Konto osobiste w Millenium: dostęp przez internet.

Nie oferują haseł jednorazowych ani tokena. Wystarczy że ktoś podejrzy
hasło (jedno czy drugie) i do widzenia... Może ja się mylę ale dla
mnie to poziom bezpieczeństwa niewystarczający - dyskwalifikujące
konto jeśli chodzi o dostęp przez internet.
Co wy na to? Może źle rozumiem ich zasady?

Pozdrawiam, Kopetnik

do góry

Użytkownik "Lechu"
> Konto osobiste w Millenium: dostęp przez internet.
> Nie oferują haseł jednorazowych ani tokena. (............)
> Co wy na to? Może źle rozumiem ich zasady?

dobrze rozumiesz - najsłabiej zabezpieczone konto
*** blad ***

do góry

Lechu <k...@g...com> napisał(a):

> Konto osobiste w Millenium: dost=EAp przez internet.
>
> Nie oferuj=B1 hase=B3 jednorazowych ani tokena. Wystarczy =BFe kto=B6
podej=
> rzy
> has=B3o (jedno czy drugie) i do widzenia... Mo=BFe ja si=EA myl=EA ale dla
> mnie to poziom bezpiecze=F1stwa niewystarczaj=B1cy - dyskwalifikuj=B1ce
> konto je=B6li chodzi o dost=EAp przez internet.
> Co wy na to? Mo=BFe =BCle rozumiem ich zasady?

Konto jest słabo zabezpieczone, ale...
- nie "wystarczy" podejrzec H1 i H2, trzeba sie logowac przy uzyciu losowo
wybranych znaków z PESELa, numeru dowodu albo czegos tam jeszcze
- H2 NIGDZIE nie jest podawane w całosci, jeśli ktoś ci je podejrzy CAŁE to
z twojej winy
- regularnie (nie rzadziej niz co miesiąc) przypominają o potrzebie zmiany
haseł
- w kazdym banku "wystarczy" znac hasla lub ukrasc token
- w mBanku "wystarczy" poznac haslo i podejrzec jeden kod jednorazowy ;-))
- w Inteligo "wystarczy" zdrapać pierwszą wolną kratkę na karcie kodów ;-)

IMO nie jest to konto do trzymania milionów ale jako ROR całkiem całkiem...
A który bank internetowy jest dobry do trzymania milionów?

Slawek

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Thu, 28 Jun 2007 05:55:08 +0000 (UTC),
osoba podpisana: Slavekk <s...@N...gazeta.pl>
napisała:
[...]
>
> Konto jest słabo zabezpieczone, ale...
> - nie "wystarczy" podejrzec H1 i H2, trzeba sie logowac przy uzyciu losowo
> wybranych znaków z PESELa, numeru dowodu albo czegos tam jeszcze
> - H2 NIGDZIE nie jest podawane w całosci, jeśli ktoś ci je podejrzy CAŁE to
> z twojej winy

Czyli zamiast 2 stałych hasel jak (kiedyś?) w KB mamy ich 5
(H1,H2.pesel,dowod,paszport)
Całą resztę rozumowania zastosowanego do KB da się zastosować tutaj,
po szczegóły zapraszam do archiwum.


> - regularnie (nie rzadziej niz co miesiąc) przypominają o potrzebie zmiany
> haseł

To faktycznie miłe, choć mogliby dac mozliwość zmiany częstotliwości
przypominania tego klientom nieposiadającym ror (a tylko KK)

> - w kazdym banku "wystarczy" znac hasla lub ukrasc token
> - w mBanku "wystarczy" poznac haslo i podejrzec jeden kod jednorazowy ;-))
Który to kod mozesz trzymać niekoniecznie w formie papierowej. Że nie
wspomne o SMS.
KJ

--
Nie oddawaj Polski oszołomom http://www.skubi.net/nieoddaj.html
EMACS = Each Manual's Audience is Completely Stupified

do góry

Kamil Jońca <k...@p...onet.pl> napisał(a):

> Dnia Thu, 28 Jun 2007 05:55:08 +0000 (UTC),
> osoba podpisana: Slavekk <s...@N...gazeta.pl>
> napisała:
> [...]
> >
> > Konto jest słabo zabezpieczone, ale...
> > - nie "wystarczy" podejrzec H1 i H2, trzeba sie logowac przy uzyciu
losowo
> > wybranych znaków z PESELa, numeru dowodu albo czegos tam jeszcze
> > - H2 NIGDZIE nie jest podawane w całosci, jeśli ktoś ci je podejrzy CAŁE
to
> > z twojej winy
>
> Czyli zamiast 2 stałych hasel jak (kiedyś?) w KB mamy ich 5
> (H1,H2.pesel,dowod,paszport)

nie 5 tylko 3
H1, H2 i jedno z 3 pozostalych (ale wybieramy które)

> > - regularnie (nie rzadziej niz co miesiąc) przypominają

poprawka - nie rzadziej niz co 60 dni

> > o potrzebie zmiany haseł
>
> To faktycznie miłe, choć mogliby dac mozliwość zmiany częstotliwości
> przypominania tego klientom nieposiadającym ror (a tylko KK)

wszystkim daja taka mozliwosc

> > - w kazdym banku "wystarczy" znac hasla lub ukrasc token
> > - w mBanku "wystarczy" poznac haslo i podejrzec jeden kod jednorazowy ;-
))
> Który to kod mozesz trzymać niekoniecznie w formie papierowej. Że nie
> wspomne o SMS.

mozna zdrapac cala karte kodow Inteligo i zapisac gdzie indziej ale czy to
jest bezpieczniej?

Slawek

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

"że nie wspomnę o SMS" - ostatnio w mBanku był iluśdniowy problem z hasłami
SMSowymi.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Slavekk napisał(a):

>> To faktycznie miłe, choć mogliby dac mozliwość zmiany częstotliwości
>> przypominania tego klientom nieposiadającym ror (a tylko KK)
>
> wszystkim daja taka mozliwosc

Z czego wynika ta pewność?

Potwierdzam, że posiadacze jedynie KK nie mogą zmienić tego okresu, tak
samo jak nie mogą zamówić sobie np. wyciągu on-line, czy zmienić danych
korespondencyjnych (w tym adresu e-mail i numeru telefonu) w Millenecie.

Ktoś kto projektował ten system zupełnie nie pomyślał, że tacy klienci
też istnieją...

do góry

Slavekk pisze:
[...]

>>> z twojej winy
>> Czyli zamiast 2 stałych hasel jak (kiedyś?) w KB mamy ich 5
>> (H1,H2.pesel,dowod,paszport)
>
> nie 5 tylko 3
> H1, H2 i jedno z 3 pozostalych (ale wybieramy które)
Ale przy każdym logowaniu możesz wybrać inne, przez co ewentualny
keylogger musiałby poznać 5. Inna sprawa, ze pewnie klienci i tak
zostają przy domyślnym peselu.

>
[...]

>> To faktycznie miłe, choć mogliby dac mozliwość zmiany częstotliwości
>> przypominania tego klientom nieposiadającym ror (a tylko KK)
>
> wszystkim daja taka mozliwosc
A sprawdziłeś, czy tak sobie bredzisz? Bo ja to chciałem zrobić i się
nie dało.

[...]

>
> mozna zdrapac cala karte kodow Inteligo i zapisac gdzie indziej ale czy to
> jest bezpieczniej?


To nie o to chodzi. Do podejrzenia użytkownika mille wystarczy zdalnie
zainstalowany keylogger. Do podejrzenia TAN-a - nie.


KJ

do góry

a mi się wydaje, że ostatnio jak włożyłem KK millennium do ich bankomatu to
też dostępna była opcja wygenerowania tzw H2 ale nie jestem pewien na 100%.
dzis będę w banku wię nie omieszkam sprawdzić.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

mar napisał(a):
> a mi się wydaje, że ostatnio jak włożyłem KK millennium do ich bankomatu to
> też dostępna była opcja wygenerowania tzw H2 ale nie jestem pewien na 100%.
> dzis będę w banku wię nie omieszkam sprawdzić.

Opcja - owszem - jest. I to by było na tyle jej funkcjonalności.

do góry