Security-all

Csokiautomata képernyő: "Az ArcFelismero.exe ismeretlen hibát dobott, a működése leállt"

( bzt | 2024. 02. 26., h – 16:49 )
Security-all

Na, ez az igazán durva! Paranoiások ne olvassák tovább! Én szóltam.

https://kitchener.ctvnews.ca/facial-recognition-error-message-on-vendin…

Earlier this month, a student noticed an error message on one of the machines in the Modern Languages building. It appeared to indicate there was a problem with a facial recognition application.
"We wouldn't have known if it weren't for the application error. There's no warning here,"

A képernyőkép itt megcsodálható: https://kitchener.ctvnews.ca/content/dam/ctvnews/en/images/2024/2/22/ve…

Webshop bankkártya CVC kód tárolás

( KGer | 2024. 02. 10., szo – 16:33 )
Security-all

Sziasztok,

Másodszora futok bele hogy rendelek nagy magyar webshop-ról ahol napi több ezres+ rendelés lehet, és a bankkártya fizetési rész nem egy jól ismert bankon keresztül megy külön ablakban, hanem ők kérik be a
 * bankkártya számot
 * lejárati időt
 * CVC kódot

Az egyiknél konkrétan láttam hogy console-ból titkosítatlanul küldik a bankkártya adataimat a saját szervereik felé, de az 10 éve volt, azóta lehet más rendszerük van. Itt napi 10.000 rendelés lehet.
A másiknál csak gyanakszom hogy ugyanez lehet mert egyszerűen bekérték a bankkártya adataim és majd valamikor feldolgozzák a rendelést. Itt is napi több ezres rendelés lehet.

Honnan tudhatom hogy az ottani rendszergazda/operátor nem filtereli ki a bankkártya adataim egy txt fájlba?

Van erre valami szabályozás hogy ilyet nem lehetne?

Nem érzem biztonságban a kártyámat és a pénzemet.
 * A CVC kód azért van hogy csak én tudjak róla.
 * Honnan tudjam hogy egyszer csak kapok egy sms-t Ön Görögrszágban fizetett 50.000 Ft-t? És akkor nekem kell vele foglalkozni ügyintézni.

webkártyát használok, limittel, de nem ez a megoldás
 

Egyszerű jelszó mégis erős védelem

( ng123 | 2024. 02. 09., p – 10:32 )
Security-all

Megoldható-e ,hogy egyszerű és könnyen megjegyezhető jelszavakat használjunk, és mégis megmaradjon a biztonság?

https://sign-el-soft.hu/keygen.html

-------------------------------- Kiegészítés 24.02.09 16:15

Itt nem egy random jelszógenerátorról van szó!

A felhasználó beállítja a saját szabályát, és annak alapján egy algoritmus egy rövid és ezért könnyen megjegyezhető bemenetre, a kívánt hosszúságú és formátumú kimenő jelszót állít elő.

Ugyanarra a bemenetre legközelebb is ugyanazt a választ fogja adni, másik bemenetre egy másikat.

Ha a szabály más, akkor mások a kimenő jelszavak.

Bitlocker törés egy perc alatt

( sabe | 2024. 02. 04., v – 09:18 )
Security-all

Az alábbi videóban egy TPM sebezhetôséget kihasználva egy Raspberry pico és egy saját pcb segítségével 1 perc alatt megszerzi egy lenovo laptop Bitlocker kulcsát.

TLDW: A TPM chip és a CPU közötti forgalom nem titkosított, ezt tudja lehallgatni.

A régi tétel igaz: az adat, amihez más is hozzáfér fizikailag, már nem a tied.

https://youtu.be/wTl4vEednkQ?si=q8_H4XDrAUzRAeoh

Ügyfélkapu 2FA (Ügyfélkapu+) és a jelszavak

( n.balazs | 2024. 01. 03., sze – 13:32 )
Security-all

Én szerettem volna ma bekapcsolni a 2FA-t az Ügyfélkapuhoz. Úgy gondoltam, hogy 2024. januárjára már elég stabil ahhoz, hogy használni is lehessen. Picit tévedtem.

A https://ugyfelkapu.gov.hu/felhasznalo/adminisztracio/totp/eszkozparosit… oldalon ugyanis a jelszóbeviteli mező legfeljebb 30 karaktert enged bevinni. Komolyan, 2024-ben ott tartunk, hogy korlátozzák a jelszó hosszát? Nooormáááális, Margit.... Utoljára IBM termékben találkoztam súlyos jelszólimitációval (15 karakter).
Abban bíztam, hogy 2024-re ezt a téveszmét kinövik a fejlesztők. Tévedtem.

Persze rögtön írtam is a https://ugyfelkapu.gov.hu/kapcsolat űrlapon keresztül. Kíváncsi leszek, hogy mikorra javítják ki ezt a hibát.

Feliratkozás a következőre: Security-all