Jacek Osiecki wrote:[...]

> Po pierwsze: w tokenie masz jeden podpis na transakcję. Jeśli trojan ma Twój
> pin do karty kryptograficznej, to sobie natrzaska ile bądź przelewów. Przy
> tokenie może wykonać tylko jeden przelew.
No to jest argument, choć dalej byłoby mu trudno, przy wyjętej karcie.
Może karta też powinna sie o różne piny pytać :-)

[...]
>
> Swoją drogą: w takim BPH zmiana danych przelewów zdefiniowanych i
> kontrahentów niczym nie jest zabezpieczona - nie trzeba jej dodatkowo
W ING też. Co ciekawe kiedyś _było_ to zabezpieczone kluczem - nie mam
pojęcia dlaczeg z tego zrezygnowali.:-(

KJ

do góry

Użytkownik Jurek Zielinski napisał:

>>>lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>>>hasło jednorazowe nie chroni przez zmianą transakcji w locie.
>>
>>Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
>>ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.
>
> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
> siebie.

I dobrze. Ale z jakiegos powodu wlamano sie do BePeHahahaha, a nie
Inteligo, mBanku, czy gdzie indziej, gdzie sa tokeny/hasla jednorazowe.

> Ale ty nie lubisz BPH i jeśłi fakty przeczą teori - tym gorzej dla faktów.

A Ty jestes napastliwy zupelnie bez powodu.

Bartol

do góry

Użytkownik Kamil Jonca napisał:

>>A jeśli stracisz/zgubisz/ktoś Ci ukradnie, a będziesz musiał wykonać
>>pilnie przelew?
>
> Jak zgubi/straci wszystko naraz to raczej będzie miał inny problem.:-)

Hehehe, dokladnie.

Bartol

do góry

Użytkownik PshemeK napisał:

> Jak posiejesz zdrapkę to lipa.
>
> A hasło maskowane, nawet jeśli nie lubisz podawać na wyrywki, to zawsze
> możesz sobie na chwilę zapisać policzyć literki i zniszczyć.

Wszystko mozna to oczywiste. Ja jednak wole rozwiazania, ktore sa
_dla_mnie_wygodniejsze_.

Bartol

do góry

Użytkownik Jacek Osiecki napisał:

>>Dla mnie to kompletny bezsens. Pamietam swoje hasla jako pewne ciagi i
>>podawanie ich na wyrywki mnie dobija. Szczegolnie przez telefon.
>
> Bankowość na telefon to w ogóle bezsens i wielka dziurwa w bezpieczeństwie :)

No yo. Tym bardziej ze tam mowia wyraznie: podaj 4 cyfre hasla. ;-)

> A hasło maskowane zdecydowanie bezsensem nie jest! Jest świetnym
> zabezpieczeniem przez keyloggerami. Jeśli masz problem z "wyrywkowym"
> wypełnieniem hasła to chyba coś nie tak z pamięcią ;)

OK. Zgadzam sie. Na pewno jest lepsze niz walenie calego hasla na raz.

> Tokeny kosztują.

Toz place za konto.

> Hasła jednorazowe zdecydowanie wygodne NIE SĄ, w dodatku zabezpieczają dużo
> słabiej niż tokeny.

Sa o tyle wygodniejsze, ze bez problemu mieszcza sie w portfelu. A jesli
sie ich pilnuje, to szansa na srate kasy praktycznie nie istnieje.

> Zaś zlikwidowanie hasła maskowanego było debilizmem, bo całkowicie świadomie
> POGORSZYLI jakość zabezpieczeń.

Tu sie zgodze.

>>>Jak zostało zauważone, jest to proste a zarazem skuteczne.
>>
>>Wcale nie jest proste (dla uzytkownika).
>
> Jest, tylko trzeba umieć literki składać :>

Mozg juz nie ten, niestety. :-D

Bartol

do góry

Użytkownik Marcin Nowakowski napisał:

>> moja konta). Wejscie w posiadanie jednego i drugiego wymaga wiekszych
>> nakladow, wiec lepiej wlamac sie do BePeHahahaha, bo szybko i latwo.
>
> Włamiesz się na moje konto w BPH? Sugerujesz że większego nakładu wymaga
> fizyczne wyciągnięcie od ciebie zdrapek niż skopiowanie ode mnie flash'a
> klucza, tak?

Nie bede sie wlamywal, bo nie jestem bandyta. Poza tym zlodziejowi
obojetne jest kogo okradnie, byle korzysci byly mozliwie najwieksze.
Jakos BePeHahahaha zczyscili troche. I oczywiscie winni sa troche
uzytkownicy, ale rowniez bank, ktorego systemy zabezpieczen pozwalaja
uzytkownikom na olewanie bezpieczenstwa.

A jak sprytny zlodziej wlezie Ci do kompa, to pewnie nawet klucz na
dyskietce nie pomoze.

Bartol

do góry

Jacek Osiecki napisał(a):
> Jeśli na komputerze juzera jest trojan - to żaden problem... Zesniffować dwa
> hasła, zapisać sobie gdzieś plik z kluczem... a potem wysłać wszystko do
> swojego twórcy.

Analogicznie można przechwycić hasła jednorazowe...(było to tym już).

>>zabezpieczenia". Poza tym, dla kogoś, komu na tym zależy nie ma rzeczy
>>trudnych, są tylko takie, którym musi poświęcić kilka chwil dłużej :)

> Ponownie: token, gdzie skrótem jest 8 ostatnich cyfr konta. Try this :>

I zamiast informatyków do dzieła przystąpią elektronicy...:)

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Bartol Partol napisał(a):
> I dobrze. Ale z jakiegos powodu wlamano sie do BePeHahahaha, a nie
> Inteligo, mBanku, czy gdzie indziej, gdzie sa tokeny/hasla jednorazowe.

Bo znaleźli się pewnie tacy, co to mieli dwa takie same hasła i takie
tam inne rzeczy.
BTW - skąd wiesz, że do Inteligo, mBanku nikt się nie włamał?

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Jacek Osiecki napisał(a):
> 2. Zmiana danych kontrahenta w BPH nie wymaga niczego poza zalogowaniem się
> na konto. Złodziej może sobie wejść, pozmieniać dane najważniejszych
> przelewów i spokojnie czekać na kasę :(

Hm, tego nie sprawdzałem...

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Bartol Partol napisał(a):
> A jak sprytny zlodziej wlezie Ci do kompa, to pewnie nawet klucz na
> dyskietce nie pomoze.

Tzn jak ma przelać kasę (nie mam listy stałych odbiorców itp.) bez
fizycznego użycia pliku, który jest na nośniku dla Ciebie niedostępnym?

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry