> Chyba jeszcze nie zakladales e-pakietu w Fortisie :-)
>
> M.
Jeszcze nie.
A jak to tam wyglada?

do góry

> > Co wy na to?
>
> Chyba jeszcze nie zakladales e-pakietu w Fortisie :-)

Ani rachunku w Integrum BGZ. Nawet meczylem bogu ducha winna
panne dysponentke ale w koncu sie poddalem. Praktycznie wszystko
co mam na potwierdznie zalozenia rachunku to kawalek kartonu,
o wymiarze mniej wiecej 1/4 kartki, wydartego z wniosku z
numerem rachunku, moim nazwiskiem i data oraz pieczatka oddzialu.

--
-=Pozdrowionka=-

Wilczek
w...@b...pl
ICQ: 4017758 <|> GG: 75722

do góry

> Spacje i to po spacji (" 21" chyba, czy cos takiego) po prostu ignorujesz
> (opuszczasz) - sprawdzone w przelewach z wielu bankow, dziala bez zarzutu.
>
A ja zamiast spacji wpisuje kreske "-" i tez dzila zawsze.

do góry

Użytkownik "Feanor" <b...@p...onet.pl> napisał w wiadomości
news:bl9fao$gs9$1@news.onet.pl...

> Wszystko brzmi tak pięknie że zacząłem zastanawiać się gdzie tu jest hak

Jest taki jeden... Jesli ktos pozna numer Twojego konta, to moze Ci
czesciowo (np dla kawalu) zablokowac czasowo dostep do obslugi rachunku.

Waldek

do góry

Dnia Tue, 30 Sep 2003 09:03:22 +0200, "bwwald"
<b...@w...onet.pl> napisał(a):

>Użytkownik "Feanor" <b...@p...onet.pl> napisał w wiadomości
>news:bl9fao$gs9$1@news.onet.pl...
>
>> Wszystko brzmi tak pięknie że zacząłem zastanawiać się gdzie tu jest hak
>
>Jest taki jeden... Jesli ktos pozna numer Twojego konta, to moze Ci
>czesciowo (np dla kawalu) zablokowac czasowo dostep do obslugi rachunku.

No wlasnie, sam sie nad logika takiego logowania zastanawialem, ale
oczywiscie nie probowalem na sobie, logowac sie podajac zle haslo. :-)
Kilka razy mi sie zdarzylo podawac zly numer z tokena, nawet pod rzad
ze trzy razy (pewno pierwsza czesc hasla byla zle wpisana) ale jakos
nigdy nie doszlo do zablokowania. Moze w takim razie, skoro login
jest praktycznie jawny, to w ogole nie blokuja mylnych logowan?

I Twoje przypuszczenie o haku jest przedwczesne jakby...

--
Adek
http://www.paliwa.tutaj.pl/index.php
http://adek124.republika.pl/

do góry

Użytkownik "A_Zet" <a...@p...onet.pl> napisał w wiadomości
news:h8dinv4lo9jrnlqulk63vu6ksqu8h1h8io@4ax.com...
> Dnia Tue, 30 Sep 2003 09:03:22 +0200, "bwwald"
> <b...@w...onet.pl> napisał(a):
>
> >Użytkownik "Feanor" <b...@p...onet.pl> napisał w wiadomości
> >news:bl9fao$gs9$1@news.onet.pl...
> >
> >> Wszystko brzmi tak pięknie że zacząłem zastanawiać się gdzie tu jest
hak
> >
> >Jest taki jeden... Jesli ktos pozna numer Twojego konta, to moze Ci
> >czesciowo (np dla kawalu) zablokowac czasowo dostep do obslugi rachunku.
>
> No wlasnie, sam sie nad logika takiego logowania zastanawialem, ale
> oczywiscie nie probowalem na sobie, logowac sie podajac zle haslo. :-)
> Kilka razy mi sie zdarzylo podawac zly numer z tokena, nawet pod rzad
> ze trzy razy (pewno pierwsza czesc hasla byla zle wpisana) ale jakos
> nigdy nie doszlo do zablokowania. Moze w takim razie, skoro login
> jest praktycznie jawny, to w ogole nie blokuja mylnych logowan?

Pisza tak : "Błędne wprowadzenie hasła lub wskazania tokena więcej niż 3
razy spowoduje zablokowanie obsługi on-line". Tak więc do 4 razy sztuka :)
Moze blednych prob maja wiecej, ale raczej blokada w koncu powinna byc.
Gdyby nie blokowali po ilus tam razach blednych logowan, to hak bylby
jeszcze lepszy. W koncu istnieje niezerowe prawdopodobienstwo, szczegolnie
dla kanalu telefonicznego, ze sie w koncu trafi na wlasciwe cyfry.

> I Twoje przypuszczenie o haku jest przedwczesne jakby...

