Użytkownik "Krystek" <s...@k...eu.org> napisał w wiadomości
news:fa53a9dda4915605537ba494910043fd@krystek.eu.org
...
> siliana pisze:
>> a od kiedy znosza te oplaty? bo dzis mi znow pobrali.
>
> Od 11 lutego 2008 roku.

potwierdzam - zrobilam dzis p/p i oplaty nie pobrali, jak milo:)))))))

do góry

Dnia Mon, 11 Feb 2008 00:41:07 +0100, Krzysztof Halasa napisał(a):
> Jacek Osiecki <j...@c...pl> writes:
>> No to ponownie spytam: co ten mBank taki głupi że przy obsłudze
>> telefonicznej bawi się w maskowanie hasła? :)
> To widocznie jakis inny mBank, w tym normalnym jest (byc moze
> maskowany) PIN telefoniczny.

Ano jest _maskowany_ - "proszę podać piątą cyfrę, proszę podać trzecią
cyfrę, proszę podać czwartą cyfrę". Po co to, jeśli maskowanie przed niczym
nie zabezpiecza?

> 3 cyfry sie podaje, tak? Szansa sukcesu w pojedynczej probie
> 1/1000. Ile maja klientow i srednio na ile kont da sie zalogowac takim
> sposobem?

Jadąc po kolei numerami można liczyć na sukces ;) A przecież mBank mógłby
tak ładnie "podnieść" poziom bezpieczeństwa, każąc każdorazowo podawać cały
PIN... :>

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

On Fri, 8 Feb 2008 08:11:02 -0800 (PST), krzysztofsf
<k...@w...pl> wrote:

>> Wiesz, mówisz o skanowaniu obrazu dalej. Tylko, niekoniecznie w
>> świetle widzialnym.
>
>
>Badz laskaw zdefiniowac, co rozumiesz pod tym pojeciem.
>Bo jakos nijak zaczyna sie to miec do "calkiem dobrze rozwinietej
>technologii rozpoznawania obrazow" o jakije pisales post wczesniej.
>Banknot z domalowanymi wasami i broda postaci na nim sie znajdujacej
>miesci sie w twoich kryteriach rozpoznawania obrazu? A z okularami?

Mieści się.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry

On 2008-02-10, Jacek Osiecki <j...@c...pl> wrote:

[...]

>> E tam. Jest nieskończenie wiele metod o wiele bardziej uprzykrzających
>> życie, a łatwiejszych w realizacji.
>
> Wydrenowanie konta i wpędzenie w długi to małe uprzykrzenie życia? :)

Duże. Ale stosunek wysiłek/uprzykrzenie jest dużo wyższy niż przy innych
kwestiach.

> Owszem, można ofiarę wykańczać psychicznie, pisać donosy o najbardziej
> chorych urojonych przestępstwach, wpisać numer komórki w różnych dziwnych
> portalach... Ale równoczesne wyczyszczenie kont i wpędzenie w długi chyba
> jednak będzie skuteczniejsze i boleśniejsze - gdy nagle się okazuje że nie
> masz czego do garnka włożyć, nie zapłacisz za prąd ani za czynsz.

Ale trzeba wcześniej jakoś te hasło zdobyć. A to już trywialne nie jest.
Bo to co opisujesz, to jest złośliwe działanie przeciw konkretnej osobie,
a nie przypadkowe wykradnięcie hasła keyloggerem.

>> Nie mówię, że to niemożliwe, ale
>> uważam że robienie z tego realnego zagrożenia przed którym trzeba się
>> zabezpieczać w możliwie maksymalnie upierdliwy (logowanie maskowane)
>> sposób zalatuje lekką paranoją. Coś jak mieszkanie w bunkrze kilkaset
>> metrów pod ziemią, bo "przecież może w ziemię pierdolnąć meteor".
>
> No to ponownie spytam: co ten mBank taki głupi że przy obsłudze
> telefonicznej bawi się w maskowanie hasła? :)

Bo tam są tylko cyfry, co ogranicza ilość znaków i możliwe kombinacje?
Bo linia telefoniczna nie działa po SSLu? :P

>> I akurat tylko takie masz w przelewach zdefiniowanych? Come on.
>> To obsługuj te instytucje przy pomocy PZtek/karty kredytowej.
>
> PZtek nie lubię, bo wiążą się z załatwianiem papierków.

A ja haseł maskowanych nie lubię bo wiążą się z dużo bardziej upierdliwym
logowaniem. A zamiast haseł maskowanych wystarczy PZtka. :P

> Obciążenie KK jeszcze jest OK, ale nie wszędzie jest mile widziane.
> A przelew nadal pozostaje najwygodniejszy...

Są karty kredytowe, które pozwalają na przelewy 'za rachunki'. Bezpłatnie.
Np. karty Citibanku.

--
Wojciech Bańcer
p...@p...pl

do góry

siliana pisze:
> Krystek napisał w wiadomości:
>> siliana pisze:
>>> a od kiedy znosza te oplaty? bo dzis mi znow pobrali.
>> Od 11 lutego 2008 roku.
>
> potwierdzam - zrobilam dzis p/p i oplaty nie pobrali, jak milo:)))))))

To jeszcze sprawdź po sesji wychodzącej czy po zaksięgowaniu przelewu
nie pobiorą opłaty za tę transakcję ;-)

K.

do góry

Mon, 11 Feb 2008 06:34:29 +0100, w <47afde6b$0$6133$f69f905@mamut2.aster.pl>,
"siliana" <t...@o...pl> napisał(-a):

> Użytkownik "Krystek" <s...@k...eu.org> napisał w wiadomości
> news:fa53a9dda4915605537ba494910043fd@krystek.eu.org
...
> > siliana pisze:
> >> a od kiedy znosza te oplaty? bo dzis mi znow pobrali.
> >
> > Od 11 lutego 2008 roku.
>
> potwierdzam - zrobilam dzis p/p i oplaty nie pobrali, jak milo:)))))))

Nie przejmuj się, odbiająją to sobie niższym % na koncie oszcz. :)

do góry

Dnia Sun, 10 Feb 2008 22:40:17 +0100, Kamil Jońca napisał(a):
> Jacek Osiecki pisze:
>> Dnia Sun, 10 Feb 2008 22:06:05 +0100, Kamil Jońca napisał(a):
> [...]
>> Gdzieś pisałem że podpis można wykraść? Pisałem, że podpis przed niczym nie
>> zabezpiecza - nic o jego wykradaniu...
> Ok. Zestawiłeś klucz na dyskietce z takim na karcie, jakoby tak samo się
> zachowywały. Niech Ci będzie, że moja nadinterpretacja.

No zestawiłem, bo i tu i tu mamy do czynienia z podpisem cyfrowym - tylko
ten na dyskietce daje złodziejowi większe pole do popisu (może go sobie
zabrać i użyć w najbardziej dogodnym momencie).

> [..]

>> Oczywiście - dlatego można ew. unikać koszyków :) Ale właśnie potwierdzenia
>> SMSowe są najlepszą formą zabezpieczenia - i tu akurat mBank zasługuje na
>> pochwałę, bo równie dobrze mógł tak jak chyba Citi przesyłać SMSa o treści
>> "hasło do transakcji: xxxxxx".

> Sam widzisz, że i taką rzecz można spieprzyć.

Co do tego, to nie mam najmniejszych wątpliwości ;)

> Ciekawy jestem czy można zrobić czytnik wyświetlający "skrót'
> podpisywanej wiadomości.

Mimo wszystko nadal uważam, że ważniejsze jest fizyczne zabezpieczenie
karty, na zasadzie "kliknięcie mikroprzełącznikiem => autoryzacja
pojedynczej transakcji". Zwłaszcza w obliczu coraz bliższych kart
bezstykowych - jak dotąd w żadnym artykule o nich nie czytałem by do
przeprowadzenia transakcji była wymagana jakakolwiek akcja ze strony
użytkownika, co wydaje mi się dosyć chore.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki <j...@c...pl> writes:

[...]

> przeprowadzenia transakcji była wymagana jakakolwiek akcja ze strony
> użytkownika, co wydaje mi się dosyć chore.

Mi niestety też. Zwłaszcza od momentu kiedy sobie przypadkiem skasowałem
warszawską kartę miejską.

KJ

do góry

Dnia Mon, 11 Feb 2008 00:53:43 +0100, Krzysztof Halasa napisał(a):
> Jacek Osiecki <j...@c...pl> writes:
>> Jeśli ktoś się JEDNOKROTNIE zaloguje do konta zabezpieczonego maskowanym
>> hasłem na podstawionym komputerze to jesteś w stanie dostać się później na
>> to jego konto? Nie.
> Nie albo tak. Ale przede wszystkim, po co mialbym to robic? Przeciez
> wystarczy skorzystac z raz uzyskanego dostepu.

Choćby dlatego, że to by wymagało większego zachodu - zamiast zwykłego
keyloggera, trzeba by było symulować działanie strony banku, na bieżąco
wykonać wszystkie transakcje (a nie wtedy, kiedy będzie to najwygodniejsze
dla złodzieja)...

>> Podpis cyfrowy zawsze na jakimś nośniku siedzi. Albo w pliku na dysku czy
>> dyskietce, albo na "karcie inteligentnej" - bo chyba nie twierdzisz że
>> popularną metodą jest wkucie go na pamięć? ;)

> Nie, podpis cyfrowy sklada sie pod dokumentem. Za kazdym razem jest
> inny.

OK, uprościłem może opis ale nie zmienia to sedna - karta czy dyskietka
z certyfikatem nie zabezpieczy przed wyrafinowanym złodziejem, a nawet
pogorszy sytuację ofiary - bo "przecież podpis cyfrowy jest w 100% bezpieczny".

>> "Podpis cyfrowy" w takiej
>> postaci jest bezwartościowy - keylogger i odpowiednio przygotowane złośliwe
>> oprogramowanie ogołoci konto klienta banku do zera.

> Podpis cyfrowy to nie jest zabezpieczenie przed jakims "keyloggerem".

A czy ja mówię że jest? Twierdzę tylko, że używanie podpisu cyfrowego -
nawet na karcie inteligentnej - nie jest do końca bezpieczne.

> Podpis cyfrowy jest zabezpieczeniem klienta przed bankiem (by ten
> ostatni nie mogl twierdzic ze klient zlecil niezlecony przelew), oraz
> banku przed klientem, by ten ostatni nie mogl sie wyprzec zlecenia.

Ale nie zabezpiecza przed złodziejem :)

> Z pewnoscia uzycie podpisow cyfrowych zwieksza bezpieczenstwo
> korzystania z banku.

I zwiększa też ryzyko, że przy wyrafinowanej kradzieży klient zostanie na
lodzie - bo skoro złożył podpis to w ogóle "nie ma sprawy".

>> Jedyne PEWNE zabezpieczenia _muszą_ angażować do przelewu
>> coś niezależnego od komputera - token z klawiaturą, hasło SMSowe.

> a) Nie ma calkiem pewnych zabezpieczen.

Ale są lepsze i gorsze :)

> b) haslo SMSowe, wbrew pozorom, moze bardzo pogorszyc bezpieczenstwo,
> gdyz jest dodatkowym wektorem ataku (trudno uznac to za bezpieczny
> kanal chyba). Podobnie token, nie mozna zmienic jego "zawartosci"
> tak jak sie zmienia haslo.

Możesz rozwinąć? Żeby odczytać hasło SMSowe trzeba dysponować dodatkowymi
środkami (nie wiem jak to jest z podsłuchem GSM - zdaje się że nie jest to
zbyt proste)... Zaś co do tokena - wystarczy by był aktywowany PINem
wpisywanym na jego klawiaturze, i złodziej niewiele zdziała jeśli tym pinem
nie dysponuje.

> c) token to przeciez kolejny komputer. Potrzebny jest bezpieczny
> terminal (komputer) do operacji bankowych (i wszelkich innych,
> jesli w gre wchodzi cos wiecej niz zabawa), a nie wynajdowanie
> zludzen.

Właśnie bezpieczny komputer jest złudzeniem - bo może być tylko pozornie
bezpieczny... Natomiast _zewnętrzne_ metody autoryzacji (hasła jednorazowe
i smsowe, token) znacznie komplikują zadanie złodziejowi.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia 11 Feb 2008 09:01:41 +0100, Wojciech Bancer napisał(a):
> On 2008-02-10, Jacek Osiecki <j...@c...pl> wrote:
> [...]
>>> E tam. Jest nieskończenie wiele metod o wiele bardziej uprzykrzających
>>> życie, a łatwiejszych w realizacji.
>> Wydrenowanie konta i wpędzenie w długi to małe uprzykrzenie życia? :)
> Duże. Ale stosunek wysiłek/uprzykrzenie jest dużo wyższy niż przy innych
> kwestiach.

Niekoniecznie wyższy - przy mniej świadomych użytkownikach wystarczy
odpowiedni mail z przygotowanym programikiem... i gotowe.

>> portalach... Ale równoczesne wyczyszczenie kont i wpędzenie w długi chyba
>> jednak będzie skuteczniejsze i boleśniejsze - gdy nagle się okazuje że nie
>> masz czego do garnka włożyć, nie zapłacisz za prąd ani za czynsz.

> Ale trzeba wcześniej jakoś te hasło zdobyć. A to już trywialne nie jest.

Trywialne nie jest, ale przesadnie trudne też nie. Pamiętaj, że przy
przeciętnym użytkowniku większość złośliwych programów ma drzwi szeroko
otwarte.

> Bo to co opisujesz, to jest złośliwe działanie przeciw konkretnej osobie,
> a nie przypadkowe wykradnięcie hasła keyloggerem.

No o tym właśnie mówię.

>> No to ponownie spytam: co ten mBank taki głupi że przy obsłudze
>> telefonicznej bawi się w maskowanie hasła? :)

> Bo tam są tylko cyfry, co ogranicza ilość znaków i możliwe kombinacje?
> Bo linia telefoniczna nie działa po SSLu? :P

Nie wiem czy łatwiej podsłuchać GSM/voip, czy też podłożyć komuś
keylogger... Obawiam się że to drugie jest prostszym zadaniem.

>>> I akurat tylko takie masz w przelewach zdefiniowanych? Come on.
>>> To obsługuj te instytucje przy pomocy PZtek/karty kredytowej.
>> PZtek nie lubię, bo wiążą się z załatwianiem papierków.
> A ja haseł maskowanych nie lubię bo wiążą się z dużo bardziej upierdliwym
> logowaniem. A zamiast haseł maskowanych wystarczy PZtka. :P

DGCC :)

>> Obciążenie KK jeszcze jest OK, ale nie wszędzie jest mile widziane.
>> A przelew nadal pozostaje najwygodniejszy...
> Są karty kredytowe, które pozwalają na przelewy 'za rachunki'. Bezpłatnie.
> Np. karty Citibanku.

Wiem, korzystam - z Rajfiego. To akurat podchodzi pod przelew - choć nieco
bardziej upierdliwy niż taki zwykły, puszczany z konta ;)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry