Dnia 9 Feb 2008 18:26:04 +0100, n...@p...onet.pl napisał(a):
>> A możesz mi wyjaśnić po co różne jełopy np. przecinają opony w samochodach
>> albo rysują im karoserię? ...
> Przecaniasz zdolności umysłowe jełopów,
> taki mógłby mi conajwyżej zablokować dostęp do konta,
> (gdyby mu się udało poznać mój ID)
> To byłoby nie mniej uciążliwe niż te hipotetyczne przelanie
> wszyskich środków na zdefiniowane konto, a znacznie łatwiejsze
> do wykonania. ID też będziesz maskował?

Mniej uciążliwe, bo wciąż mogę korzystać z kart płatniczych :)
BTW, jaka jest procedura przy zablokowaniu dostępu do internetu i mlinii?
Czeka się na kuriera?

> Jeszcze o jednym zapomniałeś, długie hasło maskowane
> jest szczególnie upierdliwe we wprowadzaniu. Użytkownicy
> którzy będą się przy tym mylić (i Ci których będzie ono wkurzać)
> będą mieć pokusę by hasło skrócić. Część jej zapewnie ulegnie

[...]

> A inni hasło zapiszą na kartce, żeby sobie poradzić z tym logowaniem.
> A Ty mi będziesz wmawiał, że maskowane bezpieczniejsze...

Dla mnie jest istotne to, że to _ich_ problem :) A ja będę miał
bezpieczniej.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

On 2008-02-11, Jacek Osiecki <j...@c...pl> wrote:
> Mniej uciążliwe, bo wciąż mogę korzystać z kart płatniczych :)
> BTW, jaka jest procedura przy zablokowaniu dostępu do internetu i mlinii?
> Czeka się na kuriera?

Oddzwaniają na zarejestrowany numer telefonu i zadają pytania weryfikacyjne.

--
Wojciech Bańcer
p...@p...pl

do góry

Jacek Osiecki pisze:
[...]

> Mniej uciążliwe, bo wciąż mogę korzystać z kart płatniczych :)
> BTW, jaka jest procedura przy zablokowaniu dostępu do internetu i mlinii?
> Czeka się na kuriera?
jedno z 2:
1. oddzwaniają i zadają pytania. Nie masz jak zweryfikować, czy dzwonią
z mbanku, chyba że ustawisz sobie wcześniej pole hobby
2. Możesz zamówić pakiet aktywacyjny wysyłany pocztą.


KJ

do góry

On 2008-02-11, Jacek Osiecki <j...@c...pl> wrote:

[...]

> Niekoniecznie wyższy - przy mniej świadomych użytkownikach wystarczy
> odpowiedni mail z przygotowanym programikiem... i gotowe.

Na mniej świadomych użytkowników jest lepszy sposób. Ściągnąć eMule
i ściągnąć przez niego wszystko co ma w nazwie mbank. Dostaniesz bardzo
dużo przydatnych informacji :)

>> Ale trzeba wcześniej jakoś te hasło zdobyć. A to już trywialne nie jest.
>
> Trywialne nie jest, ale przesadnie trudne też nie. Pamiętaj, że przy
> przeciętnym użytkowniku większość złośliwych programów ma drzwi szeroko
> otwarte.

To już prościej zrobić maila wymagającego pełnego loginu i hasła
w celu np. weryfikacji danych. Jeszcze łatwiej i nie trzeba się martwić
o to, czy użytkownik ma antywirusa.

> Nie wiem czy łatwiej podsłuchać GSM/voip, czy też podłożyć komuś
> keylogger... Obawiam się że to drugie jest prostszym zadaniem.

Dzwonisz z GSM do banku? Na 0801? Raczej większość tego nie robi. :)

--
Wojciech Bańcer
p...@p...pl

do góry

Jacek Osiecki <j...@c...pl> writes:

> OK, uprościłem może opis ale nie zmienia to sedna - karta czy dyskietka
> z certyfikatem nie zabezpieczy przed wyrafinowanym złodziejem, a nawet
> pogorszy sytuację ofiary - bo "przecież podpis cyfrowy jest w 100%
> bezpieczny".

