Witam.
W watku o zmianie PIN w Aliorze wywiazala sie dyskusja o tokenie w
Eurobanku, napisalem tam dosyc dluga wiadomosc, ale po wyslaniu
postanowilem ja wycofac i stworzyc osobny watek:

Przy logowaniu do Eurobanku online mamy 6 mozliwych powodow nieudanego
logowania, ktore powoduje wyswietlenie tego samego komunikatu: zly
login, haslo, token, zly PIN do tokena, zdesynchronizowany token i
zablokowany dostep online. Kto to do cholery projektowal?
W mBanku nieudane logowanie moze wynikac ze zlego loginu lub hasla,
zablokowany dostep online z tego co pamietam daje odpowiedni komunikat.

Dotychczasowa historia moich bojow z tym systemem wyglada tak:

Moj pierwszy blad polegal na tym, ze pomylilem sie w hasle, pozniej
wygenerowalem kilka hasel z tokena, wiec sie rozsynchronizowal (o czym
nie wiedzialem), probowalem sie zalogowac jeszcze kilka razy, wiec
zablokowal mi sie dostep.
Nastepnie wpisalem zly PIN w tokenie i na tym zlym PINie zmienilem PIN
(specjalnie, chcialem zobaczyc, czy tak sie da, a nigdzie nie pisza, co
sie wtedy stanie).
Pozniej dzwonie na infolinie, kobieta mi odblokowala dostep online, nie
rozlaczajac sie probuje sie zalogowac kolejne dwa razy, jak sie nie
udalo to pyta o numer wskazania tokena i synchronizuje token, znow sie
nie udaje, mowie jej, ze zrobilem ten trick z PINem a ona na to, ze ten
token jest juz bezuzyteczny w zwiazku z tym i musze isc do placowki po nowy.
Ide do placowki po nowy token, wracam do domu, probuje sie zalogowac i
znow sie nie udaje. Powoli zaczyna mnie juz brac kurwica ;)
Dzwonie ponownie na infolinie i okazuje sie, ze podczas poprzedniej
rozmowy z infolinia i prob logowania ponownie mi sie zablokowal dostep
online i ze ona mi juz go nie moze odblokowac przez telefon, bo da sie
tylko raz pod rzad i ze mam isc znow do placowki (a przed chwila tam
bylem po nowy token i chyba mogli zobaczyc w systemie, ze mam dostep
zablokowany). No wiec ide do tej placowki i odblokowuje dostep.
Wracam do domu, loguje sie, nareszcie sie udalo! Niestety tylko raz,
przy kolejnym razie znowu nie ;) A jestem pewien, ze haslo i PIN do
tokena wpisuje dobry. Moze znowu sie zdesynchronizowal, chociaz nie mial
prawa, bo po ostatnim udanym logowaniu nie generowalem zadnych hasel nie
uzytych.

Ogolnie to moze ja jestem taka ofiara, ale jesli mam sie udanie logowac
raz na 5 razy i po chodzeniu do banku co kilka dni, to dziekuje bardzo,
mBank mnie przyzwyczail do nieco wiekszej wygody ;)
Porownuje z mBankiem, bo mam tam konto od dawna, nie dlatego, ze jestem
ich pracownikiem.
Stosunek wygoda / bezpieczenstwo powinien byc dobrany z rozsadkiem, bo
niedlugo dojdzie do tego, ze zeby dokonac przelewu trzeba bedzie isc do
placowki z dowodem osobistym ;)

Przepraszam za te przydlugie wynurzenia, ale musialem gdzies dac ujscie
dla swej frustracji :)

pzdr. jijomo

do góry

a wszystko przez to, że nie chcesz odpalić aż 2zł na token sprzętowy.
Nawiasem mówiąc % w EB w stosunku do mB znacząco przebija tę astronomiczną
kwotę.

Dla mnie mB to porażka. Dziś byłem w aliorze. Na obcym kompie logowałem się
do konta w Lukasie - zabezpieczonego też tokenem. Bez obaw, iż ktoś hasło
wykorzysta. Do mB w życiu bym się nie zalogował - wystarczy opcja
zapamiętywania hasła (a korzystają z Visty i IE), o której możesz nawet nie
wiedzieć i pracownik ma pełen wgląd w Twoje rachunki. Dramat. To już
rozwiązanie pośrednie zwane hasłem maskowanym z bz wbk na przykład jest
lepsze.

do góry

jijomo pisze:
> Witam.
> W watku o zmianie PIN w Aliorze wywiazala sie dyskusja o tokenie w
> Eurobanku, napisalem tam dosyc dluga wiadomosc, ale po wyslaniu
> postanowilem ja wycofac i stworzyc osobny watek:
>
> Przy logowaniu do Eurobanku online mamy 6 mozliwych powodow nieudanego
> logowania, ktore powoduje wyswietlenie tego samego komunikatu: zly
> login, haslo, token, zly PIN do tokena, zdesynchronizowany token i
> zablokowany dostep online. Kto to do cholery projektowal?
> W mBanku nieudane logowanie moze wynikac ze zlego loginu lub hasla,
> zablokowany dostep online z tego co pamietam daje odpowiedni komunikat.
>
żeby zwiększyć bezpieczeństwo nie podaje się co było przyczyną
nieudanego logowania
na początku też ze 2x sobie zablokowałem konto ale potem już było ok
w loginie i haśle się nie mylę, w pinie do tokena też nie
jeżeli przez token masz na myśli token gsm to praktycznie nie da się go
zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można wejść i
bez

do góry

Strasznie mnie wkurwia logowanie do eurobanku. Login i hasło by wystarczyło.

do góry

Ra pisze:

> jeżeli przez token masz na myśli token gsm to praktycznie nie da się go
> zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można wejść i
> bez

Wystarczy że wygenerujesz 2 kody logowania i spróbuj zalogować się
drugim i zobaczymy co się stanie.

do góry

Ra pisze:

> żeby zwiększyć bezpieczeństwo nie podaje się co było przyczyną
> nieudanego logowania

Ok, ale po zablokowaniu dostepu online zupelnie mogliby juz chyba dac znac.
Poza tym ja nie twierdze, ze powinni dawac znac, tylko ogolnie
zrezygnowac z tak szczelnego zabezpieczenia przy logowaniu albo zrobic z
tego opcje dla chetnych.

> na początku też ze 2x sobie zablokowałem konto ale potem już było ok

I to jest twoim zdaniem ok, ze 2 razy sobie zablokowales konto? Jesli i
mnie i Tobie sie to zdarzylo to znaczy, ze pewnie zdarza sie to wielu
osobom, a to juz jest moim zdaniem blad projektowy.

> w loginie i haśle się nie mylę, w pinie do tokena też nie

W czyms sie musiales mylic, skoro konto blokowales :P
Mi tez sie zdaje, ze sie w niczym nie myle. Moze defaultowo blokuja
konto nowicjuszom, zeby ich nauczyc moresu ;)

> jeżeli przez token masz na myśli token gsm to praktycznie nie da się go
> zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można wejść i
> bez

Mylisz sie, jesli wygenerujesz jakas liczbe hasel i ich nie wykorzystasz
to sie zdesynchronizuje - to zreszta logiczne, bo jak mialby ten system
inaczej dzialac? Najgorsze, ze ta liczba jest niewiadoma. I nie jest
powiedziane, czy po nieudanym logowaniu spowodowanym na przyklad pomylka
w hasle trzeba korzystac z tego samego wskazania tokena, czy juz z
kolejnego.

pzdr. jijomo

do góry

Peet pisze:
> Ra pisze:
>
>> jeżeli przez token masz na myśli token gsm to praktycznie nie da się
>> go zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można
>> wejść i bez
>
> Wystarczy że wygenerujesz 2 kody logowania i spróbuj zalogować się
> drugim i zobaczymy co się stanie.
wcześniej w ramach prób wygenerowałem 5 czy 10 numerów i było ok, -
próbowałem w emulatorze komórki zsynchronizować się z moją komórką ale
nie mogłem - może ze względu na zahardocorowany numer telefonu w emulatorze
tylko nie możesz wtedy użyć tych wcześniejszych to w miarę oczywiste

do góry

Szymon pisze:

Jesli chcesz uzywac polskich znakow to skonfiguruj sobie czytnik, bo nie
przechodza :(

> a wszystko przez to, ?e nie chcesz odpali? a? 2z? na token sprz?towy.

Watpie, zeby to byla kwestia rodzaju tokena, wiec nie widze sensu w
wydawaniu pieniedzy na sprzetowy i noszeniu pozniej przy sobie
dodatkowego gadzetu.

> Nawiasem m?wi?c % w EB w stosunku do mB znacz?co przebija t? astronomiczn?
> kwot?.

Zdaje sobie z tego sprawe, dlatego zalozylem tam konto i nadal trzymam
pieniadze na rachunku oszczednosciowym w EB. Mialem zamiar przeniesc tam
tez moje srodki na biezace wydatki, ale niestety ze wzgledu na tak niska
wygode uzytkowania zrezygnowalem z tego pomyslu, moje nerwy nie sa warte
tych kilku zlotych miesiecznie zysku.

