on 09 Sep 2005 14:13:28 +0200 Krzysztof Halasa <k...@p...waw.pl> wrote:

> Rafał Krupiński <r...@m...com> writes:
>
> > a jaką byś zaproponował profilaktykę?
> > msz nie da się zapobiec takim wypadkom.
>
> Oczywiscie ze sie da. Zwykly, szeregowy pracownik banku powinien miec
> okreslone uprawnienia i nie powinien miec mozliwosci robienia rzeczy,
> do ktorych uprawnien nie posiada.
>
> Zwlaszcza w banku, w ktorym wszystko robi sie na komputerze.
>
> Jesli ktos pozwala na to, by pracownicy - zwlaszcza roznych szczebli,
> ale niekoniecznie - np. znali wzajemnie swoje hasla, to ma problem.

Widzę, że nie zrozumiałeś, co napisałem.
Sytuacja:
dzwoni człowiek, podaje normalnie hasła i zleca przelew.

jak _zapobiec_ takim dwóm możliwym sytuacjom:
*klient ukradł hasło
*konsultant źle wykonał zlecenie

Można to poprawić, oddać kasę, ale nie można zapobiec.

Regards, Rufio
--
010 > XMMS now playing PGP: 0xC40BD066
001 > Something Like Elvis S/N: 0x000000BC
111 > Syringe

do góry

Krzysztof K. Maj napisał(a):

> A kiedyś, tu na grupie, zwracaliśmy już uwagę na to, że przelewy z
> lokat, SFI oraz eMAX-plusa powinny być zabezpieczone hasłami
> jednorazowymi.

Nie nadążam. Lokatami w mBanku się nie bawiłem. Rozumiem, że do ich
zerwania nie jest potrzebne hasło jednorazowe?

Odnośnie SFI - przecież każde zlecenie jest potwierdzane hasłem
jednorazowym.

Jeśli chodzi natomiast o eMax Plus, to najpierw musisz zdefiniować
przelew i potwierdzić tę definicję kodem. Istotnie jest to dość
nietypowe, gdyż najczęśćiej jest to przelew na eKonto, ergo: każdy kto
dostanie się na konto, może przelać środki z eMaxa na eKonto bez hasła
jednorazowego. A ciężko każdorazowo usuwać definicję.

do góry

Wojciech Nawara wrote:
>
> Odnośnie SFI - przecież każde zlecenie jest potwierdzane hasłem
> jednorazowym.
> Jeśli chodzi natomiast o eMax Plus, to najpierw musisz zdefiniować
> przelew i potwierdzić tę definicję kodem.

Ale cała sprawa dotyczy bezpieczeństwa zleceń przez _telefon_. AFAIK przez
telefon w mBanku można zrobić _każdą_ operację, conajwyżej zapytany
zostaniesz o nazwisko panieńskie matki albo swój adres.

do góry

Fri, 09 Sep 2005 17:51:13 +0200, na pl.biznes.banki, Wojciech Nawara w
wiadomości <news:dfsb1f$b27$1@news.elsat.net.pl> napisał(a):

> Nie nadążam. Lokatami w mBanku się nie bawiłem. Rozumiem, że do ich
> zerwania nie jest potrzebne hasło jednorazowe?

Do zerwania lokaty nie jest wymagane hasło.

> Odnośnie SFI - przecież każde zlecenie jest potwierdzane hasłem
> jednorazowym.

Wycofywałem środki z SFI 2 lata temu, więc możliwe że się mylę, ale
wydawało mi się, że do wycofania środków też hasło nie było wymagane.

> Jeśli chodzi natomiast o eMax Plus, to najpierw musisz zdefiniować
> przelew i potwierdzić tę definicję kodem. Istotnie jest to dość
> nietypowe, gdyż najczęśćiej jest to przelew na eKonto, ergo: każdy kto
> dostanie się na konto, może przelać środki z eMaxa na eKonto bez hasła
> jednorazowego. A ciężko każdorazowo usuwać definicję.

Powiedzmy raczej, że dość niewygodnie definiować przelew za każdym razem
od nowa.

--
Pozdrowienia
Krzysztof K. Maj
(Uwaga na pułapkę w adresie!)

do góry

Dnia Fri, 9 Sep 2005 23:12:48 +0200,
osoba podpisana: Krzysztof K. Maj <kmaj@USUN_TO.krak.eu.org>
napisała:
[...]
>
> Wycofywałem środki z SFI 2 lata temu, więc możliwe że się mylę, ale
> wydawało mi się, że do wycofania środków też hasło nie było wymagane.
Jeżeli przez "wycofanie" rozumiesz zlecenie umorzenia, to TAN (chyba)
zawse był wymagany.

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/#f4y
Advertisements contain the only truths to be relied on in a newspaper.
-- Thomas Jefferson

do góry

Krzysztof K. Maj napisał(a):

>>jednorazowego. A ciężko każdorazowo usuwać definicję.
>
> Powiedzmy raczej, że dość niewygodnie definiować przelew za każdym razem
> od nowa.

No właśnie o to chodziło. :-)

do góry

S.T. napisał(a):

> Znacznie lepsze byłoby wymaganie hasła na przelew
> poza rachunkami własnymi.

Moment. Każdy przelew niezdefiniowany wymaga potwierdzania hasłem. Każdy
przelew zdefiniowany trzeba potwierdzić hasłem jedynie w momencie
defnicji. Więc przelewy na "niewłasne" rachunki mamy zabezpieczone,
chyba, że ktoś sam się o to prosi, aby nie były (jedynie w przypadku
eMax Plus mBank zmusza klienta do "dobrowolnego" obniżenia bezpieczeństwa).

A jeśli chodzi o przelewy między własnymi rachunkami - te także
domyślnie NIE POWINNY być możliwe do wykonania bez użycia TANów, gdyż
klient może chcieć przykładowo zabezpieczyć swoje środki, aby nie były
dostępne na rachunku do którego wydana jest karta. Wtedy ma gwarancję,
że co się nie będzie działo, środki na rachunkach poza kartą są
bezpieczne, o ile nie podał swojego ID i hasła do logowania i TANów.
Znaczy inaczej: wypłynięcie jednego z powyższych nie stanowi wtedy
zagrożenia.

Kwestią zasadniczą jest dziurawy kanał telefoniczny, gdyż w tym
przypadku każde zabezpieczanie kanału internetowego bierze w łeb.

Inną kwestią jest to, iż powinna być możliwość definicji przelewu, ale
każdorazo potwierdzanego TANem. To byłoby idealne rozwiązanie.

Idealnie ma to rozwiązane inteligo. Jedynie boli mnie to, iż przez IVR
da się jedynie udostępnić płatności, a nie da się zrobić przelewu do
odbiorcy z listy odbiorców (potwierdzanych TANem).

do góry

Wojciech Nawara napisał(a):

> Inną kwestią jest to, iż powinna być możliwość definicji przelewu, ale
> każdorazo potwierdzanego TANem. To byłoby idealne rozwiązanie.

I jeszcze jedno. Strasznie mnie wkurza, że eMakler i SFI mogą być
podpięte jedynie do eKonta. Ja z założenia na eKoncie chcę trzymać tylko
to, co potrzebne, gdyż z eKonta są definicje przelewów i jest tam karta.
No i w takiej sytuacji... dupa, a nie bezpieczeństwo... Tym bardziej, że
nigdy do końca nie wiadomo kiedy przyjdą środki z SFI albo eMaklera.

do góry

Dnia Sat, 10 Sep 2005 11:23:41 +0200,
osoba podpisana: Wojciech Nawara <u...@n...WYTNIJ.info>
napisała:
> Wojciech Nawara napisał(a):
>
>> Inną kwestią jest to, iż powinna być możliwość definicji przelewu, ale
>> każdorazo potwierdzanego TANem. To byłoby idealne rozwiązanie.
>
> I jeszcze jedno. Strasznie mnie wkurza, że eMakler i SFI mogą być
> podpięte jedynie do eKonta. Ja z założenia na eKoncie chcę trzymać tylko
O to, to. Ja z tego powodu używałem izzy do przelewów. Niestety karty
nie udało się obejść :-( (tak wiem że można mieć izzy kartę)

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/#f4y
EMACS = Eight Megabytes And Constantly Swapping

do góry

> Dnia  Fri, 9 Sep 2005 23:12:48 +0200,
> osoba podpisana: Krzysztof K. Maj <kmaj@USUN_TO.krak.eu.org>
> napisała:
> [...]
> >
> > Wycofywałem środki z SFI 2 lata temu, więc możliwe że się mylę, ale
> > wydawało mi się, że do wycofania środków też hasło nie było wymagane.
> Jeżeli przez "wycofanie" rozumiesz zlecenie umorzenia, to TAN (chyba)
> zawse był wymagany.

Przez internet każda operacja w SFI zawsze wymagała haseł.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry