-nal.

_{(¡qué a gusto me he quedado!)}

#1 la verdad es que da rabia cuando lees un texto y dejan la última palabra a medi

En informática nunca (nunca, nunca, nunca) hay un sistema completamente seguro.
Los "tokens físicos" existieron durante muchos años como sistemas de seguridad para programas (sin determinado dispositivo enchufado en un puerto el programa no funcionaba) y siempre acabó habiendo un hacker que se lo saltaba. Al final se trata de conseguir que el verificador crea que el token está ahí, aunque no lo esté, y el token es solamente otro programa con información (muy poca además).

y cómo saben los suplantadores a qué número de teléfono tienen que enviar el sms?

#2 -as.

#3: Lo mejor es cuando los hacen en China.

Nada en contra de los chinos, pero en mi opinión, si una empresa es de España, lo mejor sería hacer los tokens en España o al menos un país de la UE.

#4 pueden tener la información de otro sistema previamente.

¿o tienes un teléfono distinto para cada servicio?

Este titular hace llorar a @xtrem3

#4 Hay personas que introducen la información en la página auténtica en tiempo real

Más aquí:
arstechnica.com/information-technology/2018/12/iranian-phishers-bypass

Microsoft Authenticator me pide el código del teléfono o la huella digital, el token con que me lo roben ya tienen acceso.

Yo tengo una discusión permanente con los bancos y sus tarjetas de firma. Dejadme elegir mi clave y memorizarla en lugar de tener una tarjeta dónde está apuntada que me pueden robar o, peor aun, fotografiar.

Si acaso, clave y contraclave al movil. Y con las criptollaves sin código pasa lo mismo.

Y recordar que seguridad y comodidad están reñidas.

los token fisicos siempre van a ser mas seguros, pero claro, entonces se quedan sin excusa para sonsacarte tu numero de movil..

#3 Pero lo que estas describiendo es un sistema donde el hacker tiene acceso al sistema de verificación, casi parece un escenario offline. En uno online hay un tercero, el servidor, el que se encarga de verificar, y es un bastante mas complicado engañar el servidor sin tener acceso.

Lo que si que es verdad, es que no hay, y probablemente no habra(lo unico que se me ocurre es que la computacion cuantica venga al rescate) un sistema al 100% seguro. Lo que si que se intenta es complicar lo máximo posible el trabajo del hacker para que no valga la pena hackear. Pero al final es como todo, cuanto mas grande es el premio mas incentivo habrá para romperse la cabeza.


#15

#4 La cosa es:
-Tu metes usuario y contraseña en la página falsa.
-Los malos leen y reenvian ambas a la página real.
-El sistema real te manda el sms.
-Tu metes el código también en la página falsa.
-La página falsa te da un error en plan 'tenemos dificultades temporales'. Y los malos ya se han logado en tu cuenta.

#3 Lo que describes no aplica.

Lo que tú describes es la modificación del programa para que crea que el token está conectado o para que directamente ignore esa verificación y siga funcionando. Para ello se necesita modificar y ejecutar ese programa.

En este caso los tokens físicos a los que se refiere el meneo aportan información que se introduce a través de la red para que el programa que confirma su validez lo reciba en la sede donde se ofrece el servicio, ya sea la banca electrónica, un gestor de bolsa o cualquier otro servicio.

Para que aplicase el ejemplo que nos citas se debería acceder a los servidores de ese banco y modificarlos para que no comprobasen ese código que se transmite por la red. No es que sea imposible pero no es el riesgo al que se refieren en el proceso de verificación de identidad mediante doble autenticación.

Los tokens del meneo son generadores de números, la tarea del hacker en este caso es engañar al usuario para que le entregue el número generado al hacker en el momento preciso o bien robar el generador de números (lo cual es más sencillo si se trata de un software corriendo un dispositivo móvil tipo Android o iOS). Lo que se propone en el meneo es que el generador de números esté en un token físico, lo cual en principio dificulta muchísimo la tarea del hacker.

Alguien se fía aún de la “ong” de la CIA?

#4 fácil, enviándo el SMS a todos los números de teléfono , lo vi en una película de hackers

#16 Más que de los nazis, y sus teorías conspiranoicas sobre cualquier organización de ideología progresista que no controlen, sí.

Lo mejor del token es cuando lo pierdes.

#14 creo que el artículo desaprovecha señalar la importancia de no buscar webs en google para loggearse.
Veo a mucha gente que cree que google es internet. Quieren entrar en facebook y lo buscan (y cualquier otra cantidad de webs más pequeñas y más fáciles de imitar y posicionar).

Creo que mucho de eso se evita usando esa barrita que está arriba en el navegador, o creando los ya dinosáuricos bookmarks.

Si no hay phishing, cualquier 2FA creo que es bastante seguro

los hackers son un cáncer del que nunca te podrás librar. se amparan en la ley eterna: "hecha la ley hecha la trampa"

Los protocolos de correo deberían modificarse para exigir proof of work, esto acabaría con el spam y por tanto dificultaría enormemente el phising. Claro que Google tendría que gastar una pasta para enviar tantos correos como manda.

#13 Hay muchos sistemas seguros lo que no son es económicamente viables, siempre estamos usando los más "seguros" que económicamente sea asumible por entiendad te lo dice alguien que tiene token físico

#18 ¿de que nazis hablas ?

#11 ¿Todavía quedan bancos que utilizan tarjetas de coordenadas?

#20 mientras no te metan una entrada en tu fichero hosts o hackeen tu DNS (complicado en ambos casos)

#25 Yo tengo cuenta abierta en tres bancos distintos, y los tres usan tarjeta de coordenadas, pero adicionalmente piden un código que te envían por SMS para hacer cualquier operación.

#25 Como dice #27 la mayoría piden además la clave de SMS. Otros tienen firma solo con token y otros con criptocalculadora. Yo era muy feliz cuando pedían posiciones aleatorias de una clave de firma establecida por mi.

Discrepo, el mejor sistema que existe es no ser un completo cretino.

#14 la mayor incertidumbre sea cual sea la seguridad que tu uses para hacer login, está en no saber cómo estan almacenando mis datos (aunque sea solo mi nombre) en sus bases de datos.

#3 A efectos prácticos cualquier sistema de seguridad informático se resume en que un sistema te pregunte "¿eres tú?" y tú le contestes "sí".

Uso este ejemplo en particular porque más de una vez he visto gente que le abre la puerta a cualquiera porque justamente al llamar a la puerta le ha dicho "yo" y sin estar seguro de quién era le ha abierto el portal.

#25 La Caixa, por ejemplo

#24 De los que dan la matraca con que todas las causas progresistas son pantallas de Soros, o la CIA, o los Illuminati, o "los siete sabios de Sion" ¿te suenan?

#11 Si haces eso la mayoría de la gente elegirá una contraseña sencilla que utiliza en otras webs.

Yo nunca memorizo una contraseña, siempre uso una distinta totalmente aleatoria, de la máxima longitud que deja la web, tengo contraseñas de 100 caracteres y otras en webs de mierda de 10 caracteres porque no dejan meter más.

#33 no. Solo me suenan los cascos blancos, y me basta.

#35 Interesante, con una sola cosa eres capaz de engañarte a ti mismo.

#36 así como lo veo yo tenias dos opciones: dar algún argumento o dar una respuesta de sobradete. Has ido a lo fácil

www.google.es/amp/s/actualidad.rt.com/actualidad/226351-lado-oscuro-ca

#34 eligen la de entrada al banco. La de firma la estas estampando en una tarjeta o un token. Al final, en una oficina con varias cuentas, la seguridad está en la de entrada, la otra está en un cajón.

#20 mis alumnos son incapaces de escribir las URL en la puñetera barra del navegador. Van siempre al buscador de turno

Pues en las dos cuentas que tengo usan tarjeta de coordenada, para ciertas transacciones además te piden un código por SMS pero no es para cualquier operacion (generalmente para compras). Yo simplemente lo veo como una medida de seguridad adicional a simplemente tener un pin.

#37 Para mí lo fácil es dar un argumento e ir de sobradete sería enlazar a un medio de comunicación neonazi pretendiendo demostrar algo con las trolas de dos fascistas como Putin y Assad.

#37 Rebollo, si me permites acabo de darme cuenta que tu avatar es el de alguien armado que está amenazando lo que parece un asentamiento de población civil. Posiblemente sea una foto tomada mientras jugabas al paintball y soñabas con alguna clase de limpieza étnica que, tras un simple análisis genético, también te llevaría a ti por delante. ¿Has considerado cambiar ese avatar por algo que no deje en evidencia la enfermedad ideológica que sufres o te vas a seguir haciendo daño a ti mismo leyendo Russia Today?

#42 vale tío. Que eres un cazanazis de internet. Ya tenía idea de cuando me has empezado con desvaríos de noseque de Sion de lo que yo no tengo ni puta idea, pero se te ve experto. Luego te atreves a insultar a la gente con que si me gustaría hacer una limpieza etnica, que te va a costar un reporte, además de llámeme nazi, cosa que para ti no se pero para mi es un insulto grave a la vez que gratuito.

Te sugiero que cambies tu manera de ver el mundo, te crees un martillo, y para un martillo todos los demás son clavos. Solo que no atinas ni media. Pero eso no hace que pares en tu cruzada que solo existe en tu mente.


Ale, a pastar.

#3 Ni que el artículo fuera patrocinado pir un fabricante de smartcards cool con nuevo nombre.

Sí, claro, lástima que no se puedan reportar los avatares de locos con armas apuntando en una zona urbana. Si te ofende que alguien piense que eres un nazi, en tu página de Facebook hay unas cuantas cosas interesantes. Debe de ser muy tediosa la vida de funcionario y necesitas emociones. Pues vete a buscarlas lejos de las armas y lejos del canal y las trolas de los fascistas. Saluditos.

#3 Hace poco estuve leyendo sobre este tema, y por lo que entendí estos tokens se basan en criptografía de clave pública. Tienen una clave privada que se genera en el propio token y que nunca sale de ahí, y es su hardware el que se encarga de realizar las operaciones de cifrado y firma digital. Los tokens, por su propio diseño, son imposibles de duplicar. Un sistema así es extremadamente difícil de romper.