раскрыть ветку (58)
раскрыть ветку (21)
ну так все-таки написано,что украсть телефон сложнее. Именно украсть,а не получить данные. Так что такое..
раскрыть ветку (5)
Флешку можно повесить на цепочке на шею, а с современным телефоном это проблематично.
Более того - флешка валяется где-нибудь дома большую часть времени, а телефон таскается везде с собой и, соответственно, может быть забыт\проёбан или спизжен.
раскрыть ветку (5)
раскрыть ветку (4)
ну в сейфе это крайности, у меня в рабочий комп воткнуты все ЭЦП
но когда я их везу домой иногда, трясусь как курица над яйцом))
Ну, я человек простой - я про сейфы уже и забыл как-то)
Настолько простой, что даже вирусов на компе не ловил лет 5 ._.
раскрыть ветку (2)
раскрыть ветку (1)
Удаленная блокировка смартфонов возможна и в ведроидах и в яблоках. Можно даже вайпнуть телефон мало ли что.
раскрыть ветку (5)
Нет, из правильного токена извлечь ключ невозможно. Из некоторых можно, они для разных целей есть, но нет проблем сделать токен, ключ из которого не извлекается в принципе, никаким программатором и т.д. И обычно это не флешка, пусть даже со специальной прошивкой, а специализированная микросхема. И никакого "дампа прошивки токена" сделать невозможно, подобные ограничения абсолютно тривиальны и используются часто просто для защиты программ микроконтроллеров от копирования, а не только для криптографии.
раскрыть ветку (2)
раскрыть ветку (1)
Но есть ли идеальный токен, для которого есть строго математическое доказательство того что из него невозможно извлечь ключи?
Естественно, это невозможно доказать в принципе: реальная система это не код на Хаскелле, она только и состоит, что из побочных эффектов.
Вот что касается большинства типовых используемых токенов и "неизвлекаемости" ключей из онных: https://habrahabr.ru/post/306034/
Пост не об извлечении ключа, а о том, что токен с возможностью шифрования с использованием неизвлекаемого ключа можно использовать и по-другому, если этот способ не поддерживается софтом. Если использовать его как положено, ничего, конечно, не извлекается.
Но опять же не взламываемых систем не существует и не может существовать в принципе.
Софистика. Невзламываемых систем нет, вопрос в трудоемкости взлома. Сделать токен с ключом, неизвлекаемым на практике (за десять лет и $100000) -- задача уровня дипломной работы профильного студента. Необходимое оборудование -- платка микроконтроллера за 3-5 $.
это заявление слишком категорично, есть какие-то доказательства в пользу этого?
Какие могут быть доказательства в пользу совершенно рядовой вот уже десятки лет фичи? Откройте даташит к любому популярному микроконтроллеру и убедитесь в том, что такая возможность присутствует.
Если достать несколько экземпляров хорошо защищенных токенов - можно провести reverse engineering и разобрать принципиальную схему электронных компонентов.
И как знание принципиальной схемы поможет вам извлечь ключ из микросхемы (куска кремния)?
Как ты думаешь, сложно ли после такого снять дамп с токена или использовать метод дифф-анализа для получения ключа прямо с токена во время подписи? ИМХО, проблема не сильно сложнее.
Не просто "сложно" -- снять дамп памяти по прежнему невозможно, можно лишь сделать определенный вывод о производимых чипом вычислениях (что иногда позволяет выудить ключ, как в той статье). Атаки по побочным каналам вроде той, что описывается -- экзотика и срабатывают нечасто, чрезвычайно много тонкостей.
Проблема взлома систем защиты по второстепенным каналам фундаментальна, и вряд ли ее когда-нибудь можно будет полностью решить. ...
Опять софистика. Устройство может излучать что угодно, вопрос лишь в том, насколько легко установить корреляцию между характером излучения и ключом. Сделать это нерешаемой на практике задачей на текущем уровне развития техники нетрудно.
И это не считая возможности компрометации middleware которое работает между пользователем и токеном.
В том и прелесть асимметричной криптографии, что даже скомпрометированный софт никак не позволит украсть ключ, только подписать что-то здесь и сейчас.
Про телефон я имел ввиду что на него приходят смски с одноразовыми кодами(речь же шла о двухэтапной аутентификации). Вот симку и можно заблокировать без особых проблем.
раскрыть ветку (1)
Во-первых, в телефоне два верифицирующих фактора (если поддерживается банком): номер по SIM и IMEI материнки телефона (и оба должны совпадать!). Во-вторых, он крупнее. В-третьих, владелец всегда держит его при себе. В-четвертых, по умолчанию, телефон находится в состоянии блокировки, т. е. непригоден для авторизации. И таки да, большинство смартфонов поддерживают трекинг и удаленную блокировку.
раскрыть ветку (35)
Про imei не уверен, мобильному банку от сбера все равно с какого я телефона смски отправляю.
раскрыть ветку (8)
Сбер использует идентификатор симки. При перевыпуске симки нужно посетить банкомат и позвонить оператору.
раскрыть ветку (6)
Да, но никто не мешает в случае утери заблокированного смартфона переставить нашедшему симку и перевести деньги если подключен мобильный банк.
раскрыть ветку (2)
Хуйня.
Подключен сберонлайн, переходил из МегаФона на теле2 и обратно. Банк как присылал смс, так и продолжил присылать. Как я переводил бабло, так и переводу. В банке пофио какая у меня симка.
Подключен сберонлайн, переходил из МегаФона на теле2 и обратно. Банк как присылал смс, так и продолжил присылать. Как я переводил бабло, так и переводу. В банке пофио какая у меня симка.
раскрыть ветку (2)
Альфабанку не пофиг, при смене симки перестают отправлять уведомления, пока с ними не свяжешься.
А то, что ваш банк не заботится о вашей безопасности, не означает, что не существует тех банков, которые заботятся.
Человек правильно сказал, а вы его высмеяли и минуса поставили.
раскрыть ветку (1)
Многоуважемый викинг, вы допустили грубейшую ошибку смешав понятия "материнки" и радиомодуля. Имей храниться в кач-ве цифровой информации в последнем, а значит в определенных случаях его так же можно изменить на желаемый. В некоторых из этих случаев даже не требуют специализированного оборудования процессоры на платформе Mediatek (MTK) яркий тому пример. Иные случаи требуют минимальных затрат на общедоступное оборудование.
раскрыть ветку (17)
раскрыть ветку (16)
раскрыть ветку (15)
В банке сбрасывают информацию о твоих предыдущих сессиях (или заводят новый эккаунт, если ранее ты этой услугой не пользовался). Затем, когда ты первый раз запускаешь мобильный банк, приложение отправляет IMEI на сервер банка. В дальнейшем, если ты переставишь симку в другой смарт, мобильный банк не будет работать, пока снова с паспортом не сбросишь его в отделении банка.
раскрыть ветку (14)
раскрыть ветку (13)
раскрыть ветку (12)
Так я и спрашиваю, как он может поддерживать аутентификацию по IMEI? Как банк узнает IMEI телефона?
раскрыть ветку (11)
раскрыть ветку (10)
раскрыть ветку (9)
Тебя название приложения интересует? Это надо в банке узнавать, я же не баба Ванга. Теоретически, может быть любое приложение, выдающее токены. Например:
https://play.google.com/store/apps/details?id=com.google.and...
Как правило, банки используют свои собственные приложения, в которые уже встроены токенизация, платежи, выписки и т. д. Это тебе надо в свой банк идти, и все подробности узнавать там.
раскрыть ветку (8)
Каким образом связана поддержка банком аутентификации по IMEI и мобильное приложение? Вы хотите сказать что одно без другого невозможно?
раскрыть ветку (7)
Код что ли еще тут написать, посредством которого реализуется пересылка IMEI?) Я не понял, к чему этот разговор. Ты меня разоблачить хочешь?)
раскрыть ветку (6)
Вы хотите сказать что одно без другого невозможно?
Попробуйте просто ответить на прямо поставленный вопрос. По вашим предыдущим комментам такой вывод никак не сделаешь.
раскрыть ветку (5)
раскрыть ветку (4)
Т.е. принципиально банк может получить IMEI без установленного на телефоне юзера приложения? Как?
раскрыть ветку (3)
IMEI рассылается по умолчанию на любую соту, с которой ты связан. Следовательно, его может получить любое лицо, у которого есть доступ к базам опсоса.
раскрыть ветку (2)
раскрыть ветку (1)
Когда счет открываешь, в договоре есть такая маленькая галочка "Предоставляю банку право получать и распоряжаться личными данными". Все, разрешение получено.
раскрыть ветку (6)
на новых андроидах от именитых производителей вроде давно нельзя просто так это файл удалить, а только через дыры конкретной модели телефона, что за 15мин не сделать.
раскрыть ветку (1)
раскрыть ветку (3)
раскрыть ветку (2)
Я пользуюсь и тем, и другим. Верификация по смартфону объективно надежнее. К слову, смартфон поддерживает разные типы верификации, не только через SMS.
раскрыть ветку (1)