Sok komoly helyen van telefonos jelszó, akár bankoknál, befektetési szolgáltatóknál is.
Általában a számlanyitáskor meg kell adni egy telefonos jelszót, sok esetben ez csak egy számsor. Sőt valahol még meg sem lehet változtatni a telefonos jelszót, tehát egyszer megadod, onnantól végig ugyanaz marad a telefonos jelszó.
Aztán ezzel a telefonos jelszóval fel lehet hívni az ügyfélszolgálatot és elintézni bizonyos ügyeket, sőt olyat is láttam már, hogy a telefonos jelszó birtokában lehet módosítani az online jelszót, mert fel lehet hívni az ügyfélszolgálatot azzal, hogy elfelejtetted az online jelszót, adjanak új, ideiglenes jelszót.
Néhány helyen a telefonos jelszó mellett még kérdeznek egyéb dolgokat is, pl. anyja neve, születési dátum. De lássuk be, azért nem annyira nagyon nehéz megszerezni valakinek az anyja nevét és születési dátumát.
De nekem ezzel a fő bajom, hogy a telefonos csatorna nincsen titkosítva, ugye? Tehát ha telefonvonalon keresztül bemondom a telefonos jelszót, akkor végsősoron egy titkosítatlan csatornán keresztül adtam meg a jelszavam. Ha pedig titkosítatlan, akkor elvileg egy támadó megszerezheti így a telefonos jelszót, nem? És egyáltalán hogyan tárolják a telefonos jelszót, rendesen hashelve, vagy pedig plain text-ben? Ha ügyintézőnek megmondom a telefonos jelszót, akkor utána ha ő felírja egy kis papírra magának, ez így mennyire biztonságos számomra?
Mennyire biztonságos ez az egész telefonos jelszó dolog, mennyire könnyű lehallgatni a telefonvonalat?
Én mindig le szoktam tiltani a telefonos csatornát, ha van rá lehetőség. Tehát ha bank vagy befektetési szolgáltató kínál telefonos jelszót és ügyintézést, és ezt le lehet tiltani, akkor ezt mindig letiltom, mert ugye ez nem titkosított csatorna.
Akkor van viszont a gond, amikor nem lehet letiltani, mert ilyennel is találkoztam. Tehát meg kell adni egy telefonos jelszót, és nem lehet letiltani, hogy az ügyfélszolgálaton a telefonos jelszóval ügyet lehessen intézni.
Ezért is kérdezem, hogy szerintetek ez a telefonos jelszó dolog mennyire gáz biztonság szempontjából? És vajon miért használják komoly pénzintézetek még mindig a telefonos jelszót?
Ha egy olyan szolgáltatónál vagyok, ahol kötelező megadni a telefonos jelszót, és nem lehet letiltani a telefonos ügyintézést, akkor ez így mennyire biztonságos, kell-e emiatt aggódni vagy a gyakorlatban egy támadó nem tudja ezt kihasználni?
Hozzászólások
Nem tudom, mennyire gyakori, én nem nagyon találkoztam ilyennel. De ha parázol tőle, akkor ne vegyél igénybe olyan szolgáltatót, amelyik ilyen azonosítási módot használ. Főleg, ha nem módosítható.
Biztos vagy benne? Nézz utána az összes szolgáltatónál, banknál, brókernél, biztosítónál, befektetési szolgáltatónál ahol vagy, hogy be van-e állítva telefonos jelszó, és azokkal milyen ügyeket lehet intézni, ill. milyen biztonsági beállításokat lehet módosítani a telefonos jelszóval.
Nyilván ezen felül van online felület is, de sokszor telefonos jelszó is be van állítva, amivel kapcsolatba léphetsz a telefonos ügyfélszolgálattal.
ha akarnék se tudnék telefonon ügyet intézni. ez volt a feltétele többek között a 0 Ft-os számlámnak. egyedül bankkártyaletiltást lehetne intézni. de mivel a fizikai kártyát megsemmisítettem, így ez is okafogyott
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
"de mivel a fizikai kártyát megsemmisítettem, így ez is okafogyott" - a fizikai kártya hiányában is lehet a kártyaadatokkal tranzakciót kezdeményezni :-)
tudom. csinálom is. paypalban el van mentve. apple pay ott a telefon és az órámon.
de a fizikai kártyámat nem tudják ellopni :)
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Amikor ATM-bol kp.-t veszel fel azt hogy oldod meg? Tudom, hogy letezik olyan ATM ami az erinteses "kartyat" (= akarmilyen NFC eszkozt) is elfogad, de ez nem gyakori es ha elmesz valamerre lehet meg magneskartyas terminalt is talalhatsz (jo, ennek kicsi az eselye, de ahol kp.-t kernek olyan biztos lesz).
En is NFC-t hasznalok, de parszor elofordul, hogy a terminal bekeri a kartyat, mert nem sikerul leolvasni valamiert. Olyankor nem fizetsz vagy mindig van nalad kp.?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ha csak PayPal fizetésre kell neki, akkor nem gond...
Igaz, bar akkor sem ertem a kartya megsemmisitest. Akkor lehet nem is kellett volna kerni, paypal-t atutalassal is fel lehet tolteni :)
A kartyat meg el lehet asni a kertben ha ennyire fennall a lopasveszely :D
Nem ertem, hogy a valo eletben akkor mivel fizet, nem a matrixban elunk 24 oraban...
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
5 éve vettem fel pénzt utoljára. nem tudom elképzelni, mire kellhet készpénz 2022-ben, hacsak nem illegális üzletre. az pedig nem érdekel
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Nem tudom melyik bolygon elsz, a kp. meg mindig szukseges neha (legalis dolgokhoz is) vagy pedig egyszerubb/gyorsabb mint a mobil terminallal pepecselni "nem jo a kapcsolat, huzza le ujra a kartyajat, ah, megint nem mukodik". Arrol nem is beszelve, hogy lehet olyan amikor all a rendszer (ritka, de elofordul) es akkor vagy fizetsz kp.-val, vagy otthagyod a cuccot a boltban (esetleg varsz amig rendbejon a rendszer).
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
értetlenkedhetsz. de velem ilyen nem fordult elő. mindenhol! működött a telóm vagy az órám.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Rendben, minden elismeresem. Nekem pl. a svajci parkolo automata csak 2 frankost fogadott el :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
A gyakorlat inkább azt mutatja, hogy most már gyorsabb kártyával, mint készpénzt számolgatni.
Kell hozza terminal es (stabil) internet, nem arrol beszelek amikor idealis helyzet van, hanem amikor nincs :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
"es (stabil) internet," 3G-n/GPRS-en elmennek a POS-terminálok. Oké, amikor Splitből vonatoztunk hazafelé, akkor a hegyek között nem tudtunk kártyával fizetni...
Már (jobb helyeken) a kávé- meg a kólaautomatán is van kártyaolvasó...
A 3G-re lassan egész EU-ban megadták a kilövési engedélyt. Akkor csak a 2G marad meg a 4 v. 5.
Tudom, ezért írtam, hogy GPRS (illetve EDGE) elég a POS-nak - az ugyanis (gyakorlatilag) 2G (2.5G-nek nevezik, de attól még a 2G-s infrastruktúrát használja, ergo a 3G-s eszközök lekapcsolása után is működni fog). Anno egyébként volt olyan ATM (ami adatátviteli igény szempontjából megegyezik egy POS-terminállal), ami két telefonfülke "közé" lett kirakva, és az egészet egy ISDN BRI "vitte" - a két telefon a 2*64k-t kapta meg, az ATM meg a 16k-ra "ültetett" X25-ön beszélgetett...
Múltkor épp viszonylag nagy pénz volt nálam, és a sörömet kártyával fizettem ki egy művelődési házban. A tranzakció befejezésére vártunk vagy két percet. Szóval nem mindig.
Pl. WC-re kell menni.... Vagy az illegális?
Én is abszolút a bankkártyát preferálom, de azért van sok olyan eset, ahol még nincs más megoldás. Pl. van olyan villanyszerelő/vízszerelő/akármi szerelő, ahol tudsz bankkártyával fizetni? Persze elméletileg lehet hogy van, de én nem igazán hallottam még az ismerőseim ismerőseitől sem :) Vagy ha mondjuk lenne is rá lehetőség, de azt mondja, hogy 20 ezer készpénz, vagy számlával bankkártyával 30 ezer + ÁFA, akkor azért bőven van olyan szitu, hogy inkább a 20 ezer kp-t választod.
Mivel azok a szerelő kontárok mind evások, nagy többség 0% áfás már, így semmibe nem fáj nekik számlát gyártani. Sőt sok esetben kérdés nélkül adják már a számlát. Ha fájna nekik, elhiszed h. egyből nem adnák ilyen vidáman a számlát, ld. mint előző 30 éves időszakban?
Ha alkalmazotr vagy, kérdezz körbe néhány egyéni vállalkozó ismerőst egy sör mellett, képbe fogsz kerülni.
Igen, van 0%-os is. De nekem a legutóbbi konkrét villanyszerelős példám mégsem ilyen, ő számla kérése esetén hozzácsapta volna az ÁFA-t.
Tízből egyszer bejön, máris ingyenpénz. :)
" de azt mondja, hogy 20 ezer készpénz, vagy számlával bankkártyával 30 ezer + ÁFA" - Akkor megkéred, hogy zárja be maga után az ajtót. Kívülről. Adócsalókkal ugyanis nem köll üzletelni.
Szép elmélet, de azért légy őszinte magadhoz: szerinted ilyen szituban az emberek többsége mit fog választani? :)
Az a gáz, hogy ezzel tartják életben az adócsalást. Én mindenképp a szóban elhangzott árhoz és az arról szóló számlához ragaszkodnék - ha nem tetszik, a fejére is állhat, mert egyrészt én vagyok birtokon belül, másrészt ha hepciáskodik, egy hatósági intézkedést követően neki kell magyarázkodnia a NAV-nál is... Volt már ilyen szerelő, aki pampogott, hogy de számlával neki annyiért nem éri meg - ráböktem a kamerára meg az ajtón látható, kamerás rendszerre figyelmeztető matricára, és megkérdeztem, hogy ugye nem baj, ha a NAV megkapja a felvételt...?
:-D de gonosz és ügyes ;-)
For Whites Only meeting room!
És milyen önvédelmi eszközt tartasz magadnál? Kocsi nem szokott megkarcolódni a parkolóban? :)
Ritkán hívok iparost... :-P
Ha pl. valódi garanciát is vár a pénzéért, akkor a dokumentumot, azaz a számlát.
De, sajnos kell, mert ha olyat akarsz, aki nem egy kontár barom, és még rá is ér, akkor elég szűk a mozgástered.
Adócsalóval nem üzletelünk. Ennyi.
Majd ha neked kéne várni fél évet egy szakira, akkor te is fogsz, nyugi. :)
Gázhoz nem nyúlok, mást meg megcsinálok magamnak.
aki számlaköteles, az köteles elektronikusan is elfogadni a fizetést. vagy bankkártyával vagy azonnali utalással.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Ez igaz, utalni szinte bárkinek lehetett, aki mostanában nálunk járt. Nyilván, mert az a te költséged, ellentétben a kártyás fizetéssel.
Egy átlagos szakiparos számlájának összegéhez képest molyfing az utalási költség.
Szerintem is, ettől még jobban örül az iparos, ha te fizeted, nem ő.
Ez így nem igaz, pl ha csak szolgáltatást nyújt akkor nem köteles.
Szerk: javítom magam, bizonyos szolgáltatási szektorok kimaradtak, pl fodrászatok
A bank és brókercég, amelyeknél számlám van, telefonra telepített 2FA-t használ (nem SMS alapút). Telefonon sose intéztem ügyeket náluk.
Pl. Erste Telebank
[kisse offtopic]
Egy kapcsolodo tortenet, mar nem emlekszem melyik banknal volt:
- netbank 3 rossz probalkozas utan kizar
- netbank jelszo modositasa telefonon (vagy szemelyesen, ez utobbi nem jatszott) lehetseges, telebank (=telefonos) jelszoval
Nagyon idegesito volt, mivel a telebank jelszot nem tudtam (talan nem volt addig beallitva), beallitani vagy modositani csak szemelyesen lehet ami nem konnyu, ha kulfoldon elsz. Mar nem emlekszem, hogyan oldottam meg vegul, azt hiszem tervben volt egy hazaut az elkovetkezendo hetekben, addig meg raert es vegul szemelyesen elinteztem.
[ontopic]
Ugy tudom mobilt (GSM) nem olyan egyszeru lehallgatni a banki oldal meg talan nincs bepoloskazva.
Talan hogy olyanok is tudjanak bankolni akinek igy konnyebb? Pl. vak, nincs internete, idos es neki igy jobb, stb.
Lehet, hogy o a jelszavad nelkul is be tud lepni. Ha arra gondolsz, hogy masnap felhivja a bankot valaki azzal a jelszoval es az adataiddal es utana elutaljak a penzed abbol rendorsegi ugyet csinalsz es kiderul, hogy nem te kerted a jelszo modositasat, penzed visszakapod. Gondolom en. Amugy ez erdekes, mert te is megkerheted egy baratod, hogy hivja fel a bankot a jelszoval, stb. utalja el a penzt valahova es miutan visszakaptad 2x annyi penzed lesz. Nem tudom ez hogy megy.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Mondjuk ne csinálj ilyet, hanem várd meg, amíg az automatának bepötyögheted, és akkor problem solved :)
Attól még gondolom az adatátvitel nem lesz titkosítva. Van egy olyan megérzésem, hogy titkosítatlan csatornán továbbítani egy jelszót nem a legbiztonságosabb dolog.
Statikus telefonos jelszó helyett szerintem a Time-based One-time Password (TOTP) lenne a megoldás. Úgy tudom, hogy azt lehet akár telefonon is továbbítani, hiába hallgatja le egy támadó, mivel egyszer használatos jelszó és időhöz is van kötve, így kétszer nem használható fel. Legközelebbi telefonos azonosításkor már teljesen más jelszót kell megadni.
Vagy talán a legjobb, kombinálva a kettőt: meg kell adni a statikus telefonos jelszót, de mellé a TOTP jelszót is. Így a támadónak meg kéne tudnia szerezni a statikus telefonos jelszót, valamint meg kell még szerezni fizikailag is a TOTP-generáló eszközt, sőt még a TOTP eszköz PIN kódját is meg kéne szerezni.
Meg persze lehetőséget kell biztosítani, hogyha az ügyfél nem kívánja használni a telefonos ügyintézést, akkor le tudja teljesen tiltani azt.
Volt hogy egyik korábbi céges vpn-hez úgy kellett belépni, hogy volt a statikus 4-6 karakteres fix jelszavam, és hozzá kellett "konkatenálni" az okostelefonos app-ban a percenként változó one time jelszót, így lett valami 8-12 karakteres a belépési jelszó. Imádtam.
Volt egy projektem, ahol még ehhez képest is sikerült überelni a paranoiát.
A desktop-odon kívül nem volt jelszavad, az összes jelszót egy saját fejlesztésű vault managelte, ami rendszeresen cserélgette is jelszavakat a különböző rendszerekben, totál random időközönként.
CyberArk és társai... tudom hogy hasznos, meg "izó" -hoz meg audithoz muszáj és tsai, de akkor is hogy a fasza száradna le annak aki azt megírta és elterjesztette
Tehat ha ellopjak a telefonod es a bankkartyad, akkor meg veletlenul sem tudod majd letiltatni, mert a TOTP generalo eszkoz nem lesz nalad vagy mert letiltottad a telefonos ugyintezest :D
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
De ha ellopták a telefonod, akkor hogyan lépsz kapcsolatba a telefonos ügyfélszolgálattal? Jó, mondjuk el tudod kérni valakitől az ő telefonját.
Bankkártya letiltásnál lehetne kivétel, hogy azt meg tudod tenni telefonos jelszóval mindenképp, vagy pedig bemondva a bankkártya számából X db számjegyet. Még nem tiltottam le bankkártyát telefonon keresztül, nem tudom, hogyan működik.
Bankkártyaszám elég hozzá. Ha mondjuk becsületes megtaláló vagyok, és le akarom tiltani a megtalált kártyát, furcsa lenne, ha a bank mindenféle azonosító kódot kérne mellé. :)
Tenyleg? Az eleg szivas, barki aki megnezi a kartyam szamat poenbol letiltathatja en meg kerhetek ujat? Szerintem ez nem ennyire egyszeru.
[szerk.] a becsuletes megtalalo adja le a rendorsegen es ne hivogassa a bankomat :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ne mutogasd a kártyád számát.
Szerinted ennek nagyobb kockázata van, mint annak, hogy éles helyzetben nem tudsz letiltani egy kártyát? :)
És utána?
WTF did I just read?
Marmint most tenyleg az a gond h vki johiszemuen letiltatja a kompromitallodott kartyat h masok ne tudjak ellopni vkinek a penzet?
A rendor pedig garantalt h nem fog visszaelni a kartyadatokkal es dobja ki a jaror kocsibol menetkozben, h megussza a papirmunkat es keressen egy kis mellecasht, igaz? (Az is eleg ha 10 forintert eladja a darkweben az adatokat)
Sok bank nem is veglegesen tiltja. Pl az enyemnel letezik felfuggesztes, ingyenesen es ujraaktivalas szinten ingyenesen, ha esetleg megis megtalalnad.
De ha meg tenyleg sok penz van a bankban egy 4-5k kartyadijon porgunk vagy telleg mit nem ertek?
(Feltetelezve h nem Te vagy a gyorsabb, mert ugye kompromitalt kartyat epeszu ember azonnal tilt ha rajon)
Szerintem bankja válogatja melyik hajlandó ideiglenesen felfüggeszteni a kártyát. Nekem csak végleges tiltást voltak hajlandóak csinálni. Mert azután ki lehet számlázni az új kártya pofátlan magas díját.
Ha és amennyiben a kártyád fizikai valójában általad ismeretlen harmadik félnél is volt, akkor azt a kártyát nem igazán jó dolog csak felfüggeszteni. Amíg a kártyán vizuálisan megjelenő adatok elégségesek egy fizetési tranzakcióhoz, addig egy ilyen, a felügyeleted alól időlegesen kikerült kártya a továbbiakban nem tekinthető biztonságosnak.
Az OTP a tudottan elhagyott kártyát akarta visszaadni, miután egy ATM elnyelte (aki megtalálta, kp.-t próbált vele felvenni) - aztán csodálkoztak, hogy az üf. khm. nem kérte vissza a felfüggesztett kártyáját. Az Erste esetén (ez saját sztori) nem találtam a kártyát, simán fel lehetett függeszteni (0HUF), amely felfüggesztés x nap múlva letiltásba ment volna át. Mivel a kártya olyan helyen maradt ott (nyaraló), ahol senki nem fért hozzá, így nyugodtan kértem a felfüggesztés megszüntetését (0HUF).
Szóval esete válogatja - ha bizton tudod, hogy illetéktelenhez is került, vagy kerülhetett a kártya, akkor az a biztos, ha új kártyát (új kártyaszám, lejárat, CVV/CVC) csináltatsz.
Ahogy egy elhagyott lakáskulcs esetében is az a biztos, ha legalább egy zár lecserélésre kerül (Citibankos VISA hitelkártyánál volt az, hogy kártyaszám maradt, csak a lejárat és a CVV változott a lejárt kártya cseréje során)
Közben privátban szóltak (thx innen is), hogy ez bankfüggő, valahol végig kell menni az azonosításon.
Ezt gondold át még egyszer... Van egy plasztiklap, azon 16 számjegy. Ez a plasztiklap nincs a birtokodban. Hogyan fogod megadni a letiltáshoz a kártya számát, ha az nincs a birtokodban? Ha megtaláló vagy, akkor a legközelebbi bankfiókban adhatod le a kártyát (ez a "hivatalos" megoldás), vagy ha nem akarsz macerát, akkor hazaviszed, miszlikbe aprítod, és elhelyezed a legközelebbi n darab kukában a darabjait :-P
He? A saját kártyámat nyilván nem így tiltom le, hanem netbankból, mobilappon, vagy rendesen azonosítom magam.
Én voltam már megtaláló, felhívtam a számot a kártya hátulján, bediktáltam a 16 számjegyet, megköszönték a kedvességemet és letiltották. A tárca többi része meg ment a rendőrségre.