Jacek Osiecki wrote:

> Bo bez pinu go nie uruchomisz. Dzięki temu nawet jak ktoś ukradnie token to
> nic nie zdziała...

przeciez w "lukasowych" tez jest haslo/pin ktore trzeba wprowadzic razem
z kodem z tokena zeby uzyskac dostep, jesli ktos ukradnie token
i zacznie probowac wprowadzac kody bez albo ze zlym pinem to dostep
zostanie zablokowany

> Ale przy odpowiednim systemie może też służyć do np. podawania końcówki
> numeru konta, co zabezpiecza przed bardziej wymyślnymi próbami oszustwa.

mozesz cos wiecej napisac, jak to mialoby dzialac i co zyskujemy
w bezpieczenstwie ?

do góry

Jacek Osiecki wrote:

> Chyba jasno napisałem: chodzi o powiadomienie mailowe NATYCHMIAST po
> operacji. Miesięczne czy choćby codzienne "wyciągi" emailowe niewiele mi
> dadzą, jeśli ktoś np. zacznie korzystać z mojej karty.

to ma sens tylko gdy system pocztowy klienta obsluguje push email,
a chyba stosunkowo niewielka liczba klientow bankow korzysta
z takich systemow, za to sms obsluguje kazdy telefon gsm, pewnie
dlatego latwiej znalezc w ofercie bankow takie powiadomienia

do góry

Dnia Sun, 02 Dec 2007 08:43:58 +0100, Marcin Nowakowski napisał(a):
> Dnia 2007-12-02 02:30, Jacek Osiecki stwierdził, że:
>>>> karta kredytowa była aktualizowana
>>>> z opóźnieniem jednego dnia ROBOCZEGO, czyli jak w piątek o 23 wpłaciłeś
>>>> środki na kartę to pojawiały się na niej w poniedziałek po 8...
>>> Karta jest (i była) aktualizowana na drugi dzień, bez względu na to, czy
>>> jest on roboczy, czy nie.
>> Ale przelewy w BPH działają tylko pn-pt 8-20, więc jeśli w piątek wieczorem
>> chcesz doładować kartę to są to utopione pieniądze.
> Nie pamiętam, czy od 8 do 20, ale faktycznie od poniedziałku do piątku.
> Jednakże Twoje zdanie dotyczące tego, że saldo jest aktualizowane na
> następny dzień ROBOCZY nie jest prawdziwe :-)

OK, ale nie zmienia to znacząco absurdalności tego działania ;)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006

do góry

Dnia Sun, 02 Dec 2007 10:40:08 +0100, MarcinF napisał(a):
> Jacek Osiecki wrote:
>> Bo bez pinu go nie uruchomisz. Dzięki temu nawet jak ktoś ukradnie token to
>> nic nie zdziała...
> przeciez w "lukasowych" tez jest haslo/pin ktore trzeba wprowadzic razem
> z kodem z tokena zeby uzyskac dostep, jesli ktos ukradnie token
> i zacznie probowac wprowadzac kody bez albo ze zlym pinem to dostep
> zostanie zablokowany

Hasło i nazwę użytkownika można podsłuchać. Token można ukraść. W takiej
sytuacji PIN do tokena jest na wagę złota, bo nie można go w żaden sposób
podsłuchać jeśli tylko właściciel tokena używa go z głową.
Taki sam problem jest przy hasłach SMSowych mbanku - jak ktoś podsłucha
Twoje hasło i ukradnie komórkę, to jesteś ugotowany.

>> Ale przy odpowiednim systemie może też służyć do np. podawania końcówki
>> numeru konta, co zabezpiecza przed bardziej wymyślnymi próbami oszustwa.
> mozesz cos wiecej napisac, jak to mialoby dzialac i co zyskujemy
> w bezpieczenstwie ?

