Jacek Wojaczyński wrote:
>
> W sensie bezpieczeństwa? To pewnie niczym.
> Bardziej chodziło mi o to, że z mBanku to jest taka płachta papieru, którą
> niewygodnie trzyma się w portfelu...
>
to sobie ją zalaminuj.

do góry

Piotr Hołda (usuń z adresu co niepotrzebne) wrote:
> Jacek Wojaczyński napisał(a):
>
>> W sensie bezpieczeństwa? To pewnie niczym.
>> Bardziej chodziło mi o to, że z mBanku to jest taka płachta papieru,
>> którą niewygodnie trzyma się w portfelu...
>
>
> Aaaa! To o to chodzi :) Fakt. Ja swoją przycinam, zostawiając tylko to,
> co istotne. Mieści się wtedy w każdym standardowym portfelu.
>

Jakie w karty z mBanku macie? bo ja wielkości karty kredytowej, a nawet
mniejszą.

do góry

Paweł Korobczak wrote:
> Paweł wrote:
>
> Nie wiem - ja się nie kłóce, ja się zdumiewam. Ale pytam dalej: skąd
> trojan będzie wiedział, że akurat chcę wykonać przelew jednorazowy?

po tresci kodu html przyslanego z serwera.

>Z
> samych kliknięć myszką i na klawiaturze? Czy razem ze mną przegląda moją
> aktywność na stronach transakcyjnych? Jeśli tylko z samych kliknięć, to
> jak rozpozna, że wpisywana przeze mnie sekwencja cyfr jest akurat hasłem
> jednorazowym, a nie np. częścią numeru rachunku?
bez problemu. co za problem dla automatu przespacerowac się po
wszystkich czwórkach cyfr wpisanych przez ciebie, zajmie mu to mniej niż
sekundę.
Wystarczy, abym razem z klawiszami zanotował czas.
Raczej nie robisz zbyt dużej przerwy miedzy wprowadzeniem cyfr kodu.
4 cyferki wprowadzone blisko siebie to bedzie to.
Bez komputera, patrząc na cyferki bede w stanie powiedziec ci ktore to
cyfry z karty kodow. W sumie tak duzo tych cyfr sie nie wprowadza.
Zwykle przelew wypelnia sie po kolei.
Wiec napierwz wpiszesz numer rachunku, lub nie, poteam bedzie pare
literek opisu, potem bedzie kwota i po dluzszym odstepie czasowym cztery
cyferki.
Nie badz naiwny, nie takie rzeczy się rozpoznaje.


Jeśli natomiast będzie
> śledził moją aktywność, to rozumiem, że może to robić na moim
> komputerze, zanim transakcja zostanie zaszyfrowana celem przesłania?
> Ztego co mówisz jest to chyba możliwe i nawet brzmi to logicznie, ale
> dalej mam wątpliwości, czy to wszystko jest aby takie proste.
jak program na zaliczenie dla studenta np.


> Tak sobie gdybam: czy mB nie śledzi IP uzytkownika w czasie dokonywania
> transakcji? Czy można zacząć wykonywać transakcję na jednym kompie a
> skończyć ją na drugim? W sumie nie wydaje się to niemożliwe (a chyba
> konieczne dla dokonania transakcji przez hakera?).

tak, jest możliwe przejęcie sesji.

Bank śledzi IP, w trakcie reklamacji logi z systemu potraktuje na twoją
korzyść, że jednak mówisz prawdę.

do góry

Jacek Wojaczyński wrote:

> Reszta tu:
> http://www.idg.pl/news/78578.html
>

A mi się w tym tekście podoba passus:

"Dane te były później odsyłane na wcześniej przygotowane serwery" i
"serwery" jest podświetlone na pomarańczowo, po czym pokazuje się
dopisek: "Windows Server System. Stosuj sprawdzone rozwiązania. Redukuj
koszty eksploatacji. Zobacz więcej"...