Jak napisalem powyzej, przy braku blokady "hak" bylby jeszcze powazniejszy.
A jesli sie z tym nie zgadzasz, to podaj publicznie numer swojego rachunku,
lub chociaz te 7 srodkowych cyfr ;) Obiecuje, ze nie bede bawil sie w
zablokowanie Tobie kanalu, ale nie recze, ze znajda sie inni amatorzy
kawalow. :-)

Waldek

do góry

Dnia Tue, 30 Sep 2003 11:05:41 +0200, "bwwald" <b...@p...onet.pl>
napisał(a):

>Użytkownik "A_Zet" <a...@p...onet.pl> napisał w wiadomości
>news:h8dinv4lo9jrnlqulk63vu6ksqu8h1h8io@4ax.com...

[...]

>> Moze w takim razie, skoro login
>> jest praktycznie jawny, to w ogole nie blokuja mylnych logowan?
>
>Pisza tak : "Błędne wprowadzenie hasła lub wskazania tokena więcej niż 3
>razy spowoduje zablokowanie obsługi on-line".

Przyznaje, rzadko czytam te rozne opisy, regulaminy, skoro ja sie
zachowuje w sposob 'przecietny' to i ogolna, 'przecietna' znajomosc
rzeczy mi wystarcza w zasadzie. :-)

>Tak więc do 4 razy sztuka :)
>Moze blednych prob maja wiecej, ale raczej blokada w koncu powinna byc.
>Gdyby nie blokowali po ilus tam razach blednych logowan, to hak bylby
>jeszcze lepszy. W koncu istnieje niezerowe prawdopodobienstwo, szczegolnie
>dla kanalu telefonicznego, ze sie w koncu trafi na wlasciwe cyfry.

Moze dla telefonicznego tak, nie wiem w ogole jakie sa tam zasady, czy
identyczne jak na internetowym. Bo jesli identyczne, to naprawde nie
wiem, w czym jest problem by nie blokowac w ogole.

>> I Twoje przypuszczenie o haku jest przedwczesne jakby...
>
>Jak napisalem powyzej, przy braku blokady "hak" bylby jeszcze powazniejszy.
>A jesli sie z tym nie zgadzasz, to podaj publicznie numer swojego rachunku,
>lub chociaz te 7 srodkowych cyfr ;) Obiecuje, ze nie bede bawil sie w
>zablokowanie Tobie kanalu, ale nie recze, ze znajda sie inni amatorzy
>kawalow. :-)

No nie, Twoja propozycja w swietle wlasnego stwierdzenia bedacego
cytatem, ze blokuja po trzecim razie jest malo sensowna. :-)))

Ja tylko po prostu nie rozumiem sensu blokowania samego loginu (o czym
nizej), bo haslo sklada sie z dwoch czlonow - stalego (wlasnego) i
zmiennego (tokena). Jest fizycznym nieprawdopodobienstwem, by trafic
nawet przy wielomilionowej probie na wlasciwe haslo. Poza obciazaniem
kanalu zadnej wiekszej krzywdy ani bankowi, ani klientom, zrobic nie
mozna.

Co zas do loginu - przeciez mozesz blokowac w sposob absolutnie
przypadkowy, skoro wiadomo, ze login sie sklada z c a l a pewnoscia
z siedmiu cyfr, wiec wybranie dowolnej, a w zasadzie szesciocyfrowej,
gdyz na poczatku jest raczej jedynka (choc nie - ja mam dwojke...), to
po prostu trafienie na jakis login. I chocby z tego wzgledu dodatkowo
nie widze sensu blokowania mylnych logowan przy dynamicznym (token)
tworzeniu listy hasel.

W sumie nadal utrzymuje, ze wedlug mnie bez sensu jest blokowanie
kanalu przy czwartej, kolejnej mylnej probie. I ze to zaden hak, a
samo blokowanie sluzy raczej wygodzie banku (wlasnie nie obciazanie
kanalu a nie zadne wlamanie - bo metoda brutal force jest praktycznie
niemozliwa przy dynamicznej zmianie hasla).

--
Adek
http://www.paliwa.tutaj.pl/index.php
http://adek124.republika.pl/

do góry

blbh18$kj6$...@s...man.poznan.pl,
bwwald <b...@p...onet.pl>:

> powazniejszy. A jesli sie z tym nie zgadzasz, to podaj publicznie
> numer swojego rachunku, lub chociaz te 7 srodkowych cyfr ;) Obiecuje,
> ze nie bede bawil sie w zablokowanie Tobie kanalu, ale nie recze, ze
> znajda sie inni amatorzy kawalow. :-)

No tak, ale jako "skarbonka z dostepem przez bankomaty" sprawdza sie
doskonale, a ten hak w ogole nie przeszkadza - nie ma potrzeby podawania
numeru konta osobom postronnym. Za to jaka wygoda - nie ma dodatkowego ID,
ktorego zapisanie/zapamietanie sprawia wielu osobom problemy.

Ale to wszystko sie moze zmienic radykalnie w grudniu, zalezy jakie beda
nowe numery.