Stary, napisalem jakie niebezpieczenstwa usuwa podpis cyfrowy, a w
porownaniu do hasel (maskowanych lub nie) nie wprowadza zadnych. To
jest bezpieczniejszy czy nie jest?

> A czy ja mówię że jest? Twierdzę tylko, że używanie podpisu cyfrowego -
> nawet na karcie inteligentnej - nie jest do końca bezpieczne.

Przeciez napisalem ze nie ma nic do konca bezpiecznego.
Ale to nie powod by do wszystkiego uzywac rot13.

> Ale nie zabezpiecza przed złodziejem :)

Ani przed nagla smiercia.

> I zwiększa też ryzyko, że przy wyrafinowanej kradzieży klient zostanie na
> lodzie - bo skoro złożył podpis to w ogóle "nie ma sprawy".

Nie zwieksza, ryzyko jest dokladnie takie samo - przeciez haslo takze
jest "100% bezpieczne" (przynajmniej do etapu odpowiedzi na
reklamacje, ale pozniej zmieni sie to co najwyzej na "blad uzytkownika").

> Możesz rozwinąć? Żeby odczytać hasło SMSowe trzeba dysponować dodatkowymi
> środkami (nie wiem jak to jest z podsłuchem GSM - zdaje się że nie jest to
> zbyt proste)...

Trzeba, ale mozna to zrobic. Brak hasel SMS - zadne dodatkowe srodki
nic tu nie zmienia.
Zgadza sie?

> Zaś co do tokena - wystarczy by był aktywowany PINem
> wpisywanym na jego klawiaturze, i złodziej niewiele zdziała jeśli tym pinem
> nie dysponuje.

Stary, patrzysz na to bardzo powierzchownie. Bezpieczenstwo nie opiera
sie na stwierdzeniu (na podstawie "rzutu okiem") czy zlodziej zdziala
wiele, czy raczej niewiele.

Opcje sa takie:
- token bez PINu (mam wrazenie ze glownie takich uzywaja banki, ale
oczywiscie nie prowadze statystyk) - znajomosc (nawet starej) bazy
tokenow daje dostep automatycznie.
- token "aktywowany" PINem - j.w., PIN sluzy tylko do "wlaczenia"
tokena, bazy tokenow nie trzeba wlaczac.
- token z PINem, w ktorym PIN jest po prostu dodatkowa informacja
zmieniajaca wskazanie - wtedy nie chroni nas sam token, chroni nas
PIN (dokladnie tak samo jak sam PIN bez zadnych tokenow).
- token bez PINu z wpisywanym np. na stronie WWW pinem (haslem) -
j.w., z tym ze haslo trudniej "zlamac" niz PIN.

Spojrz na te opcje i powiedz co sam token zmienia w tej sytuacji?

> Właśnie bezpieczny komputer jest złudzeniem - bo może być tylko pozornie
> bezpieczny... Natomiast _zewnętrzne_ metody autoryzacji (hasła jednorazowe
> i smsowe, token) znacznie komplikują zadanie złodziejowi.

Bezpieczenstwo komputera zalezy tylko od uzytkownika tego komputera.
W przypadku SMSow i tokenow nawet uzytkownik w rodzaju Pentagonu nic
nie poradzi na wykradziona przez zwolnionego admina baze seedow
tokenow, zgubiony telefon GSM albo zlodzieja pracujacego u operatora
GSM.

Ale co ja tam sie bede z ekspertem spieral.
--
Krzysztof Halasa

do góry

> Dla mnie jest istotne to, że to _ich_ problem :) A ja będę miał
> bezpieczniej.

Na ten argument czekałem ;P
Co mnie /nas/ obchodzi, że bez maskowanych haseł czujesz sie mało bezpiecznie?
To Twój problem, wara o wygodnego logowania w m/MBankach
Spadaj na drzewo, tzn. do ING na przykład ;-PPP


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry