• clientın elindeki bir tool ile, sistem üzerindeki bir yazılımın eş zamanlı olarak yaklaşık 30 sn lik periyotlarla aynı şifreyi üretmesi esasına dayalı güvenlik metodu.
  • (bkz: paranoya)
  • kişinin elindeki securid ile dinamik olarak değişen şifreyi kullanma hadisesidir. eğer ki rsain securidsi kullanılıyorsa, şifre 50 saniyede bir değişmektedir. dolayısıyla eğer şifre değişimine 10 saniye gibi bir zaman kaldıysa kullanması stres yapan işlemdir.
    "ulan değişecek şimdi girsem mi beklesem mi, girsem benim aaa gidene kadar serverda değişmiş olur mu acaba, yeterince hızlı olabilirsem sanırım login olabilirim ama hmmm" diye düşünürken değişiveren şifredir.*
  • internet bankaciligi icin yakinda yayginlasacak zamanin gerisindeki guvenlik cozumu. ozetle esantiyon gorunumlu kucuk bir alete her basildiginda yeni bir sifre yaratiliyor ve her yeni sessionda bu yeni sifre kullaniliyor. internet bankaciligi kullanim orani para verilerek alinan bu aparatla sevimsizlesiyor gibi gozukse de bu aparatlarin alternatif kullanim alanlari yaratilabilir. (bkz: adyomersi)
  • bu yapiyi kullanan sistemlerde one time password'u ureten token'lara zehirli gaz entegrasyonu yapilarak guvenligin dibine vurmak mumkundur. token'i elinde bulunduran kisi 4 haneli bir sifre girer token'a. tokan da daha uzun bir sifre uretir. eger girilen 4 haneli sifre ust uste uc defa yanlis girilirse token hava acikligindan sifreyi girenin yuzune zehirli gaz puskurtur. boylece token yanlis ellerden kurtulmus olur. bankalarin kullanmasinda fayda olan tokenlardir bunlar.
  • eger client olarak auth olmaya calisan makina owned ise sorunlari olan bir sistemdir. bayagi zor olsa da pratikte gerceklestirilmis ataklar vardir. birisini kisaca isleyelim...
    c client, s ise sifreyi onaylayacak server olsun. m (bkz: m is for malice) de kotu adam olsun burada, c'ye full access'i olan.
    c'de bir kullanici s'e baglanti acar. login'ini gonderir, siradaki bir sikimlik sifresine bakar ve onu keyboard da yazmaya baslar. ayni anda m tarafindan daha once c'ye yerlestirilmis keylogger'li program c'den s'ye cok sayida (40-50 vs) baglanti kurar ve sifre olarak c'nin yazdigi karakterleri her bir baglanti uzerinden s'ye gonderir. bu olay c'deki kullanici son karaktere gelene kadar surer. son karaktere gelindiginde m'in programi butun baglantilarina rastgele farkli bir karakter yollar ve prompt alip alamadigina bakar. c'deki kullanici kendi sifresinin son karakterini elle yazdigindan her zaman m'in programindan cok daha yavas kalacaktir. burada m'in basari sansi (s'ye actigi baglanti sayisi / bir sifrede kullanilabilecek karakter sayisi) dir. cok da fena bir yuzde degildir bu. (bkz: notes from the underground)
    evet, one time sifrenin uzunlugunu m onceden bilmelidir. ama bu uzun sureli keylogging veya sniffing faaliyetleriyle istatistiki bilgiler toplanilabilecek bir bilgi.
    her halikarda tum sistemi otp uzerine de kursaniz, ki cogu kullanici mutsuz olacaktir bundan, gene de benim sistemim yuzde yuz guvenli dememeli insan...
  • banka şubelerinde geçirdiğimiz ızdıraplı günlerin ardından, tüm işlemlerimizi kolaylıla yapabildiğimiz internet şubelerini zorlaştıran araç. çeşitli yolları var, ilk token'lar çıktı, daha sonra cep telefonlarına java uygulaması daha sonra sms'le göndermeye başladılar, şimdi de wap-push'la dinamik url göndererek yapılacak.

    biz hayatımızda daha daha kolaylık olsun isterken, güvenliği arttırmak için hayatımızı zorlaştıran oyuncaklar.
  • hsbc internet bankaciligi'nin yeni guvenlik onlemi.

    demisler ki:

    "tek kullanımlık şifre uygulaması ile belirli işlemleri tamamlamak için bankamızda kayıtlı cep telefonunuza gönderilecek tek kullanımlık şifreyi girmeniz istenecek ve böylelikle işlem teyit edilerek tamamlanacaktır."

    "işlemin niteliğine göre işlem başında veya sonunda sorulmaktadır.
    her oturumda en fazla bir kere tek kullanımlık şifre sorulacaktır. tek kullanımlık şifre bir kere doğru girildikten sonra aynı oturumda yapacağınız diğer işlemlerinizde güvenlik sorusu ve tek kullanımlık şifre sorulmayacaktır.
    tek kullanımlık şifre sms’leri ücretsizdir.
    tek kullanımlık şifre’nin 3 kere hatalı girilmesi durumunda hsbc bank bireysel internet bankacılığı şifreniz kilitlenecektir.
    üst üste kullanılmayan 10 adet tek kullanımlık şifre talep edilmesi durumunda hsbc bank bireysel internet bankacılığı şifreniz kilitlenecektir.
    her şifre ilgili işleme özeldir, bu sebeple işlem bilgileri değiştiği taktirde ya da ilgili işlem tamamlanmadan tek kullanımlık şifre gerektiren başka bir işlem seçildiğinde cep telefonunuza başka bir tek kullanımlık şifre yollanacak, önceki şifre geçersiz olacaktır.

    tek kullanımlık şifre,

    tanımlı alıcılara yapılmayan ve günlük olarak belirli tutarın üzerinde para transfer işlemleri
    alıcı tanımlama işlemleri
    şifre oluşturma işlemleri
    güvenlik ayarları
    başvuru işlemleri
    sanal kart işlemleri
    kişisel bilgi görüntüleme / güncelleme işlemleri ve
    kontör yükleme

    gibi belirli işlemler için zorunlu olacaktır. tanımlı alıcılara yapılacak hiçbir para transferi işleminde güvenlik sorusu ya da tek kullanımlık şifre sorulmayacaktır."

    musteri hizmetlerini arayarak uygulamadan vazgecmek mumkun. ancak konuyla ilgili sik sorulan sorularda "tek kullanımlık şifre gerektirmeyen pek çok işlemi aynı rahatlık ve kolaylıkla yapmaya devam edebileceksiniz. siz değerli müşterilerimizin güvenliğini arttırmak için sunmuş olduğumuz bu uygulamamıza dahil olmak istemiyorsanız, tek kullanımlık şifre gerektiren işlemleriniz için sizlere hsbc telefon bankacılığı 444 0 111, hsbc atm'lerimiz ve şubelerimizden hizmet vermekten memnuniyet duyacağız." seklinde bir ifade kullanmislar, bu da sanki sifre gerektiren islemleri internetten yapamayacagiz anlamina geliyor. oysa ki kendi rizamla bu guvenlik unsurunu istemedigimi belirterek riski uzerime aldigimi, ve dolayisiyla her islemi yapabilecegimi dusunmustum. bakalim, deneyip gorecegiz...
  • (bkz: otp)*
hesabın var mı? giriş yap