Hasła, bezpieczeństwo

Z Aibot wiki

Co się dzieje w sytuacji, gdy ktoś domyślając się hasła dostępu w internecie zaczyna je wypróbowywać?

W przypadku trzykrotnego (z rzędu) błędnego podania hasła, dostęp do systemu bankowości internetowej jest blokowany i wymaga kontaktu z Centrum Obsługi Telefonicznej BotBanku w celu jego odblokowania.

Co zrobić, aby połączenie przez Internet Explorer było bezpieczne?

Powinieneś pamiętać o regularnych aktualizacjach swojego systemu. W tym celu możesz skorzystać z Windows Update. Więcej o bezpieczeństwie dowiesz się ze stron dla profesjonalistów lub z biuletynu o błędach w produktach Microsoft. Informacje o subskrypcji biuletynu znajdziesz tu lub na stronach dla profesjonalistów.

Co zrobić, jeżeli podejrzewam, że ktoś poznał moje hasło?

Należy niezwłocznie zablokować kanał dostępu, do którego hasło poznała osoba postronna. Najprościej uczynić to łącząc się z operatorem BotLinii lub za pośrednictwem serwisu internetowego.

Czy istnieje możliwość wglądu do przesłanych informacji przez osoby niepowołane?

Cała transmisja, która odbywa się przez Internet jest szyfrowana protokołem SSL - zarówno informacje przesyłane przez klienta do BotBanku, jak i te przesyłane od BotBanku do klienta. Do połączenia się do serwera wykorzystywana jest kryptografia oparta na parze kluczy: prywatny - publiczny o długości 1024 bitów. Natomiast bezpieczeństwo transmisji zapewnia najbardziej zaawansowana technologia kryptografii, w której stosowany jest klucz sesyjny, jednorazowy dla danej sesji, o długości 168 bitów.

Czy istnieje niebezpieczeństwo w korzystaniu z przeglądarki Internet Explorer w związku z nowo wykrytymi błędami w oprogramowaniu?

W związku z opublikowaniem przez firmę Microsoft, zbiorczej "łaty" do przeglądarki Internet Explorer, zalecamy pilne jej zainstalowanie. "Łata" zawiera poprawki do wcześniej komunikowanych błędów, zawiera również poprawki do nowo wykrytych KRYTYCZNYCH błędów w oprogramowaniu. Informacje na temat błędów i "łaty" do oprogramowania IE wersji 5.01/5.5/6.0/6.0 dla Windows Server 2003, znajdziesz na stronie firmy Microsoft. Informacje na temat instalacji "łaty" do oprogramowania IE Internet Explorer znajdziesz na stronie. Internet Explorer 6.0 dla Windows Server 2003, odszukasz na stronie.

Czy mogę sprawdzić, że moje połączenie z BotBankiem jest bezpieczne (używam przeglądarki Microsoft Explorer)?

Mimo występującej w niektórych wersjach programu Microsoft Explorer nieprawidłowości w potwierdzeniu tzw. ścieżki certyfikacji zawsze można potwierdzić bezpieczeństwo szyfrowanego połączenia z serwisem BotBanku.

Czy producent przeglądarki Internet Explorer wypowiedział się na temat poprawnego sprawdzania połączenia szyfrowanego przez tę przeglądarkę?

Tak. Informacje na temat odczytywania ścieżki certyfikacji SSL (szyfrowanego połączenia internetowego) można znaleźć na stronach internetowych firmy Microsoft. Dokładne informacje na temat potwierdzenia prawidłowej ścieżki certyfikacji SSL podaje firma VeriSign na swoich stronach.

Czy zawsze nieprawidłowo wpisane hasło spowoduje zablokowanie dostępu do BotBanku?

Nie. Zablokowanie logowania do BotBanku przez odpowiedni kanał dostępu (Internet, WAP, IVR) następuje, jeśli:

• trzy razy pod rząd podano niewłaściwe hasło (tzw. licznik mały błędnych logowań);
• łączna liczba prób logowania z podaniem błędnego hasła przekroczyła 50 (tzw. licznik duży błędnych logowań).

Licznik mały jest zerowany w momencie prawidłowego zalogowania. Licznik duży uwzględnia każde błędne logowanie i jest zerowany dopiero po przekroczeniu liczby 50 błędnych logowań (i po odblokowaniu dostępu do BotBanku).

Zablokowany kanał można aktywować samemu poprzez automatyczny system BotLinii (IVR) lub z pomocą operatorów BotLinii. W przypadku zablokowania kanału telefonicznego (IVR/BotLinia), jego ponownej aktywacji można dokonać wyłącznie kontaktując się z operatorem BotLinii i wiąże się to z procedurą oddzwaniania do Klienta.

Dlaczego dla certyfikatu https://www.BotBank.com.pl MS Internet Explorer wyświetla komunikat:

Błąd powstał z winy Microsoftu i dotyczy instalacji przeglądarki MS Internet Explorer w systemach Windows 95, 98 i NT. Oficjalne stanowisko firmy zostało umieszczone na stronach "Pomocy Technicznej Microsoft". Błąd znajduje sie więc w interfejsie IE, który nie potrafi rozpoznać specyficznego typu identyfikatora. Tymczasem trzecia zakładka certyfikatu informuje, że "Certyfikat jet w porządku" i tylko na to określenie należy zwracać uwagę. VeriSign wydał już nową wersję certyfikatu dla potrzeb serwera SGC (Server Gated Cryptography). Nie możemy jej jeszcze zastosować z tego powodu, że starsze wersje IE (<5.5) zawierają starsze certyfikaty, głównie "VeriSign Class 3 Primary CA". Są one ważne tylko do 2004 roku, podczas gdy nowe certyfikaty II-go poziomu zachowują ważność do 2011 roku. Te stan rzeczy powoduje generowanie komunikatu o błędzie. Okres ważności certyfikatu niższego poziomu przekracza okres ważności certyfikatu instytucji, która go wydała. Jest to oczywiście niedopuszczalne i lepiej pozostać przy mało istotnym ostrzeżeniu, o którym mowa. Opisywany problem w żadnym stopniu nie wpływa na bezpieczeństwo szyfrowanego połączenia.

Jak mogę się przekonać, że moja przeglądarka połączyła się z BotBankiem połączeniem szyfrowanym?

Należy sprawdzić właściwości połączenia szyfrowanego (w Internet Explorer klikając dwa razy na ikonę żółtej kłodki, bądź posługując się menu "Plik" =>"Właściwości"=>"Certyfikaty"). Ogólne właściwości Certyfikatu BotBanku to: Wystawiony dla(Issued to): www.BotBank.com.pl Wystawiony przez(Issued by): VeriSign Class 3 Extended Validation SSL CA Odcisk palca – SHA1: 0c 75 93 06 08 6a 87 0f 55 8a 7b bd 33 07 12 9f 2a cc 1a e7 Ścieżkę certyfikacji.

Jak mogę się zabezpieczyć przed usterkami niektórych systemów Windows, mogącymi wpływać na bezpieczeństwo korzystania z sieci?

Firma Microsoft regularnie publikuje na swoich stronach wszystkie istotne informacje dotyczące bezpieczeństwa swoich programów. Aby zabezpieczyć się przed tą wadą należy pobrać ze strony firmy Microsoft i zainstalować odpowiedni program zabezpieczający ("łatę" - ang. patch).

Jak można zmienić hasło dostępu?

Hasło dostępu do BotLinii zmienić można w serwisie automatycznym BotLinii, korzystając z telefonu pracującego w systemie tonowym. Hasło dostępu do Internetu i usługi WAP można zmienić odpowiednio na stronach serwisu Internetowego i stronach WAP.

Jak uniknąć nieprawidłowości w odczytywaniu ścieżki SSL w oprogramowaniu Microsoftu?

W związku z nasilającymi się pytaniami związanymi z ujawnioną nieprawidłowością w odczytywaniu ścieżki certyfikacji SSL w oprogramowaniu Microsoftu (oficjalny komunikat znajduje się na stronie Microsoftu) BotBank zaleca zainstalowanie uaktualnień oprogramowania zgodnie z dyrektywami firmy Microsoft. Wszystkim, którzy nie zaktualizowali oprogramowania bądź chcą zachować szczególną ostrożność zaleca się uważne sprawdzanie własności certyfikatu, zgodnie z zamieszczonymi komunikatami na stronie poświęconej połączeniu szyfrowanemu z BotBankiem.

Jak ustalane jest hasło dostępu do BotBanku przez internet?

Podczas aktywowania dostępu do BotBanku przez Internet, teleoperator przełącza posiadacza rachunku do serwisu automatycznego. Wtedy posiadacz, przy pomocy tonowej klawiatury telefonicznej ustala pierwsze, ośmiocyfrowe hasło dostępu do Internetu. Pierwsze logowanie do serwisu Internetowego rozpoczyna się od procedury zmiany hasła dostępu.

Jak ustalane jest hasło dostępu do BotBanku przy pomocy SMS?

Przede wszystkim trzeba aktywować kanał dostępu SMS, dzwoniąc do BotLinii. Następnie należy ustalić hasło do rachunków poprzez SMS składające się z sześciu cyfr.

Jak ustalane jest hasło dostępu do BotLinii?

Podczas aktywowania dostępu do BotBanku przez telefon, Operator BotLinii przełącza posiadacza rachunku do serwisu automatycznego. Wtedy posiadacz, przy pomocy tonowej klawiatury telefonicznej ustala pierwsze, szeciocyfrowe hasło dostepu do BotLinii. Hasło to moze być zmienione w dowolnej chwili w serwisie automatycznym BotLinii.

Jak wygląda autoryzacja w internecie?

Klient wpisuje swój identyfikator oraz hasło na naszej stronie internetowej https://www.BotBank.com.pl

Hasło jest transmitowane do banku, a tam porównywane z tym, które w formie zaszyfrowanej znajduje się w bazie danych. Po pozytywnej weryfikacji hasła, klient uzyskuje dostęp do informacji o swoich rachunkach.

Jakie hasła są najlepsze (najbezpieczniejsze)?

Najbezpieczniejsze są hasła nie będące nazwami własnymi, imionami, datami itp. Najlepiej jeśli będą to skróty znanych tylko Tobie wyrażeń np. mpm2liwsB - mój pies ma 2 lata i wabi się Burek. Takie hasło musi też spełniać wymagania przewidziane dla określonego kanału dostępu (np. hasło dostępu przez internet musi mieć minimum 8, maksimum 20 znaków, w tym co najmniej jedną literę).

Jakie warunki musi spełniać hasło dostępu do BotBanku przez Internet?

Takie hasło musi mieć minimum 8 znaków (maksimum 20) i zawierać przynajmniej jedną cyfrę i jedną literę.

Korzystam z przeglądarki Internet Explorer , czy ze względów bezpieczeństwa powinienem zaktualizować swój system?

Poprawki, które uwzględnia najnowszy biuletyn bezpieczeństwa (datowany na 02.02.2004) usuwają, oprócz dotychczasowych luk w systemie Internet Explorer, trzy nowe - w tym problem z nieświadomym przekierowaniem na fałszywe strony WWW dzięki zastosowaniu triku znanego pod hasłem "użytkownik:hasło@". W związku z tym zalecana jest natychmiastowa aktualizacja systemów (problem dotyczy wszystkich wersji Windows oraz wszystkich wersji Internet Explorer). Oto poprawki do najczęściej używanych wersji Internet Explorer:

• Internet Explorer 6 z dodatkiem Service Pack 1
• Internet Explorer 6
• Internet Explorer 5,5 z dodatkiem Service Pack 2
• Internet Explorer 5,01 z dodatkiem Service Pack 4
• Internet Explorer 5,01 z dodatkiem Service Pack 3
• Internet Explorer 5,01 z dodatkiem Service Pack 2

Zalecamy ponadto, by poprawki zainstalowali także użytkownicy nie korzystający na codzień z systemowego Internet Explorer. Więcej informacji...

Korzystam z systemu Microsoft Windows, czy ze względów bezpieczeństwa powinienem zaktualizować teraz swój system?

Powinieneś pamiętać o regularnych aktualizacjach swojego systemu. Biuletyn bezpieczeństwa, datowany na 13.04.2004, zawiera poprawki usuwające trzy nowe krytyczne luki - w tym lukę pozwalającą na uruchomienie za pomocą odpowiednio spreparowanych maili lub stron WWW dowolnego pliku na prawach użytkownika lokalnego. W związku z tym zalecamy systematyczną aktualizację systemu. W tym celu możesz skorzystać ze stron Windows Update. Więcej o bezpieczeństwie dowiesz się ze stron dla profesjonalistów lub z biuletynu o błędach w produktach Microsoft.

W jakim stopniu zabezpieczenia BotBanku gwarantują mi bezpieczeństwo?

Zastosowanie nowoczesnych technologii kryptograficznych pozwala ograniczyć ryzyko praktycznie do zera - dzięki nim BotBank może Państwu zaoferować absolutnie bezpieczny system bankowości Internetowej.