jijomo pisze:
> Ra pisze:
>
>> wcześniej w ramach prób wygenerowałem 5 czy 10 numerów i było ok, -
>> próbowałem w emulatorze komórki zsynchronizować się z moją komórką ale
>> nie mogłem - może ze względu na zahardocorowany numer telefonu w
>> emulatorze
>> tylko nie możesz wtedy użyć tych wcześniejszych to w miarę oczywiste
>
> A co to za emulator?
nie pamiętam chyba netbeansa użyłem

> Moim zdaniem nie masz racji - token nie laczy sie z zadnym systemem
> podczas dzialania,
nigdzie się nie łączył, chciałem sprawdzić czy ciąg wygenerowanych liczb
przez tokena w emulatorze i w komórce będzie taki sam przy tych samych
licznikach, był inny więc zgaduję że to z powodu różnych numerów tych
"telefonów", niestety jak pisałem w emulatorze był zaszyty na stałe

do góry

Ra pisze:

>> Ok, ale po zablokowaniu dostepu online zupelnie mogliby juz chyba dac
>> znac.
> raczej nie praktykowane rozwiązanie, dawało by informacje potencjalnemu
> włamywaczowi że trafił np z numerem i hasłem

Z tego co pamietam to w mBanku tak jest.
A co do informacji to mylisz sie - wiedzialby tylko, ze trafil z
loginem, bo konto sie blokuje zarowno jak podajesz zle haslo, jak i zly
token.
Poza tym jakakolwiek wiedze by zdobyl to i tak mu sie to nie przyda, bo
dostep online jest blokowany.
Przy projektowaniu takich systemow trzeba uzywac troche logiki, bo
wygoda uzytkowania jest dla wiekszosci uzytkownikow wazniejsza niz
bezpieczenstwo (dla tej wiekszosci, ktorej nikt sie nie bedzie probowal
wlamac na konto ;)).

>> Poza tym ja nie twierdze, ze powinni dawac znac, tylko ogolnie
>> zrezygnowac z tak szczelnego zabezpieczenia przy logowaniu albo zrobic
>> z tego opcje dla chetnych.
> najbardziej nie cierpię logowania IMHO przegieli trochę

No mi chodzi tylko o logowanie, uzycie tokena przy autoryzacji dzialan
po zalogowaniu jest ok, zwlaszcza, ze nie ma mozliwosci desynchronizacji
przez uzycie systemu identyfikatorow akcji.

>> I to jest twoim zdaniem ok, ze 2 razy sobie zablokowales konto? Jesli
>> i mnie i Tobie sie to zdarzylo to znaczy, ze pewnie zdarza sie to
>> wielu osobom, a to juz jest moim zdaniem blad projektowy.
> podałem błędne hasło, moja wina, ogólnie muszę pamiętać dość dużo haseł
> i mam jakiś tam system, myślałem że dla eb zrobiłem wyjątek i że dałem
> standartowe hasło

U mnie wynikalo to scisle z tego, ze jest 6 roznych mozliwosci skopania
i nigdy nie wiadomo, ktora akurat zaszla ;)

>>> jeżeli przez token masz na myśli token gsm to praktycznie nie da się
>>> go zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można
>>> wejść i bez
>>
>> Mylisz sie, jesli wygenerujesz jakas liczbe hasel i ich nie
>> wykorzystasz to sie zdesynchronizuje - to zreszta logiczne, bo jak
>> mialby ten system inaczej dzialac? Najgorsze, ze ta liczba jest
>> niewiadoma. I nie jest powiedziane, czy po nieudanym logowaniu
>> spowodowanym na przyklad pomylka w hasle trzeba korzystac z tego
>> samego wskazania tokena, czy juz z kolejnego.
>>
> ja akurat nie generuję haseł na zapas, ale zawsze można się rozmyślić po
> wygenerowaniu hasla

Mozesz, ale tylko skonczona i niewiadoma liczbe razy - po tym musisz
dzwonic do nich, zeby zsynchronizowac token - uwierz mi, sam to robilem.

> albo wpisać zły identyfikator wtedy co wtedy zdesynchronizawał by ci się
> token bo przeskoczyło o jeden numer ? bez sensu, zresztą sprawdziłem
> teraz i działa ok

Nie o jeden numer.

> warunek jest że licznika w komórce (zakładana Info) >= od tego na
> serwerze więc nie możesz podać wcześniejszych numerków

To jest jeden warunek, a drugi to ten, ze licznik w komorce musi byc <
od tego na serwerze + x, gdzie x jest nieznane i wcale nie takie duze.
Jesli przemyslisz sposob dzialania tego systemu to dojdziesz do wniosku,
ze inaczej nie mogloby to dzialac, bo musialoby to oznaczac, ze mozesz
podac dowolne wskazanie tokena, ktore on jeszcze kiedykolwiek
wygeneruje, a to byloby bez sensu.
Zreszta:
http://www.eurobank.pl/binsource?docId=10689&paramNa
me=BINARYOBJ_FILE&index=3&language=PL

cytat:
"Uwaga!
Nie należy bez potrzeby wybierać opcji ,,Logowanie" i generować
kolejnych wskazań
tokenaGSM, które nie są używane do zalogowania w serwisie
eurobank online.
Kilkukrotne niewykorzystanie wygenerowanych wskazań tokena może
prowadzić do
rozsynchronizowania tokena, a w następstwie tego zablokowania dostępu."

pzdr. jijomo

do góry

Ra pisze:

