Użytkownik "kriskel" <k...@p...onet.pl> napisał w wiadomości
news:bnoe8b$9hd$1@news.onet.pl...

> Przerobione na własnej skórze na VE. Włożenie karty, dwie błędne próby,
> wyjęcie karty. Ponowne włożenie karty, dwie błędne próby, wyjęcie karty.
> Ponowne włożenie karty, udana próba. Czyli za piątym razem się udało. Ani
> blokady, ani zatrzymania karty.

Skoro tak Ci się udało, uważam, że mógłbyś to zrobić za jednym 'zamachem' i
też by przeszło. O blokadzie/zatrzymaniu karty decyduje CA.
Nie pamiętam już która kartą, ale była taka jedna, na której próbowałem
przez 5 minut wbijać błędne PINy i nie została ani zablokowana ani
zatrzymana - w bankomacie ING, który normalnie kartę ING po wstukaniu 3x
błędnego PINu chętnie połknie.

Jednak tutaj nie rezerwuję sobie monopolu na wiedzę - być może bankomat ma
też jakieś procedury zatrzymywania kart.

> Z dostępem do mBanku (internet) podobnie.
>
> Może jednak wiem co piszę, tylko różne są systemy kontroli (dla kart).

O ile w przypadku kart nie upieram się przy swoim, o tyle w przypadku
logowania się do mBanku jestem pewien, że nie wiesz, o czym piszesz.
Zamknięcie przeglądarki NIC Ci nie da. Próby logowania są zliczane na
serwerze. Możesz dokonać błednych logowań:
- z domu
- z pracy
- od teściowej

i o ile nie nastąpiło między nimi poprawne logowanie - dostęp zostanie
zablokowany po trzeciej próbie. Przeglądarka nie ma absolutnie nic do
gadania.

--
Pozdrawiam,

Wojciech Nawara

do góry

Użytkownik "Wojciech Nawara" <n...@o...pl> napisał w wiadomości
news:bnoeuk$cdg$1@news.onet.pl...
>
> i o ile nie nastąpiło między nimi poprawne logowanie - dostęp zostanie
> zablokowany po trzeciej próbie. Przeglądarka nie ma absolutnie nic do
> gadania.

No to musiałem mieć jakiegoś farta chyba. Bo mi nie zablokowało.
Ale więcej razy, specjalnie, już czegoś takiego nie próbowałem.

kriskel

do góry

On Wed, 29 Oct 2003 13:13:22 +0100, "kriskel" <k...@p...onet.pl>
wrote:

>
>Użytkownik "Jarek Andrzejewski" <j...@d...com.pl> napisał w wiadomości
>news:rt9vpvo91pnuitha7ifurg06j5q13e2v9f@4ax.com...
>>
>> ale to akurat "pseudo-zabezpieczenie" jest IMHO wyjątkowo bez sensu.
>> Przed czym zabezpieczać może to, że konto zablokuje się po np. dwóch
>> latach użytkowania (a w tym czasie 49 błędach) po jednokrotnym
>> "omsknięciu" się palców podczas wpisywania hasła?
>
>Widzisz, może to nie jest tak bardzo pozbawione sensu. Np karta kredytowa
>Lukasa jest blokowana po trzykrotnym błędnym wprowadzeniu PIN, ale w całym
>okresie użytkowania karty. To znaczy nie musi nastąpić to w czasie jednego
>posiedzenia karty w bankomacie. Czy to przesada? Chyba nie. Nieprawny

IMHO przesada. Wystarczyłoby blokowanie po trzech _kolejnych_
nieudanych próbach (tak jak to się dzieje w kartach elektronicznych)

>użytkownik po dwóch błędach wyjmuje kartę z bankomatu i wprowadza ją
>spowrotem. Gdyby kasowało licznik, to teraz znów mógłby wprowadzić sobie

wyjęcie i włożenie nie kasowałoby. Dopiero wprowadzenie prawidłowego
PINu.

BTW: wydaje mi się, że się mylisz i jest tak, jak ja napisałem (tzn.
trzy kolejne nieudane próby blokują.

>Podobnie z licznikiem mBanku. Ktoś wprowadza dwa razy zły kod i cofa stronę
>albo otwiera ponownie przeglądarkę i znowu wprowadza kody. Żeby nie

ależ skąd. Wpiszesz źle, potem milion razy dobrze, potem znów innego
dnia źle i potem znów wiele razy dobrze,... , potem raz źle - i już
nie masz szansy na poprawkę, bo przez ostatni 1000 dni 50 razy się
myliłeś.

>Czy to jest pozbawione sensu?

IMHO tak

--
Jarek Andrzejewski

do góry

Użytkownik "kriskel" <k...@p...onet.pl> napisał w wiadomości
news:bnof5k$dc6$1@news.onet.pl...

> No to musiałem mieć jakiegoś farta chyba. Bo mi nie zablokowało.
> Ale więcej razy, specjalnie, już czegoś takiego nie próbowałem.

To spróbuj chociażby z zamykaniem przeglądarki. Będzie Cię to kosztować
najwyżej 1 impuls. I zobaczysz wtedy, że licznik 'duży' ma sens - ale nie w
takim wykonaniu, jak obecnie. Powinien zliczać próby powiedzmy przez miesiąc
od daty dokonania błędnego logowania. No dobra, niech będzie nawet dwa
miesiące. Ale to, co jest obecnie - głupota totalna. Licznik 'mały' wychwyci
błędne logowania pod rząd. Bo licznik mały [jak zresztą i duży] - jest na
serwerze - nie w przeglądarce.

--
Pozdrawiam,

Wojciech Nawara

do góry

Użytkownik "Wojciech Nawara" <n...@o...pl> napisał w wiadomości
news:bnogot$kcd$1@news.onet.pl...
>
> Ale to, co jest obecnie - głupota totalna. Licznik 'mały' wychwyci
> błędne logowania pod rząd. Bo licznik mały [jak zresztą i duży] - jest na
> serwerze - nie w przeglądarce.

Ja się nie upieram, że obecny duży licznik jest dobry. Uważam tylko, że nie
można twierdzić, że jest całkiem bezsensowny. Tylko jego działanie powinno
być (to fakt) inne.

kriskel

do góry

Użytkownik "Jarek Andrzejewski" <j...@d...com.pl> napisał w wiadomości
news:opfvpv00umjljb0fc4kvg4dfb2ict89ohi@4ax.com...
>
> >Czy to jest pozbawione sensu?
>
> IMHO tak

Są trzy prawdy. Moja prawda, twoja prawda i g...no prawda.
Poczytaj sobie moje posty powyżej (głównie z W. Nawarą). A w odpowiedzi nie
wyrywaj zdań z kontekstu. O ile wiesz co to jest kontekst.

kriskel

do góry

> Teraz jak Ci się spieszy z przelewem, to twierdzisz, że za dużo
> zabezpieczeń.
> A przeważnie na grupie były głosy, że zabezpieczenia są niewystarczające.
>

ja uwazam, ze zabezpieczenia sa generalnie ok

> Ludziom ciężko dogodzić.
>

fakt

> Zastanów się, czy gdyby odblokowali Ci natychmiast dostęp po Twoim
> pierwszym
> telefonie miałbyś dobre zdanie o systemie zabezbieczeń. Śmiem wątpić.

mialbym dobre zdanie gdyby oddzwonili do mnie natychmiast !
a nie nastapnego dnia po 13, kiedy przelew by poszedl jeszcze kolejny dzien
pozniej

>Inną sprawą jest, że w
> takiej sytuacji oddzwonienie powinno nastąpić natychmiast.

no wlasnie to nie inna sprawa tylko wlasnie glowny problem

KM

do góry

Wed, 29 Oct 2003 14:16:46 +0100, w <bnoek1$b1o$1@news.onet.pl>, "kriskel"
<k...@p...onet.pl> napisał(-a):

> Użytkownik "Radosław Popławski" <r...@a...net.pl> napisał w wiadomości
> news:srcvpvcvfmorepvl9j8q2rrp2rnpnklogk@4ax.com...
>
> > Boże, następny sprawny umysłowo inaczej.
>
> Nie mów do mnie "Boże". I nie musisz na grupie rozpowiadać o Twoim
> kalectwie.

Nie piszę do Ciebie. Ale pisząc o kalectwie chyba masz na myśli własne -- bo
trzeba być wyjątkowo kontuzjowanym umysłowo, żeby nie widzieć wad obecnego
rozwiązania i na poczekaniu nie wymyślić "lekarstwa".

do góry

Wed, 29 Oct 2003 14:13:04 +0100, w <bnoed3$a4s$1@news.onet.pl>, "kriskel"
<k...@p...onet.pl> napisał(-a):

> Użytkownik "Artur Gawryszczak" <g...@c...edu.pl._!_!_!_> napisał w
> wiadomości news:1702493.jhaLKZLOW4@phoenix...
> >
> > Jeśli już licznik miałby być to jakoś konkretniej konfigurowalny i jawnie
> > pokazywany przy logowaniu, żeby można było zawczasu zareagować
> > przynajmniej na własne błędnie wpisywane hasła, bo na czyjąś ewentualną
> > złośliwość to się chyba łatwo nie da (chyba żeby jakiś token wprowadzić).
>
> O. I to jest rozsądne. Konkretne rozwiązanie. A nie: to jest złe i
> zlikwidować.

Czy z toba wszystko w porządku? Nikt nie pisze, że ogólnie zabezpieczanie jest
złe, tylko że jest obecnie zrobione wyjątkowo bezmyślnie.

A lepsze zabezpieczenie lub usprawnienie obecnego to chyba niemal każdy z tej
grupy wymyśli na poczekaniu.

do góry

W wiadomości news:bnof5k$dc6$1@news.onet.pl,
kriskel napisał:

> No to musiałem mieć jakiegoś farta chyba. Bo mi nie zablokowało.
> Ale więcej razy, specjalnie, już czegoś takiego nie próbowałem.

Myślę, że należy rozróżnić dwa różne przypadki:
1. Wprowadzenie błędnego hasła
2. Problemy z transmisją.

ad 1. Moja żona niechcący włączyła CapsLock i po 3-krotnym wpisaniu hasła
jej konto zostało natychmiast zablokowane.
ad 2. Jakiś czas temu mBank miał jakieś problemy z działaniem, a ja akurat
miałem pilny przelew do wykonania. Pierwsza próba logowania - złe hasło.
Druga próba - hasło wpisywałem bardzo uważnie, na pewno wpisałem hasło
poprawnie - znowu komunikat o niewłaściwym haśle. Trzecia i czwarta próba -
identyczna sytuacja i identyczny komunikat, a konto nie zostało zablokowane!
Na tej podstawie wnioskuję, że czasami bywa tak, że pomimo podania
poprawnego hasła serwer je odrzuca, ale wówczas chyba nie powiększa licznika
błędów.

--
Pozdrowienia
Krzysztof K. Maj
(Uwaga na pułapkę w adresie!)

do góry