Кое е по-сигурно - електронен подпис или еднократен код?

Attacker

Well-Known Member
Наскоро забелязах, че основната ми обслужваща банка е пуснала нова опция за активно онлайн банкиране чрез двуфакторна автентикация - парола + код, генериран от мобилно приложение, като преди това единственият вариант за активно банкиране беше чрез парола + електронен подпис.

Въпросът ми към запознатите е кое е по-сигурно - парола + код, или парола + електронен подпис. По пътя на логиката би следвало първият метод да е по-сигурен, тъй като в този случай хакерът трябва да има достъп и до компютъра, и до телефона ми, а при втория метод е необходимо да има достъп само до компютъра ми, за да придобие и паролата, и електронния подпис. Но реално така ли е?
 
Така, въпросът ти е се свежда по-скоро до код или ел, подпис. Защото паролата е константна и при двата метода. Още е чудно кой е по-добрия метод. Но явно те интересува по-скоро офлайн частта, не чак толкова видовете криптировки и ключове зад тях?
 
Най-сигурното е да не държиш много пари в банка, а само колкото за зор-заман
 
Най-сигурното е да не държиш много пари в банка, а само колкото за зор-заман
Да, така е. :) В активи, брат. И още един съвет, който е по-точен - по-малкото достъп до тях е гаранция, че са по-трудно достъпни. За това примерно при спестовните сметки не взимаш карта. :)
 
моето мобилно приложение има само 8 цифрен пин код, по принцип нищо не е сигурно, ако успеят по някакъв начин да ти проникнат в телефона ще получат достъп, години наред не съм си сменял никъде паролите и не съм имал проблеми
 
Да, въпросът се свежда до това дали е по-лесно за накой да придобие достъп до електронния ми подпис, или до кода, генериран от телефона.

Иначе гледам да държа колкото се може по-малко пари в банката, но това е доста по-лесно приложимо от физически лица, отколкото от фирми, чиито разплащания са изцяло по банков път и които трябва да имат оборотни средства, ако искат да могат да си покриват задълженията навреме.
 
Ако влизаш в банкирането от компютър с линукс например и си сигурен, че телефона ти е чист, няма да имаш никакви проблеми, дори и да е само нормална парола.
 
технически най-сигурно* е с ел.подпис, паролата добавя още сигурност;

само парола + код е пълен та*ак обаче, и през приложение, или пък токен, или пък тан-код.

най-сигурно и лесно би било с подпис + код от приложение, но юридически използването на подписа е евивалентно на саморъчно подписване на платежно и представянето му в банката.

* - само, ако правилно ползваш подписа, след употреба се изважда картата или четеца, не се оставя включен, и не е написан пин** кода на четеца!.
** - пин кода може да е с дължина 4-10/4-16 символа, не само цифри.
 
Много сложни схеми мислите. Какво пречи на "хакера", както бе наречен по рано да ви докопа физически, тоест да сте заедно. Ако искайте имайте парола с 12000 знака :)

Има ли участие на задклавиатурното у-во сигурността е мит :).
 
Варианта е с ел.подпис, според мен. В моята банка:
имаш парола, ясно
електронен подпис за активно банкиране е само за една сметка
електронния подпис е с ПИН,
потвърждаване с SMS код за изпълнение на операцията след подписване.
И имам две сметки, като само в тази която ползвам да плащам има примерно 500-1000 лв според датата от месеца.
Тия мобилни приложения, ясно е че уж са писани и тествани, но....
 
По принцип token освен уникални кодове, преди това има парола. Струва ми се доста сигурно, а и човек ако не държи много големи суми, не виждам какво да му трепериш.
 
Електронен подпис се краде (не говорим за dongle-а физически да се открадне, а подписа намиращ се на него) от заразен компютър (докато е вкаран dongle-a) тествано и видяно на живо от мен. Еднократна парола (код,смс или каквото и да е) не може да се открадне.
 