>> Moim zdaniem nie masz racji - token nie laczy sie z zadnym systemem
>> podczas dzialania,
> nigdzie się nie łączył, chciałem sprawdzić czy ciąg wygenerowanych liczb
> przez tokena w emulatorze i w komórce będzie taki sam przy tych samych
> licznikach, był inny więc zgaduję że to z powodu różnych numerów tych
> "telefonów", niestety jak pisałem w emulatorze był zaszyty na stałe

To calkiem mozliwe, ze token uzywa numeru telefonu w jakis sposob.
W kazdym razie wszystkie dane ktorych token uzywa musza byc znane w
momencie jego tworzenia, bo pozniej nie nastepuje juz zadna
synchronizacja z systemem (poza numerem aktualnego hasla, ktore system
poznaje po tym, ze sie na nie logujesz).

pzdr. jijomo

do góry

Użytkownik "Zyga" <z...@w...pl> napisał w wiadomości
news:guhuh5$e5q$1@mx1.internetia.pl...
> Strasznie mnie wkurwia logowanie do eurobanku. Login i hasło by
> wystarczyło.

nie też, pisałem do nich w tej sprawie
chętnie korzystałbym aktywnie z konta
ale przy tym sposobie logowania loguję się 1-2x na miesiąc

do góry

Dnia Thu, 14 May 2009 21:37:07 +0200, jijomo napisał(a):

> Ogolnie to moze ja jestem taka ofiara,

Cóż, jakby ci to powiedzieć ;). Ale trik ze zmianą pinu na złym pinie
interesujący ;).

--
Kojer

do góry

Dnia Thu, 14 May 2009 22:12:00 +0200, Zyga napisał(a):

> Strasznie mnie wkurwia logowanie do eurobanku. Login i hasło by wystarczyło.

Wystarczyłby login i token. To hasło jest tu zbędne.

--
Kojer

do góry

Robert Kois pisze:

>> Ogolnie to moze ja jestem taka ofiara,
>
> Cóż, jakby ci to powiedzieć ;). Ale trik ze zmianą pinu na złym pinie
> interesujący ;).

Podstawowym zalozeniem przy projektowaniu systemow interaktywnych jest
"users are idiots" :) Widocznie w tym przypadku to zalozenie
zignorowano, bardzo nieslusznie, o czym swiadczy liczba osob
niezadowolonych.

A to, ze zmiana PINu na zlym PINie powoduje popsucie tokena to też moim
zdaniem glupota. Nie widze zadnego uzasadnienia dla tego poza tym, ze
zapewne latwiej im bylo to zaimplementowac (a raczej nic nie musieli
implementowac, to po prostu skutek uboczny dzialania ich algorytmu -
podejrzewam, ze token sam "nie wie", ze ma zly PIN wpisany).

pzdr. jijomo

do góry

Dnia Fri, 15 May 2009 10:07:38 +0200, jijomo napisał(a):

>>> Ogolnie to moze ja jestem taka ofiara,
>> Cóż, jakby ci to powiedzieć ;). Ale trik ze zmianą pinu na złym pinie
>> interesujący ;).
> Podstawowym zalozeniem przy projektowaniu systemow interaktywnych jest
> "users are idiots" :)

No i tu przodował kiedyś Citi gdy do konta logowałeś się na numer karty a
hasłem był pin (o ile dobrze pamiętam). Proste i przyjemne nie? Chciałbyś
tak mieć?

> Widocznie w tym przypadku to zalozenie
> zignorowano, bardzo nieslusznie, o czym swiadczy liczba osob
> niezadowolonych.

Tu podejrzewam nałożyły się 2 rzeczy. Zaszłość historyczna z czasów gdy
tokenów nie było, hasło zostało. a po drugie ktoś uznał, że dodatkowe
zabezpiecznie logowania tokenem pozwoli bezpiecznie przeglądać historię
konta w dowolnym miejscu. I ja jestem za.


--
Kojer

do góry

On 15 Maj, 10:15, Robert Kois <k...@h...pl> wrote:

> No i tu przodował kiedyś Citi gdy do konta logowałeś się na numer karty a
> hasłem był pin (o ile dobrze pamiętam). Proste i przyjemne nie? Chciałbyś
> tak mieć?
>
Heh, miałem dawno temu konto w handlobanku i to był powod, dla którego
z niego zrezygnowałem,
gdy citi wprowadziło swój 'bezpieczny inaczej' system z czteroznakowym
hasłem...

pzdrwm
luc

'jak czlowiek umrze, to nie zyje' kurt vonnegut, jr.
http://skocz.pl/earphorny - co mi w uchu siedzi...

do góry

Robert Kois pisze:

> No i tu przodował kiedyś Citi gdy do konta logowałeś się na numer karty a
> hasłem był pin (o ile dobrze pamiętam). Proste i przyjemne nie? Chciałbyś
> tak mieć?

Nie. Jak pisalem wczesniej stosunek wygoda / bezpieczenstwo powinien byc
odpowiednio dobrany - to, o czym napisales to skrajnosc z drugiej strony
tego zlotego srodka.

> Tu podejrzewam nałożyły się 2 rzeczy. Zaszłość historyczna z czasów gdy
> tokenów nie było, hasło zostało. a po drugie ktoś uznał, że dodatkowe
> zabezpiecznie logowania tokenem pozwoli bezpiecznie przeglądać historię
> konta w dowolnym miejscu. I ja jestem za.

Moim zdaniem najlepiej byloby, gdyby logowanie z tokenem dali jako
opcje. Mi to jest zupelnie niepotrzebne, a gdybym wiedzial, ze byc moze
bede musial sie logowac z innego komputera niz moj, to bym sobie to
wlaczyl. A teraz dla bezpieczenstwa uzyskanego w niektorych przypadkach
zmniejszono wygode we wszystkich przypadkach.

pzdr. jijomo

do góry