[dandy]

Вобщем RSA это компания которая делает токены для покерстарз.

Корпорация разместила на своей странице в Интернете сообщение, в котором сказано, что в результате тщательно продуманной хакерской атаки на сервер компании была похищена информация, касающаяся архитектуры RSA. Часть данных непосредственно связана с двухфакторной аутентификацией клиента в системе SecurID. В настоящее время компания ведет интенсивное общение со своими партнерами в целях повышения защищенности их ресурсов.

[Зарегистрироваться?]

[Зарегистрироваться?]

Для ФТ и Пати токены выпускает фирма VASCO .

[NewFolk]

moneybookers ?

[dandy]

Цитата:

Сообщение от NewFolk

moneybookers ?

Для букерсов токены делает [Зарегистрироваться?]

[EatYourLoli]

А RSA еще для кого-то выпускает? Или это почти запланированная атака на старзы...

Upd: Прочитал новость Ну думаю банки америки довольно быстро найдут решение, в крайнем случае создадут новый алгоритм.

[TwilightGalaxy]

Что изменилось за три месяца? RSA токены все еще не безопасны?
Если сейчас токена нет, то есть ли смысл его заказывать?

[screamwithme]

нету

[Active1]

Цитата:

Сообщение от dandy

Вобщем RSA это компания которая делает токены для покерстарз.

Корпорация разместила на своей странице в Интернете сообщение, в котором сказано, что в результате тщательно продуманной хакерской атаки на сервер компании была похищена информация, касающаяся архитектуры RSA.

Архитектура RSA? Что-то туманное и размытое. Алгоритм RSA является открытым с 1977 года. Что тогда имеется в виду?

[Mephistofel]

Цитата:

Сообщение от Active1

Архитектура RSA? Что-то туманное и размытое. Алгоритм RSA является открытым с 1977 года. Что тогда имеется в виду?

Мб имеются ввиду именно алгоритмы аутентификации? И есть возможность как-то этот процесс подменить/дублировать/обойти.

Я честно-говоря тоже не совсем понимаю какую такую информацию можно украсть с их сервера, чтобы она помогла создать заменитель токена...

[pokeraccs]

Одноразовые коды - псевдослучайны, это значит что все они записаны на сервере RSA но естественно не в открытом виде.

Для взлома любого RSA брелка, нужно знать всего лишь 1 ваш код и серверное время ввода и ВСЕ ваши коды будут известны, т.к. существует алгоритм, который известен и позволяет восстановить все коды, даже те, которые еще будут, не зависимо от количества ваших будущих кодов.

Чем это грозит? Если человек собрался поиметь покерстарс или же банк(с RSA и банки работают), то ему достаточно посмотреть записи кейлоггера, который вы подхватили серфя по интернету, а в них он увидит код и время ввода. Ваше время он переведет в серверное и далее зная алгоритм восстановит будущие коды. Логин и пароль от покер аккаунта или банк аккаунта, кейлоггер итак соберет, а вот коды смогут восстановить, только те кто знает алгоритм. Вся привязка кодов основана на текущем времени и она обратима.

Советы по безопасности не даю, каждый сам в ответе за себя и свои деньги.

[screamwithme]

"всего лишь "забросить кейлогге" далеко непросто иначе мы бы все давно без штанов ходили. А на отдельную систему-комп-инет и вовсе почти не возможно. Тут уровень полета спецслужб нужен.

[BlackJoker]

Цитата:

Сообщение от screamwithme

"всего лишь "забросить кейлогге" далеко непросто иначе мы бы все давно без штанов ходили.

+1
Аутпост (точнее его вшитый анти-спайвар) прекракрасно справляется с этой задачей. Не говоря уже об антивирусниках.
За 2 года использования аутпоста не разу не пропустил шпиона. Наряду вместе с фаерволлом юзал Spy Sweeper (для подстраховки).

[Mephistofel]

Цитата:

Сообщение от pokeraccs

Одноразовые коды - псевдослучайны, это значит что все они записаны на сервере RSA но естественно не в открытом виде.

