Leszek wrote:
> witek wrote:
>> "Leszek" wrote
>
>>> Dla banku? Juz teraz banki nie rekompensują kradzieży - jak
>>> Raiffeisen.
>>
>> to zmień bank.
>
> A mówię, że tam mam? Czytałem.
>
>>> Uważam że dla mnie. Jak ktoś mógłby rabnąć mi hasło?
>>> Bez obrazy - hasła zapisują sklerotycy. Ponadto można je zapisac w
>>> sposób zrozumiały tylko dla siebie - w domu. Jak często ludzie traca
>>> jednoczesnie karty, mają włamanie, a złodziej przeszukuje mieszkanie
>>> w celu znalezienia haseł?
>>
>> to widać, że jesteś cienki z technologii internetowych
>
> TY za to jesteś obeznany całkowiecie i widać znasz jakąś technologie
> internetową, która potrafi zczytać moje hasło zapisane w głowie
> (ewentualnie na kartce).
[ciach]

W głowie to może nie ale odpowiedni program (trojan) zainstalowany na
komputerze i uruchamiający się tylko w określonych warunkach przechwyci
twój nr konta i cvv, dane i datę ważności oraz ile tam będziesz haseł
klepał łącznie ze zrzutami ekranów w razie jakiejś klawiatury wirtualnej
etc. Dlatego hasła jednorazowe lub maskowane dają tutaj pewne
bezpieczeństwo.

PS Oczywiście jeżeli masz czysty komputer i po drodze nie zrobi ktoś
man-in-the-middel
(http://en.wikipedia.org/wiki/Man_in_the_middle_atta
ck) lub DNS
poisoning (http://en.wikipedia.org/wiki/Dns_poisoning) etc to ... w
sumie hasło ci wtedy nie jest zbytnio potrzebne ;)


--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

Leszek wrote:

> TY za to jesteś obeznany całkowiecie i widać znasz jakąś technologie
> internetową, która potrafi zczytać moje hasło zapisane w głowie
> (ewentualnie na kartce).
[ciach]

W głowie to może nie ale odpowiedni program (trojan) zainstalowany na
komputerze i uruchamiający się tylko w określonych warunkach przechwyci
twój nr konta i cvv, dane i datę ważności oraz ile tam będziesz haseł
klepał łącznie ze zrzutami ekranów w razie jakiejś klawiatury wirtualnej
etc. Dlatego hasła jednorazowe lub maskowane dają tutaj pewne
bezpieczeństwo.

PS Oczywiście jeżeli masz czysty komputer i po drodze nie zrobi ktoś
man-in-the-middel
(http://en.wikipedia.org/wiki/Man_in_the_middle_atta
ck) lub DNS
poisoning (http://en.wikipedia.org/wiki/Dns_poisoning) etc to ... w
sumie hasło ci wtedy nie jest zbytnio potrzebne ;)




--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

"Leszek" <n...@d...spamu.pl> wrote in message
news:et1jl2$27r8$1@main.viknet.pl...
> witek wrote:
>> "Leszek" wrote
>
>>> Dla banku? Juz teraz banki nie rekompensują kradzieży - jak
>>> Raiffeisen.
>>
>> to zmień bank.
>
> A mówię, że tam mam? Czytałem.

To nie zmieniaj banku.


>
>>> Uważam że dla mnie. Jak ktoś mógłby rabnąć mi hasło?
>>> Bez obrazy - hasła zapisują sklerotycy. Ponadto można je zapisac w
>>> sposób zrozumiały tylko dla siebie - w domu. Jak często ludzie traca
>>> jednoczesnie karty, mają włamanie, a złodziej przeszukuje mieszkanie
>>> w celu znalezienia haseł?
>>
>> to widać, że jesteś cienki z technologii internetowych
>
> TY za to jesteś obeznany całkowiecie i widać znasz jakąś technologie
> internetową, która potrafi zczytać moje hasło zapisane w głowie
> (ewentualnie na kartce).

Jesteś geniusz. Powiedz mi w jaki sposób hasło trzymane w głowie i nigdy nie
wpisywane do komputera jest do czegokolwiek przydatne.
Bo jak już go raz wpiszesz to już nie jest tylko w głowie.



> Chyba nie zapoznałeś się z opisem tego zabezpieczenia. Bank nie przesyła
> do sklepu hasła tylko odpowiedź, że jest pozytywna autoryzacja (w
> bezpiecznym połaczeniu).

A do banku hasło wróble zaniosły?



>
> Jeżeli w transakcji biorą udział nie 3 a 4 strony (ja, sklep, polcard, MÓJ
> bank), a przy przesyłaniu danych nie pojawia się u sprzedawcy dodatkowe
> hasło (a jedynie potwierdzenie), to jest to dużo bezpieczniejsze. Złodziej
> okradając sklep z danych musiałby jeszcze włamać się do konkretnego
> systemu bankowego, żeby ukraść z banku listę haseł klientów - zeby
> zrealizowac fikcyjną transakcję i okraść rachunek karty (co przy w sumie
> niewysokich pojedynczych kwotach płatności w internecie nie jest opłacalne
> i jest czasochłonne). Technologia sprawdziła się i jest stosowana w
> rozwiniętych krajach i tacy fachowcy jak ty nie powstrzymali jej.
> Kurde! A może ty siedzisz jakimś polskim banku i siejesz taki defetyzm,
> żeby nie dostać dodatkowych obowiązków? ;) Nie dziwota, że wciąż jesteśmy
> za murzynami - wszystkiemu winni tacy "fachowcy".

Dziecko drogie. Weź zabawki i idź do piaskownicy.
Najprostszy keyloger zainstalowany na twoim komputerze spowoduje, że twoje
hasła pójdą się bujać.

do góry

"Leszek" <n...@d...spamu.pl> writes:

> Jeżeli w transakcji biorą udział nie 3 a 4 strony (ja, sklep, polcard,
> MÓJ bank), a przy przesyłaniu danych nie pojawia się u sprzedawcy
> dodatkowe hasło (a jedynie potwierdzenie), to jest to dużo
> bezpieczniejsze. Złodziej okradając sklep z danych musiałby jeszcze
> włamać się do konkretnego systemu bankowego, żeby ukraść z banku listę
> haseł klientów

Jesli ktos ma w systemie keyloggery itp. to sam jest sobie winien
i nie wiem czemu bank lub sklep ma za to odpowiadac.

Realnie haslo mozna miec z innego sklepu internetowego, stad
korzystne jest stosowanie np. hasel jednorazowych albo lepiej
jakiegos systemu challenge-response.
--
Krzysztof Halasa

do góry

witek wrote:
> "Leszek" wrote in message

>> TY za to jesteś obeznany całkowiecie i widać znasz jakąś technologie
>> internetową, która potrafi zczytać moje hasło zapisane w głowie
>> (ewentualnie na kartce).
>
> Jesteś geniusz. Powiedz mi w jaki sposób hasło trzymane w głowie i
> nigdy nie wpisywane do komputera jest do czegokolwiek przydatne.
> Bo jak już go raz wpiszesz to już nie jest tylko w głowie.

Na razie wierzę w SSL. Ponadto naprawdę nie czytasz ale starasz się siać
defetyzm. Teoretycznie wszystko jest możliwe - tak jak zgubienie karty.
Ryzyko jest zawsze przy kartach. Dodatkowe zabezpieczenie w transakcjach
internetowych poważnie zmniejsza ryzyko. Ja mówię o konkretnej rzeczy -
ty najwyraźniej niedopieszczony jesteś, bo starasz się mnie przegadać i
udowodnić swoją wiedzę, o czym ja w ogóle nie chcę wiedzieć. Idź
popodrywac głupawe panienki i poprzechwalaj się jeszcze. Żałosne.

>> Chyba nie zapoznałeś się z opisem tego zabezpieczenia. Bank nie
>> przesyła do sklepu hasła tylko odpowiedź, że jest pozytywna
>> autoryzacja (w bezpiecznym połaczeniu).
>
> A do banku hasło wróble zaniosły?

Nie - idzie się piechotą (wolno pojechać). Umowę i hasło podaje się
również w banku.

> Dziecko drogie. Weź zabawki i idź do piaskownicy.
> Najprostszy keyloger zainstalowany na twoim komputerze spowoduje, że
> twoje hasła pójdą się bujać.

Od 12 lat regularnie używam internetu. Od 5 nie miałem wirusa, keylogera
czy konia tr. Jeżeli ktoś dba o komputer to nie ma syfu w systemie.
Oczywiście zaraz mi wyjedziesz z tekstem, że zawsze można coś złapać i
przy kilku jeszsze warunkach stracić pieniądze z konta do takiej karty.
Pewnie, że można ale prawdopodobieństwo jest niskie (choć wyższe jeżeli
użytkownik jest idiotą). Jeszcze raz powtarzam - stosuje się to na
świecie i zdaje tam egzamin - mimo twoich narzekań.
Nie popisuj się tu elokwencją i wiedzą, bo nie zaimponujesz. Nie
odpowiedziałeś na razie dlaczego nasze banki nie mają, kiedy wprowadza,
a takie było pytanie. Widać masz jednak trudności z czytaniem i
zrozumieniem tematu. Zacząłem wątek i nie interesują mnie teorie
zarozumialców.
PLONK

L.

do góry

Bartosz 'bart' Nowakowski wrote:

> W głowie to może nie ale odpowiedni program (trojan) zainstalowany na
> komputerze i uruchamiający się tylko w określonych warunkach
> przechwyci twój nr konta i cvv

Oczywiście wszystko przechwyci - jeśli ma się śmietnik w systemie i brak
zabezpieczeń (a tak ma min. 90% internautów). Ja piszę o sytuacji, gdy
nie ma winy po stronie kupującego i zabezpieczenia samej transakcji
podczas niej. Wiele sklepów traci dane klientów i ich kart juz po
transakcji. Jednak jeśli używa się ww zabezpieczeń sam numer karty i CVV
jest dla złodziei nieprzydatny. Dla danej karty wymagana jest jeszcze
odpowiedź z serwera mojego banku - taka bez przesyłania hasła do sklepu.
Numer karty CVV, data ważności i nazwisko jest wielokrotnie
udostępniana - robiąc "fizycznie" zakupy w markecie przekazuje się je
wszystkie. Co to za problem dla kasjera zapamiętac czy zapisać je (razem
z CVV - choć ja pousuwałem z kart). Jednak bez dodatkowej autoryzacji z
banku konta karty nie okradną.
L.

do góry

Leszek wrote:

>
> (...) Jednak bez dodatkowej autoryzacji z banku konta
> karty nie okradną.

Tak zgadzam się z Tobą. Jednak zwykłe hasło wpisywane w całości mimo
SSLa to jest w mojej opinii zbyt niewiele jak na dzisiejsze czasy.
Dlatego widziałbym raczej hasło jednorazowe lub chociaż maskowane
tudzież coś w tym stylu.

--
Bartosz 'xbartx' Nowakowski

"Lecz będąc biedakiem, jedyne co posiadam to marzenia. Rozsypałem me
marzenia u twych stóp. Stąpaj miękko, gdyż stąpasz po moich marzeniach"

do góry

"Leszek" <n...@d...spamu.pl> wrote in message
news:et20is$2qcg$1@main.viknet.pl...
> witek wrote:
>> "Leszek" wrote in message
>
>>> TY za to jesteś obeznany całkowiecie i widać znasz jakąś technologie
>>> internetową, która potrafi zczytać moje hasło zapisane w głowie
>>> (ewentualnie na kartce).
>>
>> Jesteś geniusz. Powiedz mi w jaki sposób hasło trzymane w głowie i
>> nigdy nie wpisywane do komputera jest do czegokolwiek przydatne.
>> Bo jak już go raz wpiszesz to już nie jest tylko w głowie.
>
> Na razie wierzę w SSL.

Po pierwsze, hasło możesz stracić zanim cokolwiek zostanie w SSL wysłane.
Po drugie dużo banków ma ciągle SSL2



> Ponadto naprawdę nie czytasz ale starasz się siać defetyzm. Teoretycznie
> wszystko jest możliwe - tak jak zgubienie karty.

Ja nie mówię teoretycznie tylko praktycznie.


> Ryzyko jest zawsze przy kartach. Dodatkowe zabezpieczenie w transakcjach
> internetowych poważnie zmniejsza ryzyko. Ja mówię o konkretnej rzeczy - ty
> najwyraźniej niedopieszczony jesteś, bo starasz się mnie przegadać i
> udowodnić swoją wiedzę, o czym ja w ogóle nie chcę wiedzieć. Idź
> popodrywac głupawe panienki i poprzechwalaj się jeszcze. Żałosne.

Dziecko. Idź się trochę doucz, a potem się wymądrzaj.

>
>>> Chyba nie zapoznałeś się z opisem tego zabezpieczenia. Bank nie
>>> przesyła do sklepu hasła tylko odpowiedź, że jest pozytywna
>>> autoryzacja (w bezpiecznym połaczeniu).
>>
>> A do banku hasło wróble zaniosły?
>
> Nie - idzie się piechotą (wolno pojechać). Umowę i hasło podaje się
> również w banku.

Rozumiem, że po przekierowaniu ze strony sklepu na stronę banku hasła nie
używasz.
Genialne to twoja technika. Nieużywanie hasła jest najlepszym jego
zabezpieczeniem.


>
>> Dziecko drogie. Weź zabawki i idź do piaskownicy.
>> Najprostszy keyloger zainstalowany na twoim komputerze spowoduje, że
>> twoje hasła pójdą się bujać.
>
> Od 12 lat regularnie używam internetu.

No i chyba nic po za tym.
Od 5 nie miałem wirusa, keylogera
> czy konia tr.
Skąd wiesz?

> Jeżeli ktoś dba o komputer to nie ma syfu w systemie.
Tak, trzeba go regularnie ściereczką wycierać.

> Oczywiście zaraz mi wyjedziesz z tekstem, że zawsze można coś złapać i
> przy kilku jeszsze warunkach stracić pieniądze z konta do takiej karty.
> Pewnie, że można ale prawdopodobieństwo jest niskie (choć wyższe jeżeli
> użytkownik jest idiotą). Jeszcze raz powtarzam - stosuje się to na świecie
> i zdaje tam egzamin - mimo twoich narzekań.
> Nie popisuj się tu elokwencją i wiedzą, bo nie zaimponujesz. Nie
> odpowiedziałeś na razie dlaczego nasze banki nie mają, kiedy wprowadza, a
> takie było pytanie. Widać masz jednak trudności z czytaniem i zrozumieniem
> tematu. Zacząłem wątek i nie interesują mnie teorie zarozumialców.
> PLONK

Idź się dziecko lecz.

do góry

"Leszek" <n...@d...spamu.pl> wrote in message
news:et21b7$2rdq$1@main.viknet.pl...

> Jednak jeśli używa się ww zabezpieczeń sam numer karty i CVV jest dla
> złodziei nieprzydatny.

Sam numer karty i data ważności wystarczy.
> Dla danej karty wymagana jest jeszcze odpowiedź z serwera mojego banku -
> taka bez przesyłania hasła do sklepu. Numer karty CVV, data ważności i
> nazwisko jest wielokrotnie udostępniana - robiąc "fizycznie" zakupy w
> markecie przekazuje się je wszystkie. Co to za problem dla kasjera
> zapamiętac czy zapisać je (razem z CVV - choć ja pousuwałem z kart).
> Jednak bez dodatkowej autoryzacji z banku konta karty nie okradną.

Dziecko drogie.
Żeby obciążyć kartę wystarczy mi jej numer i data ważności.
Żadnych więcej cudów do tego nie potrzeba.
Oczywiście jak złożysz reklamację w banku po trakiej transakcji to szybko
dostaniesz zwrot pieniędzy, bo sklep, czy cokolwiek by to nie było nie jest
w stanie wykazać się ani twoim podpisem, anie faktem, że transakcja odbyłą
się z fizyczną obecnością karty.
Jak ci hasło/pin/CVV wypłynie, to jedyne co zobaczysz z banku jako
odpowiedź, to to żebyś spadał, bo przecież przy transakcji użyte było
hasło/pin, które jest znane tylko tobie, więc to musiałeś być ty.
Im mniej danych potrzebnych do przeprowadzenia transakcji, tym bezpieczniej
ze strony klienta.
Im więcej zabezpieczeń tym łatwiej bankowi sie wypiąć.
Bank wprowadza zabezpieczenia dla samego siebie, żeby go mniej okradano i
żeby mieć więcej arguemtów na to, że to klient jednak tą transakcję
przeprowadził. Klienta bank ma w d... Biznes jest biznes.

do góry

"witek" <w...@g...pl.invalid> writes:

> Po pierwsze, hasło możesz stracić zanim cokolwiek zostanie w SSL wysłane.
> Po drugie dużo banków ma ciągle SSL2

Bank moze w ogole nie miec SSL, wazne by sklep mial. A i to,
zakladajac uzycie sensownego mechanizmu hasel (np. tokena
z ch-resp), ma niespecjalnie wielkie znaczenie.
--
Krzysztof Halasa

do góry