--
Robert
User in front of @ is fake, actual user is: mkarta

do góry

Użytkownik "A_Zet" <a...@p...onet.pl> napisał w wiadomości
news:cekinv4u4scqcbjukgfm609ffvr7t4qvul@4ax.com...
> Dnia Tue, 30 Sep 2003 11:05:41 +0200, "bwwald" <b...@p...onet.pl>
> napisał(a):
> >Moze blednych prob maja wiecej, ale raczej blokada w koncu powinna byc.
> >Gdyby nie blokowali po ilus tam razach blednych logowan, to hak bylby
> >jeszcze lepszy. W koncu istnieje niezerowe prawdopodobienstwo,
szczegolnie
> >dla kanalu telefonicznego, ze sie w koncu trafi na wlasciwe cyfry.
>
> Moze dla telefonicznego tak, nie wiem w ogole jakie sa tam zasady, czy
> identyczne jak na internetowym. Bo jesli identyczne, to naprawde nie
> wiem, w czym jest problem by nie blokowac w ogole.

W tym, że aby poznać całe haslo wystarczy srednio ok 1000 prob na bezplatny
dla klienta a platny dla banku numer telefonu.
Nie pamietam juz dokladnie, czy jesli podam haslo w automacie, to po
polaczeniu z konsultantem musze sie "legitymowac", ale jesli bym nie musial
(tak jak np w mBanku), to mozna u konsultanta zrobic prawie wszystko.

> >> I Twoje przypuszczenie o haku jest przedwczesne jakby...
> >
> >Jak napisalem powyzej, przy braku blokady "hak" bylby jeszcze
powazniejszy.
> >A jesli sie z tym nie zgadzasz, to podaj publicznie numer swojego
rachunku,
> >lub chociaz te 7 srodkowych cyfr ;) Obiecuje, ze nie bede bawil sie w
> >zablokowanie Tobie kanalu, ale nie recze, ze znajda sie inni amatorzy
> >kawalow. :-)
>
> No nie, Twoja propozycja w swietle wlasnego stwierdzenia bedacego
> cytatem, ze blokuja po trzecim razie jest malo sensowna. :-)))

Rozumiem :-)

> Ja tylko po prostu nie rozumiem sensu blokowania samego loginu (o czym
> nizej), bo haslo sklada sie z dwoch czlonow - stalego (wlasnego) i
> zmiennego (tokena). Jest fizycznym nieprawdopodobienstwem, by trafic
> nawet przy wielomilionowej probie na wlasciwe haslo. Poza obciazaniem
> kanalu zadnej wiekszej krzywdy ani bankowi, ani klientom, zrobic nie
> mozna.

Dokladnie mam takie samo zdanie, z tym, ze jakies prawdopodobienstwo wlamu
jednak istnieje.
Zreszta np. w lukasie mamy to samo, przy czym teoretycznie nikt nie powinien
znac loginu, oprocz wlasciciela konta.

> W sumie nadal utrzymuje, ze wedlug mnie bez sensu jest blokowanie
> kanalu przy czwartej, kolejnej mylnej probie. I ze to zaden hak, a
> samo blokowanie sluzy raczej wygodzie banku (wlasnie nie obciazanie
> kanalu a nie zadne wlamanie - bo metoda brutal force jest praktycznie
> niemozliwa przy dynamicznej zmianie hasla).

Dla kanalu internetowego w VW jest hakiem w tym wzgledzie, ze mozna duzo
latwiej zablokowac kanal internetowy znajac tylko numer rachunku (gdyby nie
było blokady nie byłoby haka). Dla kanalu telefonicznego oprocz łatwej
blokady dodatkowo dochodzi jeszcze latwiejsze poznanie hasla dla konkretnej
osoby, bo ID juz mamy znajac sam tylko numer rachunku.

Waldek

do góry

Użytkownik "Robert" <u...@o...pl> napisał w wiadomości
news:blbrmb$rse$1@topaz.icpnet.pl...
> blbh18$kj6$...@s...man.poznan.pl,
> bwwald <b...@p...onet.pl>:

> No tak, ale jako "skarbonka z dostepem przez bankomaty" sprawdza sie
> doskonale, a ten hak w ogole nie przeszkadza - nie ma potrzeby podawania
> numeru konta osobom postronnym. Za to jaka wygoda - nie ma dodatkowego ID,
> ktorego zapisanie/zapamietanie sprawia wielu osobom problemy.

Dokładnie. Jako skarbonka z superbankomatem i karta do zakupow spełnia
pieknie swoje zadanie. Przyznasz jednak, ze nie jest to Twoje podstawowe
konto do wszystkich rodzajow przelewow (gaz, prad, telefon itd).

> Ale to wszystko sie moze zmienic radykalnie w grudniu, zalezy jakie beda
> nowe numery.

A dlaczego mieliby to zmienic? Sama zmiana numerow na inne (nawet zupelnie
inne, aby obecny numer nie mial nic wspolnego z przyszlym) wcale nie musi
oznaczac zmiany ID.

Waldek

do góry