[MASOCH-L] Banco Real

Ricardo Rodrigues rcr.listas at ig.com.br
Tue Nov 13 05:22:30 -03 2007


Ao menos o token cartão é "prático" pra levar na carteira (junto com outra
dezena de cartões de crédito, crachá da empresa, cartão alimentação, etc etc
etc). Fico imaginando o cara que é cliente de 3 ou 4 bancos e é obrigado a
levar o token chaveirinho. Além de ser um chamariz para os ladrões, é
pouquíssimo prático.

Parece que existem soluções que enviam a OTP via celular (ligação telefônica
ou SMS). Alguém já trabalhou com elas? Funcionam mesmo? Elas não resolvem o
problema do ataque, mas ao menos são mais práticas que os tokens
cartão/chaveiro e não denunciam ao ladrão qual é o banco do cliente/vítima.

[]'s
Ricardo

Em 13/11/07, Rubens Kuhl Jr. <rubensk at gmail.com> escreveu:
>
> Mas aqui é uma questão de gestão do processo; um cartão deveria ter
> sido emitido assim que um certo número de acessos com esse cartão
> tivesse sido realizado. Não seria um número pequeno tal como a
> quantidade de números do cartão (o que se assim fosse tornaria ele um
> OTP), mas um número razoável.
>
> Se a instituição emissora decidiu delongar esse processo de
> substituição, é porque sua avaliação de risco entendeu que o controle
> mesmo perdendo sua eficácia original ainda está dentro de um risco
> aceitável (e agora um risco medido, não um risco estimado).
>
> Considerando que vários clientes onde esse risco não era mais tolerado
> tiveram sua autenticação trocada para controle por token, acho que
> eles vão deixar passar um bom tempo até emitirem novos cartões.
>
>
> Rubens
>
>
> On Nov 12, 2007 11:26 PM, Francisco G. Matos <kiko at uol.com.br> wrote:
> > A sim, a cartela de números... recebi uma do Bradesco faz uns 2 anos.
> > Dado o meu volume de uso do Internet banking, se houvesse um spyware no
> meu
> > computador ele já teria gritado: BINGO !!!
> >
> >
> > ----- Original Message -----
> > From: "Nelson Murilo" <nelson at pangeia.com.br>
> > To: "Mail Aid and Succor, On-line Comfort and Help"
> > <masoch-l at eng.registro.br>
> > Sent: Monday, November 12, 2007 3:40 PM
> > Subject: Re: [MASOCH-L] Banco Real
> >
> >
> > On Mon, Nov 12, 2007 at 03:33:12PM -0200, Gobbo, Marco [DANFORTH] wrote:
> > > Onde enfiaram as maravilhas do "One Time Password" ? por quê só os
> bancos
> > > europeus o adotaram como item segurança para seus clientes?
> >
> >
> > Os bancos europeus ja usan OTP faz muito tempo, mas o bancos europeus
> > ainda estao lidando com fraudes do tempo da pedra lascada.
> > Neste ponto, infelizmente, os nossos malwares estao anos-luz dos
> > problemas de sites clonados dos bancos de outros paises.
> >
> > Por outro lado os bancos brasilieiros estao adotando, em menor ou
> > maior grau, OTP para seus clientes, desde cartoes com senhas impressas,
> > ate tokens.
> > Infelizmente nada disso resolve o problema, muitos malware atuais ja
> > sabem como ultrapassar OTP sem esforco.
> >
> > <a href="http://naopod.com">./nelson -murilo</a>
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list