> Dla mnie mB to pora?ka. Dzi? by?em w aliorze. Na obcym kompie logowa?em si?
> do konta w Lukasie - zabezpieczonego te? tokenem. Bez obaw, i? kto? has?o
> wykorzysta. Do mB w ?yciu bym si? nie zalogowa? - wystarczy opcja
> zapami?tywania has?a (a korzystaj? z Visty i IE), o kt?rej mo?esz nawet nie
> wiedzie? i pracownik ma pe?en wgl?d w Twoje rachunki. Dramat. To ju?
> rozwi?zanie po?rednie zwane has?em maskowanym z bz wbk na przyk?ad jest
> lepsze.

Nie twierdze, ze mB jest idealny. Moze EB moglby na przyklad wprowadzic
uwierzytelnianie logowania tokenem jako opcje - to by rozwiazalo moj
problem, nie psujac tej funkcjonalnosci dla Ciebie.

pzdr. jijomo

do góry

Ra pisze:

> wcześniej w ramach prób wygenerowałem 5 czy 10 numerów i było ok, -
> próbowałem w emulatorze komórki zsynchronizować się z moją komórką ale
> nie mogłem - może ze względu na zahardocorowany numer telefonu w emulatorze
> tylko nie możesz wtedy użyć tych wcześniejszych to w miarę oczywiste

A co to za emulator?
Moim zdaniem nie masz racji - token nie laczy sie z zadnym systemem
podczas dzialania, wiec system nie ma pojecia na ktorym hasle obecnie
jest token dopoki sie nie zalogujesz za pomoca ktoregos. Wtedy
rzeczywiscie nie mozesz sie zalogowac na poprzednie.
Czyli tak naprawde moglbys sobie wygenerowac nawet 1000 hasel, zapisujac
je na kartce i pozniej logowac sie na nie kolejno nie uzywajac w ogole
tokena.
A jesli masz na mysli to, ze wygenerowales 5 czy 10 numerow i ich nie
uzyles, a zalogowales sie dopiero na jedenasty, to jest to mozliwe - jak
pisalem liczba nie uzytych hasel, po ktorych token sie desynchronizuje
nie jest podana do wiadomosci publicznej (a to, ze sie desynchronizuje
jest pewne, bo jest to napisane w instrukcji uzytku tokena zagrzebanej
gdzies na stronie EB).

pzdr. jijomo

do góry

jijomo pisze:
> Ra pisze:
>
>> żeby zwiększyć bezpieczeństwo nie podaje się co było przyczyną
>> nieudanego logowania
>
> Ok, ale po zablokowaniu dostepu online zupelnie mogliby juz chyba dac znac.
raczej nie praktykowane rozwiązanie, dawało by informacje potencjalnemu
włamywaczowi że trafił np z numerem i hasłem
> Poza tym ja nie twierdze, ze powinni dawac znac, tylko ogolnie
> zrezygnowac z tak szczelnego zabezpieczenia przy logowaniu albo zrobic z
> tego opcje dla chetnych.
najbardziej nie cierpię logowania IMHO przegieli trochę

>
>> na początku też ze 2x sobie zablokowałem konto ale potem już było ok
>
> I to jest twoim zdaniem ok, ze 2 razy sobie zablokowales konto? Jesli i
> mnie i Tobie sie to zdarzylo to znaczy, ze pewnie zdarza sie to wielu
> osobom, a to juz jest moim zdaniem blad projektowy.
podałem błędne hasło, moja wina, ogólnie muszę pamiętać dość dużo haseł
i mam jakiś tam system, myślałem że dla eb zrobiłem wyjątek i że dałem
standartowe hasło
>
>> w loginie i haśle się nie mylę, w pinie do tokena też nie
>
> W czyms sie musiales mylic, skoro konto blokowales :P
> Mi tez sie zdaje, ze sie w niczym nie myle. Moze defaultowo blokuja
> konto nowicjuszom, zeby ich nauczyc moresu ;)
>
>> jeżeli przez token masz na myśli token gsm to praktycznie nie da się
>> go zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można
>> wejść i bez
>
> Mylisz sie, jesli wygenerujesz jakas liczbe hasel i ich nie wykorzystasz
> to sie zdesynchronizuje - to zreszta logiczne, bo jak mialby ten system
> inaczej dzialac? Najgorsze, ze ta liczba jest niewiadoma. I nie jest
> powiedziane, czy po nieudanym logowaniu spowodowanym na przyklad pomylka
> w hasle trzeba korzystac z tego samego wskazania tokena, czy juz z
> kolejnego.
>
ja akurat nie generuję haseł na zapas, ale zawsze można się rozmyślić po
wygenerowaniu hasla
albo wpisać zły identyfikator wtedy co wtedy zdesynchronizawał by ci się
token bo przeskoczyło o jeden numer ? bez sensu, zresztą sprawdziłem
teraz i działa ok
warunek jest że licznika w komórce (zakładana Info) >= od tego na
serwerze więc nie możesz podać wcześniejszych numerków

do góry