To, że nawet siadając przy specjalnie przygotowanym komputerze z odpowiednio
spreparowaną przeglądarką i zastępem crackerów między Tobą a bankiem,
będziesz wiedział że przelewasz na takie konto na jakie chciałeś przelać.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006

do góry

Jacek Osiecki wrote:

> Hasło i nazwę użytkownika można podsłuchać. Token można ukraść. W takiej
> sytuacji PIN do tokena jest na wagę złota, bo nie można go w żaden sposób
> podsłuchać jeśli tylko właściciel tokena używa go z głową.
> Taki sam problem jest przy hasłach SMSowych mbanku - jak ktoś podsłucha
> Twoje hasło i ukradnie komórkę, to jesteś ugotowany.

ok, zgadzam sie

> To, że nawet siadając przy specjalnie przygotowanym komputerze z odpowiednio
> spreparowaną przeglądarką i zastępem crackerów między Tobą a bankiem,
> będziesz wiedział że przelewasz na takie konto na jakie chciałeś przelać.

nie bardzo sie orientuje w mechanizmie generowana zapytan do tokenow
dzialajacych w trybie challenge/response, ktorys producent umozliwia
w swoim systemie uzywanie zapytan dostarczanych z zewnatrz ?

do góry

Dnia Sun, 02 Dec 2007 12:42:37 +0100, MarcinF napisał(a):
> Jacek Osiecki wrote:
>> To, że nawet siadając przy specjalnie przygotowanym komputerze z odpowiednio
>> spreparowaną przeglądarką i zastępem crackerów między Tobą a bankiem,
>> będziesz wiedział że przelewasz na takie konto na jakie chciałeś przelać.

> nie bardzo sie orientuje w mechanizmie generowana zapytan do tokenow
> dzialajacych w trybie challenge/response, ktorys producent umozliwia
> w swoim systemie uzywanie zapytan dostarczanych z zewnatrz ?

Wystarczy że zamiast podawać tokenowi losowe cyfry, poda się np. 8 ostatnich
cyfr konta na które ma być dokonany przelew.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006

do góry

Jacek Osiecki wrote:

> Wystarczy że zamiast podawać tokenowi losowe cyfry, poda się np. 8 ostatnich
> cyfr konta na które ma być dokonany przelew.

no tak, ale czy ktos taka funkcjonanosc udostepnia ?

do góry

> >> >> i na podobnym poziomie konfigurowalne. Same powiadomienia SMS od biedy
> >> >> mogą być, ale wolę żeby były też mailowe - po pierwsze za darmo, po
> >> >> drugie - SMSa skasuję bo mi zagraca skrzynkę, a maile mogę zachować
> >> > Powiadomienia e-mail ma wiekszość, jeśli nie każdy.
>
> >> Właśnie sprawdzałem sporo różnych banków (większość ma na szczęście
> >> interfejsy "demo") i właśnie nie znalazłem ŻADNEGO, który by miał
> >> powiadomienia email. Wszędzie takie dziadostwo jak w mBanku, czyli jakieś
> >> idiotyczne podsumowania konta po całym dniu (w mBanku dodatkowo płatne -
> >> kpina!). Żaden bank którego wersję demo oglądałem, nie udostępniał tego co
> >> BPH czyli powiadomień email po jakiejś operacji (np. autoryzacja transakcji
> >> karcianej, zmiana salda itp.)... W sumie trudno, chyba nie będzie banku
> >> który spełnia to wymaganie - muszą mi wystarczyć SMSy :(
>
> > Nie wiem czy o to chodzi, ale Inteligo (PKO BP) ma powiadomienia e-mail (raz
> w
> > miesiącu na e-mail przychodzą wszystkie przychodzące i wychodzące sumy).
>
> Chyba jasno napisałem: chodzi o powiadomienie mailowe NATYCHMIAST po
> operacji. Miesięczne czy choćby codzienne "wyciągi" emailowe niewiele mi
> dadzą, jeśli ktoś np. zacznie korzystać z mojej karty.

Rozumiem, że to się komuś przydaje w niektórych biznesach (aukcje czy sklepy
internetowe) oraz do kontroli wydatków kartą. Mnie to nie jest potrzebne, ale
potrafie zrozumieć czyjeś potrzeby...

> > I co BPH ma to cudo ? Wiem, że BPH jest cholernie drogie, więc sie nim za
> > bardzo nie interesowałem.
>
> To czy jest drogie zależy od tego jak się używa konta :>

I od tego ile ma się na koncie :)

> >> > Takich cudów, nie widziałem, natomiast przy połaczeniu do mLinii pyta o ró
> zne
> >> > cyfry (np. drugą i czwartą) z telekodu.
> >> No i chodzi o coś takiego, tylko że przez internet :)
> > A nie wystarczy dobrze zabezpieczyć komputer w domu (firewall,
> > anty-vir-anty-robak) ? Przecież tu są wszedzie połączenia szyfrowane (SSL)
>
> Nie wystarczy.

Dlaczego nie wystarczy ? SSL jest trudny do roszyfrowania. Dobrym
zabezpieczeniem wydają mi się hasła jednorazowe.

Korzystając z dobrze zabezpieczonego własnego komputera w domu czy poza domem
(laptop) unikamy "spreparowanej przeglądarki" czy keyloggerów.

Czy to nie wystarczy ?


> > Ale coś takiego jak "wpisz sume 3+9" albo "przepisz kod z obrazka" to
> > zabezpiecza tylko przed robotami (działającymi metodą brute force), a tu
> > przecież kilka nieudanych prób oznacza zablokowanie konta.
>
> Nie zrozumiałeś :) "Kalkulator" ma zaszyty klucz i dokładny zegar - na
> podstawie tych danych i podanej wartości generuje odpowiedź, a bank wylicza
> to po swojej stronie.
> A zablokowanie konta i tak można zafundować każdemu przy dowolnym systemie
> bankowości internetowej.

Kto oferuje takie rozwiązania ? Chciałbym to zobaczyć, bo szczerze nigdy ich
nie widziałem.

Pozdr.
C.H.




--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Sun, 02 Dec 2007 14:40:19 +0100, MarcinF napisał(a):
> Jacek Osiecki wrote:
>> Wystarczy że zamiast podawać tokenowi losowe cyfry, poda się np. 8 ostatnich
>> cyfr konta na które ma być dokonany przelew.
> no tak, ale czy ktos taka funkcjonanosc udostepnia ?

Niestety nie - a jest to jedyne 100% zabezpieczenie. Bliskie ideałowi byłyby
kody przesyłane SMSem, tylko mają one jeden wielki problem - w chwili gdy
złodziej ukradnie Ci telefon, może zrobić wszystko :(

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006

do góry

Dnia Sun, 2 Dec 2007 19:59:14 +0000 (UTC), Cezary H napisał(a):
>> Chyba jasno napisałem: chodzi o powiadomienie mailowe NATYCHMIAST po
>> operacji. Miesięczne czy choćby codzienne "wyciągi" emailowe niewiele mi
>> dadzą, jeśli ktoś np. zacznie korzystać z mojej karty.

> Rozumiem, że to się komuś przydaje w niektórych biznesach (aukcje czy sklepy
> internetowe) oraz do kontroli wydatków kartą. Mnie to nie jest potrzebne, ale
> potrafie zrozumieć czyjeś potrzeby...

Przy operacjach karcianych powiadomienie inne niż natychmiastowe w zasadzie
nie ma sensu...

>> > A nie wystarczy dobrze zabezpieczyć komputer w domu (firewall,
>> > anty-vir-anty-robak) ? Przecież tu są wszedzie połączenia szyfrowane (SSL)
>> Nie wystarczy.
> Dlaczego nie wystarczy ? SSL jest trudny do roszyfrowania. Dobrym
> zabezpieczeniem wydają mi się hasła jednorazowe.

Owszem, dobrym - ale np. w wykonaniu mBankowym nie do końca.

> Korzystając z dobrze zabezpieczonego własnego komputera w domu czy poza domem
> (laptop) unikamy "spreparowanej przeglądarki" czy keyloggerów.
>
> Czy to nie wystarczy ?

Nie wystarczy, bo np. jadąc na urlop bez laptopa mogę zechcieć (albo po
prostu mieć taką pilną potrzebę) przerzucić jakieś kwoty między kontami albo
zasilić kartę. I gdy dysponuję z tokenem działającym na zasadzie
pytanie-odpowiedź (plus uzależnienie "pytania" od numeru konta na które
przelewana jest kwota) mogę spokojnie robić przelewy nawet siedząc
w centrali NSA ;)

>> Nie zrozumiałeś :) "Kalkulator" ma zaszyty klucz i dokładny zegar - na
>> podstawie tych danych i podanej wartości generuje odpowiedź, a bank wylicza
>> to po swojej stronie.
>> A zablokowanie konta i tak można zafundować każdemu przy dowolnym systemie
>> bankowości internetowej.

> Kto oferuje takie rozwiązania ? Chciałbym to zobaczyć, bo szczerze nigdy ich
> nie widziałem.

Swego czasu taki token oferowało Pekao S.A., teraz chyba jeszcze BGŻ - i nie
wiem kto jeszcze.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006

do góry