azert ahhoz kepest, hogy nem ertek hozza, akik ertenek, azok elegge szep bugokat hagytak benne.

http://en.wikipedia.org/wiki/Bank_card_number
http://en.wikipedia.org/wiki/List_of_Bank_Identification_Numbers

--
Auto correct can go straight to He'll.

A pin-pd pénztáros általi matatása nálam piros gombbal történő indítást és vásárlók könyvébe tett bejegyzést von maga után. Az előbbi a "Na akkor kezdjük újra az egészet" okán, az utóbbi meg amiatt, hogy hátha a főnökének jobban elhiszi, hogy NEM neki kell elfogadni az összeget, merthogy PIN használata esetén a tranzakcióval kapcsolatban a bank reklamációt nem fogad el.
Hollandiában pl. fordított a sorrend: előbb a PIN, utána az összeg elfogadása következik.

( msandor v | 2011. 02. 10., cs – 14:35 )

idézet következik:
"Telefonos azonosítás: A telefonos banki műveletek legteljesebb biztonságának megteremtése
érdekében ügyfeleink egy egyedi 7 számjegyből álló TeleBank azonosítót és egy egyedi és titkos
telefonos kódot (TPIN) kapnak, melyeket a TeleBank hívása után a hangbemondásnak megfelelő
sorrendben, a telefon nyomógombjainak segítségével kell megadniuk."
forrás: http://erste.hu/file/telebank_hasznalati_utmutato_lak_2008.pdf

én soha, senkinek nem adtam még meg a fentebb említett kódokat, akkor hogy a búbánatos fenében tudnának visszaélni a számlámmal?

nem tulsagosan, ha megvan a vasad hozza. ha van penzed megvenni az 1000-1500 euros jatekokat, akkor szinte semennyire, ha nincs, akkor a dolog legnehezebb resze talalni egy "platformot", amin lehet dolgozni, mint a ccc-n bemutatott telefon, mert magyarorszagon sehol nem lehet beszerezni, ugy latom.. :-)

( r0pi v | 2011. 02. 10., cs – 15:12 )

Lehet en vagyok bator/botor, de evek ota hasznalom a kartyamat mindhol. Netes fizetesre, bolti fizetesre, zarnyitasra, hatvakarasra. Eddig (kopp-kopp-kopp) semmi problemam nem volt. Minden tranzakcional jon sms es mivel hitelkartyarol van szo, ha minden igaz az osszeget eloszor terhelik es a bank jovahagyasa utan teljesitik csak. Igy, ha jon az sms, hogy beterheltek x osszeget, akkor meg van idom telefonalni, hogy az nem en voltam.
Volt mar ra pelda, hogy 5 idozonaval odebb ugraszottak ki az agybol hajnalban telfonon, hogy hasznaltak a kartyamat es minden renben van e - akkor abban maradtunk, hogy legkozelebb vegyek figyelembe a hivas elott az idozonat, ahol a vasarlas tortent, egyebkent minden ok.