Securitatea în Online Banking

[Foxter]

Latest phishing:


Noua metoda de autentificare si autorizare
Friday, August 28, 2009 5:54 PM
From:
"Raiffeisen Bank" <online@rzb.ro>
Add sender to Contacts
To:
undisclosed-recipients

Noua metoda de autentificare si autorizare

Card readerul (cititorul de card) este un nou dispozitiv dezvoltat pentru a asigura siguranta maxima a operatiunilor tale bancare pe internet banking. Cu ajutorul lui si a cardului Raiffeisen Online vei genera parole unice pentru autentificarea in aplicatia de internet banking si pentru autorizarea tranzactiilor tale.
Card Reader (cititor de card)Card reader Raiffeisen Bank
Card Raiffeisen OnlineCard de credit Raiffeisen Bank

Pentru a te autentifica in aplicatie trebuie sa urmezi urmatorii pasi:
Butonul AUTENTIFICA genereaza o parola unica pentru autentificarea in aplicatia de internet banking

    * Introdu cardul cu cip in cititorul de card si apoi apasa AUTENTIFICA
    * Pe ecran va aparea "PIN?", tasteaza codul PIN
    * Apasa OK
    * Odata ce ai introdus codul PIN corect va aparea pe ecran un cod numeric
    * Tasteaza parola, fara spatii, in pagina de accesare a serviciului de internet banking pentru autentificarea in aplicatie

Pentru autorizarea operatiunilor tale bancare urmeaza urmatorii pasi:
Butonul AUTORIZARE genereaza o parola pentru autorizarea tranzactiilor

    * Introdu cardul cu cip in cititorul de card, apasa AUTORIZARE
    * Pe ecran va aparea "PIN?", tasteaza codul PIN
    * Apasa OK
    * Odata ce ai introdus corect codul PIN, iti va fi solicitata suma tranzactiei ("Suma?"); introdu suma tranzactiei cum iti este indicat in ecranul de confirmare a tranzactiei
    * Apasa OK
    * Apoi iti va fi solicitat contul beneficiarului ("ContBenef?"); introdu cifrele corespunzatoare contului beneficiarului, cum iti este indicat in ecranul de confirmare a tranzactiei
    * Apasa OK
    * Parola va aparea pe ecranul cititorului de card; tasteaza parola fara spatii in pagina de confirmare a tranzactiei pentru autorizarea acesteia

Celelalte functionalitati din MENIU sunt rezervate pentru dezvoltari ulterioare.

Important!

    * Nu genera parole daca nu intentionezi sa le folosesti pentru autentificare in aplicatie, deoarece acest lucru va duce la desincronizarea cititorului de card urmata de blocarea accesului in aplicatie.
    * Asigura-te ca introduci codul PIN corect in cititorul de card pentru oricare dintre functionalitati. Atentie: introducerea codului PIN de 5 ori consecutiv in mod eronat duce la blocarea cardului!
    * Daca vei lasa cardul in cititorul de card, acesta se va opri automat dupa o perioada de timp; va putea fi pornit din nou prin apasarea butonului MENIU.
    * Din motive de securitate iti recomandam sa retragi cardul din cititorul de card dupa efectuarea tranzactiilor. Astfel vei evita si consumarea bateriilor.
    * Daca tii apasat pentru cateva secunde butonul MENIU, cititorul de card se va opri automat.

[Chipicao]

Partea tare e ca Raiffeisen tocmai a implementat sistemul "card online" + "card reader", pana acum nu aveau

[nicolin]

Metoda celor de la Raiffeisen pare cea mai sigura, cel putin din ceea ce am vazut pana acum la noi.
Adica nu este vorba doar de jucaria care genereaza parole (cum au, de ex., ING, BCR) ci si de o metoda suplimentara de siguranta - card-ul, fara de care jocarioara nu functioneste.

[SoNic]

Doamne, ce de complicatii... Mie banca nu imi cere NICIODATA sa introduc PIN-ul in alta parte decat in ATM.
Ce fac ei mi se pare mai sigur pentru ei ca banca, dar mai complicat si mai nesigur pentru user.

[nicolin]

SoNic, nu se introduce PIN-ul cardului tau.
La Raiff. ai un card suplimentar, cu chip, si parola pentru acel card special.

[Chipicao]

Da, trebuie sa bagi userul, parola si codul special. Trebuie sa tii minte 2 pinuri, userul si parola si sa porti grija a 2 carduri 
Toate astea pentru ca oamenii sunt atat de fraieri incat is dau userul si parola la fiecare mail primit cu sigla bancii...
De ce trebuie sa ma complic eu fiindca nu sunt altii in stare sa-si poarte de grija?

[LNT]

Eu am card la BCR, pentru online banking folosesc token de generat parole. Pin-ul la token l-am pus acelaşi ca şi cel al cardului, unul special pe care să-l ţin minte.  Iar ca o extra-măsură de siguranţă userul e un număr de vreo 6 caractere ce nu poate fi modificat (aiurea, cred eu). Mi se pare destul de sigur sistemul. Desigur, ar mai trebui ca şi utilizatorul să caşte ochii când intră pe site-ul băncii, să nu fie redirecţionat spre nush-ce ip cu pagina identică a băncii unde i se cer toate datele secrete.

[Chipicao]

Ce tare ca poti sa-ti alegi tu pin-ul la token! Poti face asta si la card?
La Raiff cel putin poti (trebuie) sa-ti alegi userul si parola care sa contina atat litere cat si cifre

[LNT]

Pinul de la card l-am schimbat imediat cum l-am primit, la bancomatul din aceeaşi clădire.  Iar la token l-am schimbat, am pus acelaşi pin. În schimb userul nu se poate schimba, e format numai din cifre. Şi e o combinaţie fatală, nu reuşesc sub nici o formă să-l memorez.

[tcalexander]

Ce mi se pare bizar la BCR e că au tastatură virtuală (chiar şi cu layout randomizat parcă) pentru codul generat de token, dar nu şi pentru user.

[Chipicao]

Ca sa scapi de keyloggere. Asa mai fac uneori cand sunt nevoit sa ma loghez de pe un calculator strain

[tcalexander]

Ştiu la ce se foloseşte o tastatură virtuală. Mi se pare ciudat că e doar pentru codul ăla care oricum e one-time şi nu pentru user. Pesemne se tem de ceva reverse engineering al algoritmului pentru generat codurile.