:D

do góry

Fri, 13 May 2005 13:57:44 +0200, na pl.biznes.banki, Marcin Kasperski w
wiadomości <news:87k6m3bao7.fsf@cauchy.softax.local> napisał(a):

> Super po prostu. Niemniej jednak na takie kwoty to trochę inne
> rozwiązania się powinno stosować - to powinno być po części na
> jakichś lokatach, oddzielonych rachunkach, w funduszach itd. Tak by by
> wyjąć trzeba było zerwać lokatę, odczekać troszkę aż środki spłyną,
> ...
>
> (oczywiście jeszcze lepiej gdy takie operacje wymagają dodatkowej
> autoryzacji

O ile bardzo chwalę sobie łatwe przelewy pomiędzy własnymi rachunkami w
mBanku, to jednak moje duże obawy budzi fakt, że do likwidacji lokaty,
lub przelewu środków z konta eMax+ nie jest wymagane hasło jednorazowe.
Informacja o włamaniu do BPH-u tylko ugruntowała i wzmocniła te moje
obawy.

--
Pozdrowienia
Krzysztof K. Maj
(Uwaga na pułapkę w adresie!)

do góry

Marcin Kasperski <M...@a...waw.pl> wrote:
> Coś by mógł dać SMS zawierający informację o tym jaką transakcję
> zlecono i wymagający potwierdzenia (funkcjonalnie jest to z grubsza
> identyczne do oddzwonienia z pytaniem o potwierdzenie przelewu). Ale
> to kosztowne a i niewygodne.

No ale tam tak wlasnie ponoc jest :)

--
Michał 'Amra' Macierzyński || http://PRnews.pl
Banki, karty, konta oraz public relations.
Zadbaj o swoje pieniądze!

do góry

Dnia Fri, 13 May 2005 06:31:06 +0000 (UTC), Jacek Wojaczyński napisał(a):

> Tylko, że w przypadku haseł jednorazowych nie da się tyle ukraść.
> Potencjalny złodziej ma zdecydowanie mniej czasu i więcej pracy.

Wystarczy starannie dobierać zamożnych klientów (firmy), a nie
korzystać z przypadkowych fizycznych, które złapały trojana.
Przed takim trojanem bank się nie zabezpieczy i atak mozna ponawiać.
Atakujący musi jedynie dobrze zacierać ślady...

Tak naprawdę więcej pracy to jest jedynie przy napisaniu programu.
Natomiast potem złodziej wcale nie musi czekać i czatować na hasło
jednorazowe - wszystko robi się z automatu.

Pozdrawiam
Miroo

do góry

Dnia Thu, 12 May 2005 23:20:45 +0200, Bartol Partol napisał(a):

>> a tu się róznię i to bardzo, znając Twój login, hasło i kod jednorazowy to
>> już można coś zdziałac
>
> Tylko Ty masz na wykorzystanie tych danych tak malo czasu, ze sobie z
> tym nie poradzisz. I tutaj lezy problem.

Ile to jest mało czasu?
Przecież to nie złodziej przeleje sobie twoje pieniądze
na swoje konto, tylko ty to zrobisz :) klikając "Zrealizuj"
albo "OK". :)
Mówie ci - to bedzie moment :)

Pozdrawiam
Miroo

do góry

Dnia 13 May 2005 10:24:35 +0200, S.T. napisał(a):

> Hmmm, ja jakoś nie mogę dostrzec żadnych zalet zdrapki,

Jak ci np "kolega" z pracy pogrzebie w portfelu
i spisze sobie kody, to nie będziesz o tym wiedział
nie mając zdrapki.
Wyobraź sobie sytuację, że "gubisz" portfel (nie wiesz
o tym) ale zaraz ktoś cię woła i oddaje zgubę.
Jak będziesz miał kartę z kodami jawnymi to jak pomyślisz
to szybko ją zablokujesz, a jesli ze zdrapką, to nie musisz
się martwić :)

Pozdrawiam
Miroo

do góry

S.T. napisał(a):
> Jednorazowe?
> Komu i po co?
> I czemu samo?

Pisałeś o "kfiatkach" więc odpisałem, że samo hasło w BPH możesz wysłać
jako laurkę.

> Do czego w koncu ma być ta podpowiedź,
> skoro tu wcześniej nikt nie miał żadnych wątpliwości,
> że _samo_ hasło (jednorazowe) nic nie znaczy?

Chodziło mi o hasło w przypadku kiedy (BPH) klucz masz zapisany lokalnie
na dysku :)

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry