Użytkownik "Bartol Partol" <b...@p...c> napisał w wiadomości
news:b47rd4$k3e$1@atlantis.news.tpi.pl...
> Użytkownik WOJSAL napisał:
> >
> > Ja mowie o transakcjach internetowych, telefonicznych.
> > I to jest realne.
>
> No to podaj wreszcie jakis konkretny przyklad. Jak cos takiego mialoby
> dzialac. Dokladnie i po kolei.
>

Wariant 1
1. Kupujesz cos w sklepie, wybierasz towary
2. Przychodzi do placenia
3. Podajesz numer karty plus jednorazowy kod uwierzytelniajacy
transakcje.
Kod masz z jakiegos tokena (raczej nie zdrapka) czy czegos tam
4. Sklep ma numer karty+jednorazowy kod+IP+czas +wartosc kwoty
(kwota powinna byc zaszyta w kodzie uwiezrytelniajacym)
Zwraca sie do banku by przelal kwote transakcji z Twojego
konta na swoje


Wariant 2
1. Kupujesz cos w sklepie, wybierasz towary
2. Przychodzi do placenia
3. Podajesz jakis identyfikator (np. email)
4. Sklep wysyla zadanie przelanie kwoty z Twojego konta na jego
5. Ty otrzymujesz jednorazowy kod (link) do klikniecia
(tam musisz podac haslo)
Klikajac i podajac haslo - wyrazasz zgode na wykonanie transakcji.
Oczywiscie tu dzialaja wszelkie filtry IP+czas jakie
sobie zdefiniujesz.





--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/




--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik "Kazimierz" <kazmirz@astercity(usuń).net> napisał

> LGNet - haslo do logowania (system wymusza zmiane co jakis czas) + haslo
> akceptacji transakcji. Chyba najslabsze zabezpieczenie.

Najsłabsze jest citi, z tym swoim pierwszym logowaniem na PIN do karty ;P

do góry

Użytkownik "WOJSAL" <w...@g...pl> napisał w wiadomości
news:b47s8l$4d6$1@inews.gazeta.pl...
> Wariant 2
> 1. Kupujesz cos w sklepie, wybierasz towary
> 2. Przychodzi do placenia
> 3. Podajesz jakis identyfikator (np. email)
> 4. Sklep wysyla zadanie przelanie kwoty z Twojego konta na jego
> 5. Ty otrzymujesz jednorazowy kod (link) do klikniecia
> (tam musisz podac haslo)
> Klikajac i podajac haslo - wyrazasz zgode na wykonanie transakcji.
> Oczywiscie tu dzialaja wszelkie filtry IP+czas jakie
> sobie zdefiniujesz.

Kazdy sklep ma komputer ze stalym laczem przy kazdej kasie???

--

Kazimierz
b. zast. red. nacz. NN ( www.nnmag.net )
GG 1213856

do góry

Szanowny(a) Kazimierz napisal(a) Thu, 6 Mar 2003 17:49:01 +0100:
>Użytkownik "WOJSAL" <w...@g...pl> napisał w wiadomości
>news:b47s8l$4d6$1@inews.gazeta.pl...
>> Wariant 2
>> 1. Kupujesz cos w sklepie, wybierasz towary
>> 2. Przychodzi do placenia
>> 3. Podajesz jakis identyfikator (np. email)
>> 4. Sklep wysyla zadanie przelanie kwoty z Twojego konta na jego
>> 5. Ty otrzymujesz jednorazowy kod (link) do klikniecia
>> (tam musisz podac haslo)
>> Klikajac i podajac haslo - wyrazasz zgode na wykonanie transakcji.
>> Oczywiscie tu dzialaja wszelkie filtry IP+czas jakie
>> sobie zdefiniujesz.
>
>Kazdy sklep ma komputer ze stalym laczem przy kazdej kasie???
>

Internetowe - tak.
Mowimy o e-bankach i o e-transakcjach.

Nie zakladam przeciez, ze w sklepie tradycyjnym klient
bedzie klikal myszka w link z unikalnym kodem.

--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/

do góry

Użytkownik Kazimierz <kazmirz@astercity(usuń).net> w wiadomości do grup
dyskusyjnych napisał:b47u3o$1unq$...@f...acn.pl...
> Kazdy sklep ma komputer ze stalym laczem przy kazdej kasie???


Przeciez pisza o transakcjach internetowych , a te chyba bez komputera nie
pojda :))) no nie ?

>
> --
>
> Kazimierz
> b. zast. red. nacz. NN ( www.nnmag.net )
> GG 1213856
>
>

do góry

Uzytkownik "Bartol Partol" <b...@p...c> napisal w wiadomosci
news:b47edn$c72$1@atlantis.news.tpi.pl...
> Citi - haslo i token (dla kont firmowych, nie wiem jak jest w przypadku
> indywidualnych)
> Inteligo - haslo i karta kodow
> Millenet - 2 hasla i limity
> Sa jeszcze inne sposoby? Jakie maja wady i zalety?

Witam!

Wszystkie wymienione przez Ciebie rozwiazania maja jedna wspolna wade -
opieraja sie na pewnych tajemnicach znanych tak bankowi jak klientowi.
Wynika z tego kilka waznych konsekwencji:
1. Powyzsze systemy sa malo odporne, gdy na konto klienta zamachnie
nieuczciwy pracownik banku (wiem, ze nie ma takch!)
2. w razie udanego zamachu na konto klienta ani bank ani klient nmie maja w
reku zadnych niezaprzeczalnych dowodow, czy transakcje dokonal klient czy
tez nie

W tym ukladzie bezpieczniejsze powinne byc rozwiazanie oparte na
kryptografii asymetrycznej (BS,Fortis,BPH czy jak co), gdzie systemy
posluguja sie podpisanymi cyfrowo dokumentami do dokonania operacji ,
chociaz do innych czynosci posluguja sie haslem.

Czy rzeczywiscie sa bezpieczniejsze niz inne, to juz inna kwestia.
Watpliwosc budza fakt, ze bank przechowuje klucz klienta(!), bank pomaga
klientowi generowac klucze (dostarczajac kryptografie) , bank dostarcza
aplikacje.
Najbadziej przekonuje mnie idea lansowana (po cichu) przez BS, gdzie system
zasilany jest podpisanymi cyfrowo dokumentami, ale po stronie klienta (jako
ze dokumenty sa standardowe) moga dzialac rózne aplikacje (np. MS Money i
inne) . Gdyby na dodatek klient mial mozliwosc korzystac z kluczy wlasnych,
sam decydowac o formie przechowania kluczy certyfikowanych na przyklad przez
niezalezna trzecia strone to mielibysmy system pozbawiony wad polegajacych
na absolutnym rozmyciu odpowiedzialnosci.

Vizvay

do góry

Użytkownik "Vizvary II Istvan"
> W tym ukladzie bezpieczniejsze powinne byc rozwiazanie oparte na
> kryptografii asymetrycznej (BS,Fortis,BPH czy jak co),

czy BS to u ciebie Bank Slaski zwany teraz ING
jesli tak to mam r-ki we wszystkich i jednak Fortis najlepiej mi odpowiada

> Czy rzeczywiscie sa bezpieczniejsze niz inne, to juz inna kwestia.
> Watpliwosc budza fakt, ze bank przechowuje klucz klienta(!), bank pomaga
> klientowi generowac klucze (dostarczajac kryptografie) , bank dostarcza
> aplikacje.

moze przechowywac a nie przechowuje.
w przypadku BPH przymusowo przechowywali na swoim serwerze tylko na poczatku
systemu ale potem szybko od tego odeszli i mozesz wybrac wlasna dyskietke

dzis przeczytalem watpliwosci prawnikow nt e-podpisu w ustawie
http://www.rp.pl/dodatki/pieniadze_030306/pieniadze_
a_7.html
i mysle ze jednak bedzie wchodzil powoli i z oporami
*** blad ***

PS w tym samym dodatku "moje pieniadze" jest o steganografii -
ostatni Komputer Swiat Ekspert udostepnil free taki programik Steganos3 i
mozna nim zapisac cos w pliku bmp albo wav. Probowalem - w wav slychac
dodatkowy szum ale po bmp nic nie widac, a jak sie zna haslo to elegancko
wyciaga z niego zapisana wiadomosc

do góry

"Vizvary II Istvan" <v...@p...onet.pl> writes:

> Gdyby na dodatek klient mial mozliwosc korzystac z kluczy wlasnych,
> sam decydowac o formie przechowania kluczy certyfikowanych na przyklad przez
> niezalezna trzecia strone to mielibysmy system pozbawiony wad polegajacych
> na absolutnym rozmyciu odpowiedzialnosci.

Zasadniczo trzecia strona nie jest niezbedna - wystarczy, jesli klucz
(zapewne certyfikat, np. wlasny) banku i klienta beda czescia umowy
pomiedzy nimi. Trzecia strona jest oczywiscie niezbedna, jesli bylaby
to umowa elektroniczna.

Bank moze dodatkowo umiescic swoj klucz w "publicznych srodkach przekazu" :-)
--
Krzysztof Halasa
Network Administrator

do góry

>
> dzis przeczytalem watpliwosci prawnikow nt e-podpisu w ustawie
> http://www.rp.pl/dodatki/pieniadze_030306/pieniadze_
a_7.html
> i mysle ze jednak bedzie wchodzil powoli i z oporami
> *** blad ***
No jeśli prawnicy beda wypisywali takie dyrdymały jak w pierwszym akapicie
tego artykułu to rzeczywiście długa droga przed nami.

Oto tenże akapit:
Podpisu elektronicznego nie można wprost złamać ani sfałszować, ale można go
przejąć, jak każdą informację zapisaną na dyskietce, twardym dysku czy chipie.
Przejęty podpis elektroniczny może być wykorzystany do sygnowania dowolnej
liczby dokumentów

no comments

pozdrawiam
Radon

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Dnia 8 Mar 2003 05:38:09 +0100,
osoba podpisana:
r...@c...pl <r...@c...pl>
napisała:
>>
>> dzis przeczytalem watpliwosci prawnikow nt e-podpisu w ustawie
>> http://www.rp.pl/dodatki/pieniadze_030306/pieniadze_
a_7.html
>> i mysle ze jednak bedzie wchodzil powoli i z oporami
>> *** blad ***
> No jeśli prawnicy beda wypisywali takie dyrdymały jak w pierwszym akapicie
> tego artykułu to rzeczywiście długa droga przed nami.
>
> Oto tenże akapit:
> Podpisu elektronicznego nie można wprost złamać ani sfałszować, ale można go
> przejąć, jak każdą informację zapisaną na dyskietce, twardym dysku czy chipie.
> Przejęty podpis elektroniczny może być wykorzystany do sygnowania dowolnej
> liczby dokumentów
>

Dlaczego dyrdymay ?
KJ

--
The world is coming to an end ... SAVE YOUR BUFFERS!!!

do góry