Варианта е с ел.подпис, според мен. В моята банка:
имаш парола, ясно
електронен подпис за активно банкиране е само за една сметка
електронния подпис е с ПИН,
потвърждаване с SMS код за изпълнение на операцията след подписване.
И имам две сметки, като само в тази която ползвам да плащам има примерно 500-1000 лв според датата от месеца.
Тия мобилни приложения, ясно е че уж са писани и тествани, но....

Toчно. Униврсалният електронен подпис дава допълнителна сигурност от гл. т. на това, че освен парола, имаш и физически предмет, който ти е нужен за да направиш операцията. Повечето банки допълнително предлагат и СМС код. банката, която ползвам са го направили мн. удобно, защото пращат СМС само когато правиш първа транзакция. След това няма, респ. си спестяваш време.
 
Електронен подпис се краде (не говорим за dongle-а физически да се открадне, а подписа намиращ се на него) от заразен компютър (докато е вкаран dongle-a) тествано и видяно на живо от мен. Еднократна парола (код,смс или каквото и да е) не може да се открадне.

пълни глупости, като откраднеш подписа, а пина не го знаеш, ще се хванеш за палците!

смс и другите кодове минават през системата на банката, администратори имат достъп до съдържанието, смс-те също минават през оператор(може даже да са два, един на банката, един твой), кодовете някой ги печата, може да си направят копие!
 
пълни глупости, като откраднеш подписа, а пина не го знаеш, ще се хванеш за палците!

смс и другите кодове минават през системата на банката, администратори имат достъп до съдържанието, смс-те също минават през оператор(може даже да са два, един на банката, един твой), кодовете някой ги печата, може да си направят копие!

Като ти казвам, че от Райфазен се видяха в чудо.... При каквото и да е плащане (dongle се отключва и сертификата подлежи на копиране) се въвежда PIN-а. След това с сертификата и паролата се прави превеждане на пари от фирмена сметка към чужбина. Добре, че от банката са се усъмнили и звъннаха в фирмата да питат какво е това нареждане....
 
смс ите се пренасочват като стой та гледай
Чел си прекалено много книги. В чужбина може и да се прави (сменят сим картата и докато се усетиш твоя номер е с нова сим карта). В БГ тоя филм го няма. Трябва да си с заразен телефон (Android) който да прихваща смс-ите и тогава вече става други филми.

Другия начин да се "заобиколи" SMS код-а е с фалшиво обаждане от банката. Има програми с които можете да си смените номера на какъвто искате. След това се звъни на собственика на сметката с телефонен номер на банката и се пита какъв е код-а от смс-а , защото правят проверка на сигурността. Ако си балама и си кажеш код-а си е твой проблема.
 
Той кода важи 15 минути само , не е вечен . Кой та знае какво правиш та да ти звънне , та не знам какво си . По новините един път даваха как като не си извадиш "електронния подпис" могат да те хакнат . Даваха един пострадал . Казаха ползваш и вадиш .
 
пълни глупости, като откраднеш подписа, а пина не го знаеш, ще се хванеш за палците!

смс и другите кодове минават през системата на банката, администратори имат достъп до съдържанието, смс-те също минават през оператор(може даже да са два, един на банката, един твой), кодовете някой ги печата, може да си направят копие!
Кажи го на тия хора (и на мен защото ми се случи и добре, че навреме предипредих фирмата която обслужвах).
https://nova.bg/news/view/2015/02/23/102712/хакери-източиха-хиляди-от-сметката-на-семейство/

Той кода важи 15 минути само , не е вечен . Кой та знае какво правиш та да ти звънне , та не знам какво си . По новините един път даваха как като не си извадиш "електронния подпис" могат да те хакнат . Даваха един пострадал . Казаха ползваш и вадиш .

Не го хакват. Чисто и просто го копират заради простотояита наречене Windows...
 

Горе