Adam Płaszczyca pisze:

> login, hasło i hasło jednorazowe jest traktowana przez bank jako
> złożona przez właściciela konta.

A skąd bank wie, że podano prawidłowy PIN, skoro bank twierdzi,
że PIN zna tylko właściciel ? :)
--
Rafał "SP" Gil - http://www.rafalgil.pl/
Naprawa skuterów i motocykli MOTOPOWER http://www.motopower.pl/
Części do skuterów Kaski z homologacją Części do motocykli
http://www.allegro.pl/show_user_auctions.php?uid=535
6008

do góry

Dnia Sun, 6 Apr 2008 10:30:11 +0200, Alek napisał(a):
> Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał

>> > Oferują dinks na USB w którym przechowywany jest klucz prywatny
>> > użytkownika. Ma on tam w środku jakąś kryptografię, dostęp

>> Dostep zabezpieczony PINem wpisywanym przez komputer ma znaczenie
>> tylko wtedy, gdy nosimy token "po swiecie" i go gdzies np. zgubimy.
>> Nie ma wiekszego znaczenia przy "wlamaniu".

> Owszem, ale zastosowanie tego rozwiązania tak w ogóle ma sens.
> Po pierwsze mój klucz nie leży na dysku tylko w tym donglu,
> który mogę podpiąć do komputera tylko na czas składania podpisu.

I to rozwiązuje sprawę - nie zdążysz dongla wyciągnąć na tyle szybko, by
złodziej automatem nie podpisał sobie Twoim kluczem wszystkich przelewów
jakie sobie wymyśli...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Rafał "SP" Gil pisze:
> Adam Płaszczyca pisze:
>
>> login, hasło i hasło jednorazowe jest traktowana przez bank jako
>> złożona przez właściciela konta.
>
> A skąd bank wie, że podano prawidłowy PIN, skoro bank twierdzi, że PIN
> zna tylko właściciel ? :)
Hasło do gugli:
funkcja skrótu, kryptografia asymetryczna


KJ

do góry

Adam Płaszczyca <t...@o...spamnie.org.pl> writes:

>>> A zgodnie z umową osobą upoważniona jest każdy, kto przedstawi
>>> odpowiednie kwity. Wypłacający kwity miał.
>>
>>Tyle ze w normalnej umowie takiego czegos nie ma.
>
> Oczywiście, że jest.

Oczywiscie ze nie ma :-)

> Na przykład w mBankowiej jak byk masz informację,
> że każda operacja która jest zlecana przez kogoś, kto podał własciwy
> login, hasło i hasło jednorazowe jest traktowana przez bank jako
> złożona przez właściciela konta.

Zly przyklad:
a) mBankowa to nie jest normalna
b) login i hasla to nie sa zadne kwity
b) w mBanku nie ma operacji wyplaty gotowki
--
Krzysztof Halasa

do góry

Jacek Osiecki <j...@c...pl> writes:

> I to rozwiązuje sprawę - nie zdążysz dongla wyciągnąć na tyle szybko, by
> złodziej automatem nie podpisał sobie Twoim kluczem wszystkich przelewów
> jakie sobie wymyśli...

Wymagaloby wspolpracy banku: normalnie klient (dongle) podpisu tresc
transakcji wraz z jakims challenge z serwera.
Moze tez byc tam aktualny czas, jesli dongle go zna (posiada RTC).

Z tym ze oczywiscie to nie zabezpiecza przed rzeczywistym dokonaniem
tych transakcji w czasie, gdy dongle jest podpiety.
--
Krzysztof Halasa

do góry

Adam Płaszczyca <t...@o...spamnie.org.pl> writes:

>>> A zgodnie z umową osobą upoważniona jest każdy, kto przedstawi
>>> odpowiednie kwity. Wypłacający kwity miał.
>>
>>Tyle ze w normalnej umowie takiego czegos nie ma.
>
> Oczywiście, że jest.

Oczywiscie ze nie ma :-)

> Na przykład w mBankowiej jak byk masz informację,
> że każda operacja która jest zlecana przez kogoś, kto podał własciwy
> login, hasło i hasło jednorazowe jest traktowana przez bank jako
> złożona przez właściciela konta.

Zly przyklad:
a) mBankowa to nie jest normalna
b) login i hasla to nie sa zadne kwity
c) w mBanku nie ma operacji wyplaty gotowki
--
Krzysztof Halasa

do góry

Jacek Osiecki <j...@c...pl> writes:

> I to rozwiązuje sprawę - nie zdążysz dongla wyciągnąć na tyle szybko, by
> złodziej automatem nie podpisał sobie Twoim kluczem wszystkich przelewów
> jakie sobie wymyśli...

Wymagaloby wspolpracy banku: normalnie klient (dongle) podpisuje tresc
transakcji wraz z jakims challenge z serwera.
Moze tez byc tam aktualny czas, jesli dongle go zna (posiada RTC).

Z tym ze oczywiscie to nie zabezpiecza przed rzeczywistym dokonaniem
tych transakcji w czasie, gdy dongle jest podpiety.
--
Krzysztof Halasa

do góry

"Adam Płaszczyca" <t...@o...spamnie.org.pl> wrote in message
news:uh6kv31l091m6g1p3a6hm1kmub0on419og@4ax.com...
> On Mon, 7 Apr 2008 03:27:05 -0700 (PDT), SzalonyKapelusznik
> <s...@g...com> wrote:
>
>>
>>Znajdz na stronie rai informacje ze nie zaleca on uzywania produktow
>>malomiekkiego ze wzgledu na ich slaby system zabezpieczen jaki
>>oferuja. Zaloze sie o reke i pol nogi ze sam bank ma kompach wpietych
>
> Od kiedy to bank ma obowiązek informowac klienta o możliwych
> zagrożeniach, jakie dla tegoż klienta stwarza używanie sprzętu i
> oprogramowania wybranego przez klienta?
>
Rownie dobrze user moze zostawic wlaczony komputer na stole w kawiarni z
pinami w pliku tekstowym, pojsc do toalety i potem byc zdzwiiony, ze ktos
puscil przelew z jego konta w tym czasie. W opisanym artykule mialo miejsce
wlasnie takie wydarzenie, tylko dostep byl dokonany zdalnie.

pozdr

do góry

Dnia Mon, 07 Apr 2008 16:34:47 +0200, Krzysztof Halasa napisał(a):
> Jacek Osiecki <j...@c...pl> writes:
>> I to rozwiązuje sprawę - nie zdążysz dongla wyciągnąć na tyle szybko, by
>> złodziej automatem nie podpisał sobie Twoim kluczem wszystkich przelewów
>> jakie sobie wymyśli...
> Wymagaloby wspolpracy banku: normalnie klient (dongle) podpisuje tresc
> transakcji wraz z jakims challenge z serwera.
> Moze tez byc tam aktualny czas, jesli dongle go zna (posiada RTC).

Jeśli ofiara ma zainstalowanego trojana, to podpisując dowolny przelew
przekazuje mu właśnie wszystkie elementy potrzebne do podpisania dowolnej
transakcji. Trojan po prostu wyśle do banku nowe zlecenie, odczyta
challenge, poprosi dongla o podpisanie transakcji i na żądanie poda PIN
który wcześniej klient podał z klawiatury. Żeby klientowi nie wydawało się
że coś jest nie tak - wyświetli mu się nieco dłuższe oczekiwanie na
odświeżenie strony po realizacji przelewu.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki <j...@c...pl> writes:

> Jeśli ofiara ma zainstalowanego trojana, to podpisując dowolny przelew
> przekazuje mu właśnie wszystkie elementy potrzebne do podpisania dowolnej
> transakcji.

Nie. Tylko umozliwia podpisanie dowolnych transakcji w danej chwili.

> Trojan po prostu wyśle do banku nowe zlecenie, odczyta
> challenge, poprosi dongla o podpisanie transakcji i na żądanie poda PIN
> który wcześniej klient podał z klawiatury.

Owszem, ale to jest zasadniczo rozne od hurtowego podpisania wszelkich
mozliwych przelewow.

Np. ktos dostaje pensje raz na miesiac, trojan moze mu wyczyscic konto
ale jutrzejszej pensji juz nie przeleje.
--
Krzysztof Halasa

do góry