新足迹

 找回密码
 注册

精华好帖回顾

· ++++欧洲申根签证宝典(41楼最重要的注意事项)+++++ (2013-4-5) 小兔白又白 · 终于做出不甜的马卡龙了——【开心果马卡龙】2楼3楼详细做法图解已上 (2012-5-20) 航迹云
· 跟我学做菜-1 家常绍子鱼(重庆菜) (2005-2-10) rong303 · 参加活动-坐着公车去看房 (2014-3-18) daniello
Advertisement
Advertisement
楼主:findcaiyzh

[养老金] 用网上银行的筒子多吗? [复制链接]

发表于 2007-9-10 16:17 |显示全部楼层
此文章由 findcaiyzh 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 findcaiyzh 所有!转贴必须注明作者、出处和本声明,并保持内容完整
ingeer的方法真厉害!!

另外,动态密码到底是什么意思?
Advertisement
Advertisement

发表于 2007-9-10 23:34 |显示全部楼层
此文章由 HSBC 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 HSBC 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 VIP 于 2007-9-10 12:07 发表


bankwest还有动态密码?


估计lls说的是security number吧

发表于 2007-9-11 15:24 |显示全部楼层
此文章由 maribel 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 maribel 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 袋鼠 于 2007-9-8 23:56 发表
给你一个tips,很有用的。

输入ID/password时,别用键盘,用on-screen keyboard.


我目前接触的只有ING DIRECT和CITIBANK登陆时候是ON-SCREEN KEYBOARDS啊. 

发表于 2007-9-11 15:26 |显示全部楼层
此文章由 cattor 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 cattor 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我的方法是,IE用来浏览一般东西,firefox用来上网上银行。不是因为觉得firefox更安全哈,只是想分开。如果你平常习惯用firefox,那么网上移行你就用IE。每次退出后,清空浏览器所有的本地缓存。
没有图像的签名档,多么凄凉。So...

不知道从什么时候开始,在每一样东西上面都有一个日子,秋刀鱼会过期,肉罐头会过期,连保鲜纸 -- 都会过期,我开始怀疑,在这个世界上,还有什么东西是不会过期的?

发表于 2007-9-11 21:52 |显示全部楼层
此文章由 袋鼠 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 袋鼠 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 maribel 于 2007-9-11 14:24 发表


我目前接触的只有ING DIRECT和CITIBANK登陆时候是ON-SCREEN KEYBOARDS啊. 


你的windows就有,in accessories -> accessibility
H

发表于 2007-9-12 10:22 |显示全部楼层
此文章由 H 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 H 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 ingeer 于 2007-9-10 09:09 发表
如果你的登陸名和口令含有數字的話,使用WINDOWS自帶的CALCULATOR按出數字後選COPY菜單(一定要用鼠標選,不要按CTRL-C) 然後用鼠標PASTE到輸入的地方就可以了, 這樣的話不太會中刀

樓上有位同學所說的ON-SCREEN- ...



这个方法早过时了,现在好多木马可以直接截取密码框里发出的内容,不管你是用什么方法输入的。感觉还是HSBC的动态密码实用,citibank的那个键盘还是有漏洞,因为木马可以抓取你的屏幕,同时记录鼠标点击的坐标。

不过大家也不要因噎废食了,毕竟如果要偷你的钱需要转到另一个帐号,也是有迹可循的。平时注意不在公共机器上用网银,不浏览乱七八糟的小网站,中招的可能性不大。

评分

参与人数 1积分 +2 收起 理由
VIP + 2 我很赞同

查看全部评分

Advertisement
Advertisement
H

发表于 2007-9-12 10:25 |显示全部楼层
此文章由 H 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 H 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 袋鼠 于 2007-9-11 20:52 发表


你的windows就有,in accessories -> accessibility


两个概念。那个软键盘输入和”硬“键盘的效果是一样的。只有银行端提供的VIRTUAL KEYBOARD(最好是随机键盘)才有安全保障。

[ 本帖最后由 ft99810 于 2007-9-12 09:26 编辑 ]

发表于 2007-9-12 10:56 |显示全部楼层
此文章由 wil 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 wil 所有!转贴必须注明作者、出处和本声明,并保持内容完整
VIRTUAL KEYBOARD比普通静态密码要强一些,和hsbc的one time password还是不一个级别的。hacker可以截取所有浏览器发出的请求信息,即使密码是加密过的,加密后的字串也是固定的,最根本的就是这些都是静态密码,怎么排列组合,传出去的都是不变的。

发表于 2007-9-12 12:07 |显示全部楼层
此文章由 袋鼠 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 袋鼠 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 ft99810 于 2007-9-12 09:25 发表


两个概念。那个软键盘输入和”硬“键盘的效果是一样的。只有银行端提供的VIRTUAL KEYBOARD(最好是随机键盘)才有安全保障。


是吗,这个我到不知道,key stroke capture的程序可以记录键盘的输入,也可以记录这个on screen keyboard的输入?

