Tuesday, March 20, 2007

RSA SecurID


Μου έδωσε η Πειραιώς ένα RSA SecurID, μια απίστευτη συσκευή στο μέγεθος ενός USB Stick, που σε μια μικρή οθόνη εμφανίζει κάθε ένα λεπτό και έναν διαφορετικό, φαινομενικά τυχαίο, εξαψήφιο αριθμό. Ο ρόλος της συσκευής είναι για να λειτουργεί σαν επιπλέον κλειδί, και μαζί με το ζευγάρι Όνομα Χρήστη – Συνθηματικού που χρησιμοποιείς για τις ηλεκτρονικές σου τραπεζικές συναλλαγές, γράφεις και τον αριθμό που δείχνει εκείνη τη στιγμή. Έτσι, η ασφάλεια των συναλλαγών δεν εξαρτάται μόνο από κάτι που ξέρεις (το ζευγάρι Όνομα Χρήστη – Συνθηματικού) αλλά και από κάτι που έχεις (τη συσκευή και τους αριθμούς που εμφανίζει στην οθόνη της). Για να μπορέσει κάποιος να φτάσει στα ηλεκτρονικά λεφτά σου, πρέπει να μάθει το Συνθηματικό σου, και να σου κλέψει και τη συσκευή.

Η Πειραιώς μέχρι τώρα υλοποιούσε αυτή τη διπλή ("two-factor") ταυτοποίηση στέλνοντας τη στιγμή που ζητούσες τη συναλλαγή, ένα SMS μήνυμα στο κινητό σου. Οπότε για να φτάσει κάποιος στα ηλεκτρονικά λεφτά σου, έπρεπε να σου κλέψει το Συνθηματικό και το κινητό.

Το SecurID έχει το πλεονέκτημα ότι είναι αυτόνομο, κρατάει 5 χρόνια, και μια και η δουλειά του είναι να εμφανίζει έναν εξαψήφιο αριθμό κάθε λεπτό, είναι και πολύ χρήσιμο κάθε φορά που φταρνίζεται κάποιος και σε πιέζει να του πεις έναν αριθμό.

9 comments:

hammett79 said...

Η αλφα μπανκ πάντως το έχει εδω και κάτι χρόνια. (αψού!)

Zaf said...

Gesundheit! 809 724 ...

Stavros said...

h Nordea Bank sou dhmiourgei kai dinei ena encrypted arxeio pou mpainei sto pc sou kai otan 8eleis na sunde8eis me to ebanking, o server tous elegxei to arxeio, to username sou kai to password.

Opote, kapoios, ektos apo to username kai password, prepei na sou klepsei to pc 'h to arxeio.

Zaf said...

και το διαβάζει ο browser αυτό το αρχείο; και λειτουργεί μόνο με internet explorer; και αν κάποιος μπει στο σπίτι σου ενώ λείπεις;

Stavros said...

To diavazei o browser mesw java applet. An kapoios mpei sto spiti enw leipeis, prepei na 3erei kai to username kai to password..

An autos pou mpei, 3erei to username kai password, e, ti na kaneis? einai pio eukolo na sou klepsei kapoios to marafeti pou kouvalas kai na paei se ena netcafe pantws, apo to na mpei spiti sou :)

Stavros said...

a, kai leitourgei me oti browser 8es, arkei na uposthrizei java applets..

Zaf said...

είναι πιο εύκολο όμως την ώρα που κάνεις πάρτυ ένας καλεσμένος να κάτσει στον υπολογιστή σου και να μεταφέρει όλα τα λεφτά στον λογαριασμό του... και νόμιζα ότι οι εφαρμογές που έτρεχαν ΜΕΣΑ σε browser δεν είχαν πρόσβαση στο υπόλοιπο PC, και γι' αυτό ήταν ασφαλείς... Ε; ε; ε;

Stavros said...

Ρε ζαφ, είναι σαν κάποιος να σου κλέβει το μαραφέτι σου ενώ κάνεις πάρτυ. Είναι άχρηστο μόνο του. Για να μεταφέρει κάποιος τα λεφτά μου στο λογαριασμό του πρέπει
1. να έχει πρόσβαση στο Pc(ή στο αρχείο) μου
2. να ξέρει το username μου
3. να ξέρει το password μου

Όσο για τα Applet security aspects, read this

Zaf said...

Ρε; τι ρε; πως ρε; αν σε κουρντίσω και άλλο θα αρχίσεις και τις χριστοπαναγίες; Πάω να διαβάσω τις τριάντα σελίδες που μου έστειλες....