0_о. Никак они нигде не записаны. Каждый раз они вычисляются в процессе аутентификации

Цитата:

Сообщение от pokeraccs

Для взлома любого RSA брелка, нужно знать всего лишь 1 ваш код и серверное время ввода и ВСЕ ваши коды будут известны, т.к. существует алгоритм, который известен и позволяет восстановить все коды, даже те, которые еще будут, не зависимо от количества ваших будущих кодов.

1 код тебе не даст вобще никакой информации. В этом вся суть подобных алгоритмов шифрования. Даже если твой код перехвачен, то никак использовать в дальнейшем его нельзя.

Цитата:

Сообщение от pokeraccs

Чем это грозит? Если человек собрался поиметь покерстарс или же банк(с RSA и банки работают), то ему достаточно посмотреть записи кейлоггера, который вы подхватили серфя по интернету, а в них он увидит код и время ввода. Ваше время он переведет в серверное и далее зная алгоритм восстановит будущие коды.

Как минимум нужно знать еще ID твоего брелка.

Цитата:

Сообщение от pokeraccs

Логин и пароль от покер аккаунта или банк аккаунта, кейлоггер итак соберет, а вот коды смогут восстановить, только те кто знает алгоритм. Вся привязка кодов основана на текущем времени и она обратима.

Если стоит галочка в клиенте "сохранять пароль", то никакой кейлогер его уже не вытащит.

[Push]

т.е. если жать "сохранить пароль" это получается более безопасно, чем самому вводить каждый раз? пароль ведь по идее на компе сохраняется и его можно как-то утащить?

[Mephistofel]

Цитата:

Сообщение от Push

т.е. если жать "сохранить пароль" это получается более безопасно, чем самому вводить каждый раз? пароль ведь по идее на компе сохраняется и его можно как-то утащить?

Он сохраняется уже в зашифрованном виде. Утащить там нельзя ничего.(ну то есть то что там можно утащить, ничего не даст злоумышленнику)

Но есть другая опасность, если кто-нибудь другой имеет доступ к вашему компу и может запустить на нем покер-клиент, тогда конечно лучше не нажимать эту галочку =)

[xakbel]

Цитата:

Сообщение от Push

т.е. если жать "сохранить пароль" это получается более безопасно, чем самому вводить каждый раз? пароль ведь по идее на компе сохраняется и его можно как-то утащить?

При этом существует куда более вероятная опасность- гопники отберут у тебя ноутбук и проиграют все деньги.

[merahy6]

от гопарей брелок спасет))))) причем можно им дать этот брелок и внагрузочку сказать свою часть шифра, они все равно недотеликают как всем этим воспользоваться)

[fuel]

Да ну и что, что пароль в зашифрованном виде храниться? Кто будет его расшифровывать? Даже не будут разбираться, в каком именно файле клиент покерстарза сохраняет пароль. Утащат всю папку C/Program Files/Pokerstars и все.

[alchx]

как бэ существует еще реестр ОС с разными уровнями доступа, где обычно все это добро и хранится в чем-нибудь, типа MD5.

[Gudini]

Цитата:

Сообщение от Push

т.е. если жать "сохранить пароль" это получается более безопасно, чем самому вводить каждый раз? пароль ведь по идее на компе сохраняется и его можно как-то утащить?

С использованием токена от RSA однозначно да.
1.Троян на компе не может украсть пароль так как ты его не вводишь.
2.Даже если тебя грабят гопники и отбирают комп и токен, ты в полном ажуре, так как твоя часть шифра у тебя в голове.
3.Троян может утащить часть твоего секретного кода, но ведь гопники не знают, что такое троян, а те кто знают, не отбирают у людей компы и токены.

[Active1]

Цитата:

записи кейлоггера, который вы подхватили серфя по интернету

Если человек до такой степени плюет на информ безопасность, что хватает трояны просто во время серфа по сайтам, никакие тукены уже не смогут эту безопасность поднять.