Kamil Jońca napisał(a):

> A znasz to powiedzonko o miliardzie much ?

> A dlaczego nie ? Już nie przesadzajmy.

Ja naprawdę nie przesadzam i uważam, że to, co postuluje Łukasz nie ma
żadnego sensu.

Na szczęście banki uważają tak samo...

do góry

Wojciech Nawara said the following On 2005-03-16 18:28:
> Kamil Jońca napisał(a):
>
>> A znasz to powiedzonko o miliardzie much ?
>
>
>> A dlaczego nie ? Już nie przesadzajmy.
>
>
> Ja naprawdę nie przesadzam i uważam, że to, co postuluje Łukasz nie ma
> żadnego sensu.
>
> Na szczęście banki uważają tak samo...
Uważasz, że użytkownicy tak często się mylą/zmieniają zdanie ?
KJ


--
Rowery treningowe, siłownie, sprzęt sportowy http://www.fitness4you.pl
Kontakt JID: k...@j...aster.pl

do góry

Kamil Jońca napisał(a):

> Uważasz, że użytkownicy tak często się mylą/zmieniają zdanie ?

Nie wiem.

Uważam, że jeśli zmienię zdanie zanim podam albo nawet zanim zdrapię kod
i system następnym razem spyta o następny kod, to to NIE MA SENSU.

Jeżeli się pomylę podając kod i system następnym razem spyta o kolejny -
to także moim zdaniem NIE MA SENSU. Zamiast tego powinien istnieć
mechanizm który blokuje dostęp do rachunku lub kartę kodów po np 3
nieudanych próbach.

Chociaż z dwojga złego ten drugi bezsens jest mniej bezsensowny od
pierwszego. ;-)

do góry

Wojciech Nawara said the following On 2005-03-16 18:42:
> Kamil Jońca napisał(a):
>
>> Uważasz, że użytkownicy tak często się mylą/zmieniają zdanie ?
>
>
> Nie wiem.
>
> Uważam, że jeśli zmienię zdanie zanim podam albo nawet zanim zdrapię kod
> i system następnym razem spyta o następny kod, to to NIE MA SENSU.
>
> Jeżeli się pomylę podając kod i system następnym razem spyta o kolejny -
> to także moim zdaniem NIE MA SENSU. Zamiast tego powinien istnieć

Ale jakieś uzasadnienie poza Twoim głębokim przekonaniem?
Bo ja mam proste: utrudnienie wykorzystania już przesłanego kodu przez
"kogoś pomiędzy mną a bankiem"
KJ




--
Rowery treningowe, siłownie, sprzęt sportowy http://www.fitness4you.pl
Kontakt JID: k...@j...aster.pl

do góry

Kamil Jońca napisał(a):

> Ale jakieś uzasadnienie poza Twoim głębokim przekonaniem?

Nieuzasadnione utrudnienie korzystania z usług.

> Bo ja mam proste: utrudnienie wykorzystania już przesłanego kodu przez
> "kogoś pomiędzy mną a bankiem"

Jest pewna granica tego utrudniania... i w mojej opinii zostałaby
przekroczona...

do góry

Wojciech Nawara said the following On 2005-03-16 18:45:
> Kamil Jońca napisał(a):
>
>> Ale jakieś uzasadnienie poza Twoim głębokim przekonaniem?
>
>
> Nieuzasadnione utrudnienie korzystania z usług.
Bo ja wiem ? Przy podaniu poprawnego kodu nic się nie zmieni. Zmieni się
"w sytuacji wyjątkowej"
Poza tym wielokrotne pytanie o ten sam kod zaprzecza samej idei haseł
"jednorazowych"

KJ


--
Rowery treningowe, siłownie, sprzęt sportowy http://www.fitness4you.pl
Kontakt JID: k...@j...aster.pl

do góry

Kamil Jońca napisał(a):

> Poza tym wielokrotne pytanie o ten sam kod zaprzecza samej idei haseł
> "jednorazowych"

Dlatego powinna istnieć blokada karty kodów po paru nieudanych próbach.
Dlaczego nie istnieje, choćby czasowa, możliwa do odblokowania - nie wiem...

do góry

Wojciech Nawara said the following On 2005-03-16 18:48:
> Kamil Jońca napisał(a):
>
>> Poza tym wielokrotne pytanie o ten sam kod zaprzecza samej idei haseł
>> "jednorazowych"
>
>
> Dlatego powinna istnieć blokada karty kodów po paru nieudanych próbach.
I sądzisz, ze to byłoby mniej upierdliwe ?
Poza tym wydaje mi sie, ze już mBankowi zwrócono uwagę na ten problem, i
mBank _deklarował_, że już się 2 razy o to samo hasło nie spyta. Tyle
tylko, ze praktyka jakby temu przeczyła. Tak więc niektóre banki
przynajmniej _chcą_ stosować takie podejście. Tyle, że nie bardzo im
wychodzi. :-)

KJ

--
Rowery treningowe, siłownie, sprzęt sportowy http://www.fitness4you.pl
Kontakt JID: k...@j...aster.pl

do góry

Wojciech Nawara napisał(a):

> Ja naprawdę nie przesadzam i uważam, że to, co postuluje Łukasz nie ma
> żadnego sensu.

Ja tam niczego nie postuluję. To było tylko nawiązanie do poprzedniego
posta. :)

Czy takie coś zwiększyło by bezpieczeństwo? Któż to wie... :) Mam
wrażenie, że w pewnych momentach mogłoby nawet zmniejszyć. Dla
przykładu: mamy sesję z bankiem, a jakiś wredny typ urządza atak typu
man in the middle. Po wpisaniu kodu wysyła on do naszej przeglądarki
jakąś informację o błędzie po czym sam realizuje własną transakcję na
tym kodzie jednorazowym. Teraz:
Scenariusz 1: bank pyta o ten sam kod 2 razy - przy próbie powtórzenia
operacji od razu widać, że coś jest nie tak bo jeśli nasz kod został
wykorzystany to pytanie o kolejny będzie dla nas sygnałem, że jednak
jakaś operacja została wykonana.

Scenariusz 2: bank nie pyta 2 razy o ten sam kod - przy próbie
powtórzenia dostajemy pytanie o kolejny. A co się stało z poprzednim?
Nie wiadomo i może byc problem z ustaleniem (bo działalność wrednego
typa wcale nie musi być tożsama z jakąś operacją w historii rachunku -
może to być np. odblokowanie kanału dostępu, który później będzie użyty
do niecnych celów).

Pozdrawiam!

do góry

Wojciech Nawara <u...@n...WYTNIJ.info> writes:

> Uważam, że jeśli zmienię zdanie zanim podam albo nawet zanim zdrapię
> kod i system następnym razem spyta o następny kod, to to NIE MA SENSU.

Nie, to jest jedyne sensowne wyjscie. Z punktu widzenia bezpieczenstwa,
a nie wygody - ale chyba hasla jednorazowe maja zapewniac bezpieczenstwo
a nie wygode?
Jesli istnieje taka mozliwosc, ze da sie powtornie uzyc kodu, o ktory
system zapytal juz wczesniej (a wiec byc moze uzytkownik juz go
probowal uzyc), to prawdopodobnie ktos, kto to projektowal, nie rozumial
zasad uzywania kodow jednorazowych.

> Jeżeli się pomylę podając kod i system następnym razem spyta o kolejny
> -
> to także moim zdaniem NIE MA SENSU.

Gdyz? Gdyz zmarnuje sie "kod"? A jesli to nie Ty sie pomylisz, tylko
proxy po drodze zmieni kod, zeby intruz mogl go wykorzystac za minute
do swoich celow?

> Zamiast tego powinien istnieć
> mechanizm który blokuje dostęp do rachunku lub kartę kodów po np 3
> nieudanych próbach.

Nie mialbys szansy na druga nieudana probe. Jedyne co bys przez to
uzyskal, to mozliwosc latwego zrobienia DoSu. Nie zebym akurat
wierzyl ze obecnie nie da sie tego komus zrobic.
--
Krzysztof Halasa

do góry