发表于 2007-9-12 12:12 |显示全部楼层
此文章由 袋鼠 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 袋鼠 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我觉得最安全而且又方便的还是用secure token的。
公司的remote logon就是这种,有个secure token device, secure token每半分钟换一次,登陆要ID, paasword还有这个secure token很安全。

新加坡的银行1年前也用这种东西了,不像one time password要发到手机里麻烦一些。

发表于 2007-9-12 12:32 |显示全部楼层

回复 #36 ft99810 的帖子

此文章由 VIP 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 VIP 所有!转贴必须注明作者、出处和本声明,并保持内容完整
这个才是正确答案.
Advertisement
Advertisement

发表于 2007-9-12 12:37 |显示全部楼层
此文章由 flyspirit 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 flyspirit 所有!转贴必须注明作者、出处和本声明,并保持内容完整
一直用网上银行的,没有网银没法活啊

发表于 2007-9-12 12:38 |显示全部楼层
此文章由 flyspirit 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 flyspirit 所有!转贴必须注明作者、出处和本声明,并保持内容完整
保持自己电脑无毒,是最重要的

发表于 2007-9-12 13:21 |显示全部楼层
此文章由 bulaohu 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 bulaohu 所有!转贴必须注明作者、出处和本声明,并保持内容完整
目前银行的网上登录系统里我觉得OTP(like the HSBC token)最安全,但OTP本身也有漏洞,我见过< 1min crack OTP password的例子。

退役斑竹 2007 年度奖章获得者 2008年度奖章获得者 特殊贡献奖章 参与宝库编辑功臣

发表于 2007-9-12 13:39 |显示全部楼层
此文章由 黑山老妖 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 黑山老妖 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 bulaohu 于 2007-9-12 12:21 发表
我见过< 1min crack OTP password的例子。

I think the randomization on the device must be really really bad...

发表于 2007-9-12 13:48 |显示全部楼层
此文章由 VIP 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 VIP 所有!转贴必须注明作者、出处和本声明,并保持内容完整
I think the randomization is not on the device:)
Advertisement
Advertisement

退役斑竹 2007 年度奖章获得者 2008年度奖章获得者 特殊贡献奖章 参与宝库编辑功臣

发表于 2007-9-12 13:52 |显示全部楼层
此文章由 黑山老妖 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 黑山老妖 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 VIP 于 2007-9-12 12:48 发表
I think the randomization is not on the device:)

So where is the randomization done? Cos the token gives a number every n seconds right? If someone can guess the next number the security system is effectively defeated.
Happy Wife = Happy Life
H

发表于 2007-9-12 14:05 |显示全部楼层
此文章由 H 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 H 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 黑山老妖 于 2007-9-12 12:52 发表

So where is the randomization done? Cos the token gives a number every n seconds right? If someone can guess the next number the security system is effectively defeated.



我每次按之前都自己猜一下,最多对过2个数字,位置还不对

有人介绍一下那个1 min crack的案例吗?

发表于 2007-9-12 14:13 |显示全部楼层

回复 #47 黑山老妖 的帖子

此文章由 VIP 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 VIP 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我的理解是那玩意只是个接收器.如果动态密码由它产生,它还需要发射装置.
H

发表于 2007-9-12 14:22 |显示全部楼层
此文章由 H 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 H 所有!转贴必须注明作者、出处和本声明,并保持内容完整
应该没那么复杂。我的理解是这个东西时间跟服务器同步,产生的随机码在登录时输入,传送到服务器后用特殊算法验算(跟你帐号关联,所以一个人的随机密码别人用不了)。随机码多长时间过期倒没研究过。

如果是接收器,电池电力应该不够,而且需要象GPS一样,全球都可以接收,这成本就太高了。

发表于 2007-9-12 15:06 |显示全部楼层

回复 #50 ft99810 的帖子

此文章由 VIP 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 VIP 所有!转贴必须注明作者、出处和本声明,并保持内容完整
那个东西确实在无线通讯.上飞机时机场要求托运.
Advertisement
Advertisement

退役斑竹 2007 年度奖章获得者 2008年度奖章获得者 特殊贡献奖章 参与宝库编辑功臣

发表于 2007-9-12 15:10 |显示全部楼层
此文章由 黑山老妖 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 黑山老妖 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 VIP 于 2007-9-12 14:06 发表
那个东西确实在无线通讯

我觉得不太可能。如果我在地下室那就没信号了。这东西就不工作了?

发表于 2007-9-12 15:13 |显示全部楼层
此文章由 bulaohu 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 bulaohu 所有!转贴必须注明作者、出处和本声明,并保持内容完整

发表于 2007-9-12 15:27 |显示全部楼层
此文章由 daisydu 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 daisydu 所有!转贴必须注明作者、出处和本声明,并保持内容完整
网上银行现在都有U盾啊,可以申请个U盾或口令卡比较安全。
尽量不要随便在其它人的电脑上登陆!!!

发表于 2007-9-12 15:30 |显示全部楼层
此文章由 wil 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 wil 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 ft99810 于 2007-9-12 13:22 发表
应该没那么复杂。我的理解是这个东西时间跟服务器同步,产生的随机码在登录时输入,传送到服务器后用特殊算法验算(跟你帐号关联,所以一个人的随机密码别人用不了)。随机码多长时间过期倒没研究过。

如果是接 ...


是的,使用之前需要和服务器同步一下,在服务器数据库里每个客户都对应一个分配的自串,这个字串就是种子,随即算法硬件写入到token里面,每7秒钟演算一次,同样在服务器那边也是,所以两者能保持同步。

随机算法都是不可逆算法,几乎不可能根据密码推算出随机算法。破解方法,用户输入密码后,木马拦阻用户登陆,然后email这个密码到hacker手里,hacker就可以登陆了,但这一切需要在7秒内完成。

发表于 2007-9-12 15:41 |显示全部楼层

回复 #52 黑山老妖 的帖子

此文章由 VIP 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 VIP 所有!转贴必须注明作者、出处和本声明,并保持内容完整
是我错了.因为以前有朋友上飞机时,被告知这是个通讯工具,必须托运.从此所以就有了这个错误认识.
Advertisement
Advertisement

发表于 2007-9-12 15:41 |显示全部楼层
此文章由 ingeer 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 ingeer 所有!转贴必须注明作者、出处和本声明,并保持内容完整
現在的木馬是越來越強了,象我這樣的IT專業的人都不太敢亂敲口令。。我自己的一些網上的帳戶口令都用自己寫的程序加密過集中放在yahoo的mail裏面,自己PC上也有COPY,以前是明文寫在TXT文件裏放在桌面上的,現在沒這個膽。。 呵呵

網絡銀行的安全在澳洲來講應該是HSBC的TOKEN最安全了,除非HSBC的Encrypt Algorism 被破解,要不然一般是不太會有問題的

上面很多同學討論了這種OTP的原理, 我的理解是這樣的:

1) HSBC的主機和Token內部都有一個Encryption Algorism, 至少應該包含2個函數 f(x) 和 g(x) , 也許為了加強保密和Reverse-Engineering, 可能使用更多層或更多元的函數
     f(x) 是主要的Encryption Step
     g(x) 是把 f(x) 產生的 seed 再次計算得出 6-digit-key
2) 第一次按下token產生6位數字的時候
     x2 = g(f(x1))  --  這裏 x1 = token serial number, 在token上面可以找到這個號碼
    以後每次按下token時
     x2 = g(f(x1))   x1 為上次計算的中間結果 f(x1) ..
    簡單來講 x1應該是存儲在token上的類似於NVRAM介質中(很有可能也是用另一個加密算法加密過再存儲), 第一次出廠時的VALUE即為serial number, 所以當你激活TOKEN時在HSBC的網頁上要求輸入seral number和按下產生的數字

    這種算法可以迭代計算N次, 這樣當使用者不小心按到TOKEN, 即SKIP了產生序列中的某幾個也不會有問題, 當然N一定是有次數限制的, 總不能讓你老是按TOKEN玩吧?

发表于 2007-9-12 15:45 |显示全部楼层
此文章由 ingeer 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 ingeer 所有!转贴必须注明作者、出处和本声明,并保持内容完整
是的,使用之前需要和服务器同步一下,在服务器数据库里每个客户都对应一个分配的自串,这个字串就是种子,随即算法硬件写入到token里面,每7秒钟演算一次,同样在服务器那边也是,所以两者能保持同步。

随机算法都是不可逆算法,几乎不可能根据密码推算出随机算法。破解方法,用户输入密码后,木马拦阻用户登陆,然后email这个密码到hacker手里,hacker就可以登陆了,但这一切需要在7秒内完成。


呵呵, 這種事情好象MISSIOM IMPOSSIBLE裏面場景差不多了.. 我想現在的HACKER不會這麼有空... 使用網上銀行的到底還是些小用戶... 真正的錢人都是打電話到銀行的VIP客服解決問題的...

发表于 2007-9-12 15:53 |显示全部楼层

回复 #57 ingeer 的帖子

此文章由 VIP 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 VIP 所有!转贴必须注明作者、出处和本声明,并保持内容完整
哦,原来是根据按token的次数对照的.要是迭代的N小于100,token被按100次是不是就报废了?
那么如果我刚用网银输入了x10,现在按token10次,下次用网银时TOKEN就是x20了.如果服务器是迭代计算,是不是从x11到x20都算对?如果那样的话,岂不是连按10次记下来,以后10次可以不用token了?也许里面还有个时钟,时间也会参与加密吧.
借钱未容终老去 吃饭时约故人来

各种颜色的皮肤 各种颜色的头发 嘴里念的说的开始流行没文化

¡qu IHS 'qs IHS nq IN

发表于 2007-9-12 15:58 |显示全部楼层
此文章由 ingeer 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 ingeer 所有!转贴必须注明作者、出处和本声明,并保持内容完整
服務器只要在1-N次運算中碰到第一個MATCH的KEY就算你正確, 然後把MATCH的計算中間結果存下來, 保持和TOKEN同步

時鍾同步對TOKEN來說是不太可能的, 這麼小的設備要保持高精度時間不容易...

[ 本帖最后由 ingeer 于 2007-9-12 14:59 编辑 ]

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Advertisement
Advertisement
返回顶部