Berta Sándor

Kijátszható a PayLife?

A PayLife a osztrák bankok közös programja, amelynek keretében bankautomatákat üzemeltetnek. Az elképzelések alapján a szolgáltatás hamarosan elérhető lesz az interneten.

A Maestro-alapú rendszer előnye a hagyományos hitelkártyákkal szemben az, hogy az online boltokban a vásárlás közvetlenül a Maestro-kártyákkal is megvalósítható. Ez azt jelenti, hogy egy internetes áruház üzemeltetője nem tudja meg sem az ügyfél folyószámla-adatait, sem pedig a bankja nevét. Ezenkívül minden tranzakcióra SSL-titkosítás mellett kerül sor. Mivel a Maestro-kóddal történő kifizetések csak az emberek saját biztonsági kódjának megadásával együtt valósulhatnak meg, ezért az eljárás a PayLife létrehozói szerint rendkívül biztonságos. Nos, ahogy mondani szokták, ez így, ebben a formában nem teljesen igaz.

Legalábbis ezt támasztják alá azok a kísérletek, amiket a grazi Johanneum Juk06 újságíró növendékei és az ORF.at munkatársai közösen végeztek el. A csoport tagjai a tesztek során nagyon egyszerűen megszereztek egy idegen folyószámlához tartozó kódot. Ennek igényléséhez csupán a folyószámla-adatok és a születési dátum megadására volt szükségük. A regisztráció után tíz perccel már a hallgatók képesek voltak a PayLife rendszerében található 15 000 online boltban vásárolni.

Kiderült, hogy a szolgáltatás biztonsági rendszere, nagyon egyszerűen kijátszható az átlagos kiberbűnözők, de mint a példa mutatja akár egy egyszerű felhasználó számára is. Az esetről a csoport értesítette a PayLife vezetőit, választ azonban a kérdéseikre eddig nem kaptak. A cég hallgat és mereven elzárkózott minden megkeresés elől. A ügy pikantériája, hogy a PayLife éppen a napokban jelentette be a 10 000. NEXT GENERATION-nak nevezett online hozzáférést is biztosító új generációs bankautomata felszerelését. A készülékeket ISDN-, szélessávú, intranet- és GPRS-hálózatokból is el lehet érni.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • toto66 #14
    Azért mindegy milyen a kódolás, mert annak csak akkor van értelme, ha azt feltudjuk használni (az információként, kulcsként stb.). Ebből következik hogy mindig van olyan pont a rendszerben ami sokkal gyengébb mint a kódolás, és ez a fontos annak aki törni akar. Magyarán ha valamit nem lehet törni akkor értelmetlen, mivel a felhasználó sem tudja használni!
  • toto66 #13
    A szoftvereket sem úgy törik, hogy végigpróbálják az összes kódot, mert úgy kilátástalan lenne valóban. A rendszer egyébb hiányosságait kell megtalálni, és nem a kódolást kell rögtön megfejteni, a cracker-ek néha pár perc alatt feltörnek egy programot, annélkül, hogy a kódolással foglalkoznának (legelterjedtebb hogy valamilyen debug programot futtatnak és figyelik mikor kéri a jelszót a gép, és ha megtalálják kiiktatják azt a részt). Persze ez ellen is lehet védekezni, ez csak példa (meg az MD5 is) arra, hogy nem kódtöréssel kell kezdeni hanem a rendszer és a felhasználó hibáit kell megtalálni és ha ez sikerül akkor mindegy milyen a kódolás...
  • vajon kiki #12
    de mondom ha bárkinek van ötelete írja csak meg ! kíváncsian várom !
  • vajon kiki #11
    és akkor ezek a leggyorsabb, legcsicskább minössze 128 bites kódolások, nem is beszéltünk a 256 bitesről meg a nagyobbakról amiket csilliárd évek alatt még a nagyszakállú öregisten se tudna kibontani
  • vajon kiki #10
    jó tudod mit legyünk nagyvonalúak és mondjuk , hogy a kvantumszámítógépek másodpercenként nem 10ezer hanem 10 trilliárd (!!) kódot próbálnak ki ... egyenlőre persze ez még a négy matek alapművelet kiszámítására is derék teljesítmény és még a híres megduplázódási elvet figyelembevéve is csak legközelebb úgy 500 év múlva várhatóak ilyen gépek majd.. de akkor azokkal már egészen BIZONYOS hogy 1.079.028.307 , egy-billió éven belül már képesek leszünk kódot törni (feltéve ha létezik még akkor egyáltalán a ma még "tacskó" mindössze néhány milliárd éves univerzumunk...)
  • vajon kiki #9
    fogalmam sincs hogy jön ide az md5 ??!! régebbi https oldalak TLS bejelentkezésénél volt használatban ma már SHA-t használnak a hash-hez, az autentikációhoz RSA-DSA és a szimetrikus kulcs elég változatos 3DEStől kezdve az AES-g bármi..

    légyszives, ha van valami KONKRÉT 5leted ezek közül, bármelyiket megtörni a puszta próbálgatáson , brute-force-on kívül akkor közöld már le nekünk és más érdeklődők legnagyobb örömére akik velem együtt már vagy 8 éve nem találnak SEMMI érdemleges megtörési technikát ezekre a megoldásokra széles-e interneten és a kút fejükben SEM...

    köszönjük !
  • toto66 #8
    Érdekes szerkesztéskor még így írtam hash-t...
    a "t" lehagyta.
  • toto66 #7
    Nagyon egyszerűsítve a dolgot arról van szó, hogy hiába nagy számolási igényű a kód, vagy visszafejthetetlen, attól még bizonyos információk megszerezhetőek, a rendszer és a felhasználó hibáit kihasználva.
    Az MD5 hiába kódolja le a belépéshez szükséges jelszavad úgynevezett hash- létrehozva, ha az már megszerezhető és a jelszó helyett használható, akkor már nem is érdekes a jelszó. De a jelszavak hash-jának nagyrésze már adatbázisban van és kikereshető, ezért ha megszered a hash, akkor gyakorlatilag tudod a jelszót, mindenféle próbálgatás nélkül!
    Tehát a kódolás nem minden, a rendszert másképp is védeni kell!
  • paat #6
    titkosításhoz nem értek annyira, de hadd pofázzak bele: a kvantumszámítógépek számítási kapacitása hagyományos értelemben végtelen, vagyis a kód bonyolultságával a feltörési idő nem exponenciálisan nő, vagyis minden matematikai elven alapuló kódolást ki lehet majd kidobni az ablakon. (Ez nagyon előnyös, mert számos "pozitív célú" optimailizálási feladat túl számolásigényű, mert kb az a megoldásuk, hogy végigpróbálod az összes lehetőséget.)

    Persze senki ne essen pánikba, hogy mi lesz akkor a titkosítással (mert az ugye kell), a "kvantuminformációk" sajátja, hogy ha megjön az info, ki tudod deríteni, hogy azt közben megtekintették-e.
  • vajon kiki #5
    hajrá !