witek <w...@g...pl> writes:

> tak zupełnie obocznie mi sie przypomnialo.
>
> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.

Bez haseł, jasne. Hasło to dość słabe zabezpieczenie. Natomiast loginy
(lub jakieś inne identyfikatory) są potrzebne, chociaż to już raczej
kwestia teorii baz danych niż bezpieczeństwa.
--
Krzysztof Hałasa

do góry

Dnia Sat, 30 Apr 2016 10:44:26 +0200, Imka napisał(a):
> Dnia Sat, 30 Apr 2016 00:15:16 +0200, J.F. napisał(a):
[...]
> Dobra, namówiłeś. Jak mi się skończą TANy to przejdę na SMS. Telefon na
> tyle nietypowy, że może nikomu nie będzie się chciało wirusa na niego
> produkować :)

Wcale nie namawiam. No chyba, ze w mbanku - tylko z powodu ceny :-)

>>> E? Cyfrowe tobym jeszcze rozumiała, ale słowne? To w ilu bankach trzeba
>>> mieć konta żeby zapomnieć? :)
>>
>> I w kazdym masz haslo Mika ? :-)
>
> Haseł/loginów do wszystkiego mam pewnie w sumie z kilkadziesiąt. Żadne
> hasło się nigdzie nie powtarza (no bez jaj!) i żadne nie jest tak durne
> (no bez jaj! #2 ;)
> A, i żadne nie jest nigdzie zapisane w żadnej postaci :)

I nie zapominasz ? Wyjatkowo mocna glowa :-)

>>>> A korzystac z banku "bez hasla nie oddamy pana pieniedzy" to bym sie
>>>> troche bal skorzystac :-)
>>> No, zawszeć możesz zaszczycić osobą własną jakiś oddział, wylegitymować
>>> się dowodem osobistym (sprawdzić czy jeszcze ważny! ;) i sobie zwrot
>>> kasy wynegocjować :)
>>
>> Jesli do oddzialu nie jest 200km to tak.
>
> Fakt, pisałam z perspektywy Grójeckiej DC, gdzie na odcinku stu metrów
> naliczyłam kiedyś osiem banków... nie licząc tych po drugiej stronie
> ulicy.

A hasla zapomnisz gdzies na wakacjach :-)

J.

do góry

Dnia Sat, 30 Apr 2016 09:40:59 +0200, Eneuel Leszek Ciszewski
> "witek" ng0deu$rh2$...@d...me
>> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
>> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.
>
> http://www.doogeemobile.com/homtom-ht10.html <-- zaglądanie do oczu
>
> Ale to nadal hasło. :)

Niezmienne i latwo kopiowalne w dodatku.
I z ryzykiem przechwycenia.



J.

do góry

"J.F." <j...@p...onet.pl> writes:

>> QR kod działa w praktyce bezproblemowo.
>
> Probowales z roznymi urzadzeniami, w roznych warunkach ?

Jasne.
Tzn. nie wykluczam, że mogą być takie, które kiepsko sobie radzą
(skanery generalnie).
Dla porównania, mam do czynienia także z kamerami video, w tym z takimi
analogowymi, PAL 576i. Niektóre bardzo kiepsko sobie radzą :-)

> Jak sam skanera nie pisales, to nie wiesz co zawiera :-)
> A jak chcesz sprawdzac, to mozesz i stos sprawdzic :-)
>
> No chyba, zeby kupic osobny modul z jakims prostym interfejsem.
> Ale przeciez jeszcze wyzsza warstwa programu moze byc wrazliwa - atak
> w stylu SQL Injection ...

Owszem, ale to także kwestia prawdopodobieństwa, oraz nakładu pracy.
Teoretycznie "odpowiedni" błąd może być wszędzie, tak się jednak składa,
że częściej one są w specyficznych miejscach.

> No ale komus trzeba w koncu ufac. Komu, jesli nie wlasnemu bankowi ?

Jak to było? Kontrola podstawą zaufania czy jakoś tak.
Jeśli nie potrzebujemy komuś ufać, to lepiej nie być do tego zmuszonym.
Bank sam w sobie (mury itd) nic złego nam nie zrobi. Osoby mogą.

>> Poza tym tablety, kioski bez dostępu do USB itd.
>
> Logowac sie do banku z nieznanego kiosku ? Hm ....

No wiem, ale praktyka jaka jest każdy widzi.
Poza tym, może być znany, np. bankowy (co nie znaczy, że można mu
bezgranicznie ufać).

> Token falszywy. Kradna ci token, ale podstawiaja falszywy.

Tak może być, ale to są inne reguły gry.
Zagrożeń jest więcej (bardziej prawdopodobnych): np. "wymuszenie
rozbójnicze".

> No, jest to jakas koncepcja prawna.
> Ale co - bank jest zawsze winny, a klient ma nieogranicza
> nieodpowiedzialnosc ?

Moim zdaniem rozsądna granica powinna być tam, gdzie kończy się wpływ
danej strony.
Np. bank decyduje, że dostęp do niego odbywa się przeglądarką
internetową i hasłami SMS - to niech odpowiada za przeglądarkę
i telefon z SMSami (oczywiście w granicach sensu, działanie klienta
w złej wierze itp. pomijam). Zawsze przecież może wyposażyć klienta
w te narzędzia :-)

Bank decyduje, że do autoryzacji potrzebny jest token i kanał QR,
to niech za to odpowiada. Przeglądarka z wirusem nie jest wtedy
problemem (pomijając ew. niewykonanie dyspozycji).

Bank decyduje, że jest otwarty system z podpisem cyfrowym, niech
odpowiada za realizację prawidłowo podpisanych zleceń. BTW realizowane
w praktyce, chociaż do bezpieczeństwa po stronie klienta można mieć
pewne "uwagi".

Bank decyduje, że wystarczy nazwisko panieńskie jako hasło, no cóż.
--
Krzysztof Hałasa

do góry

On 4/30/2016 4:58 AM, Krzysztof Halasa wrote:
> witek <w...@g...pl> writes:
>
>> tak zupełnie obocznie mi sie przypomnialo.
>>
>> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
>> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.
>
> Bez haseł, jasne. Hasło to dość słabe zabezpieczenie. Natomiast loginy
> (lub jakieś inne identyfikatory) są potrzebne, chociaż to już raczej
> kwestia teorii baz danych niż bezpieczeństwa.
>

no wlasnie nie.
calosc transmisji szyfrowana kluczami nadawcy i odbiorcy.
Po co ci login i haslo skoro nikt inny niz nadawca i odbiorca nie
potrafi odczytac informacji.


https://www.youtube.com/watch?v=0w6tZEbrHIY

Gosc na pare pytan nie potrafil mi odpowiedziec sensownie, ale w pewnych
punktach ma to sens.
Niestety na pytanie co zrobic w sytuacji gdy utracisz klucz prywatny lub
zostanie od jednak skradziony gosc uznal, ze mozesz sobie wowczas
strzelic w łeb. Trochę mało poważnie jak na jego pozycję.

do góry

Dnia Sat, 30 Apr 2016 12:12:26 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>> No, jest to jakas koncepcja prawna.
>> Ale co - bank jest zawsze winny, a klient ma nieogranicza
>> nieodpowiedzialnosc ?
>
> Moim zdaniem rozsądna granica powinna być tam, gdzie kończy się wpływ
> danej strony.

No to tak za murami banku koncza sie wplywy banku.
Z kolei klient tez nie panuje nad swoim komputerem.
Zostaje wielka "ziemia niczyja".

> Np. bank decyduje, że dostęp do niego odbywa się przeglądarką
> internetową i hasłami SMS - to niech odpowiada za przeglądarkę
> i telefon z SMSami

Konto z tabletem ? To juz bylo :-)

I calkowita blokada tabletu - tylko aplikacja bankowa :-)

> Bank decyduje, że do autoryzacji potrzebny jest token i kanał QR,
> to niech za to odpowiada. Przeglądarka z wirusem nie jest wtedy
> problemem (pomijając ew. niewykonanie dyspozycji).

No ale bank zdecydowal ze wystarczy haslo SMS.
I uwaza, ze wirus na telefonie nie jest problemem - to wina klienta
:-)

> Bank decyduje, że jest otwarty system z podpisem cyfrowym, niech
> odpowiada za realizację prawidłowo podpisanych zleceń. BTW realizowane
> w praktyce, chociaż do bezpieczeństwa po stronie klienta można mieć
> pewne "uwagi".

Moment - bank przeciez realizuje podpisane zlecenia, a potem klient
mowi, ze nie podpisal :-)

> Bank decyduje, że wystarczy nazwisko panieńskie jako hasło, no cóż.

Ostatnio mnie bank prosil o dwa dokumenty ze zdjeciem.
No to dostal ... ale co z osobami, ktore nie maja ani PJ, ani
paszportu, ani legitymacji sluzbowej ?

J.

do góry

Dnia Sat, 30 Apr 2016 11:58:24 +0200, Krzysztof Halasa napisał(a):
> witek <w...@g...pl> writes:
>> tak zupełnie obocznie mi sie przypomnialo.
>>
>> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
>> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.
>
> Bez haseł, jasne. Hasło to dość słabe zabezpieczenie.

Hm, a czym chcesz haslo zastapic ?
Pinem do tokena ?

J.

do góry

On 4/30/2016 9:28 AM, J.F. wrote:
> Dnia Sat, 30 Apr 2016 11:58:24 +0200, Krzysztof Halasa napisał(a):
>> witek <w...@g...pl> writes:
>>> tak zupełnie obocznie mi sie przypomnialo.
>>>
>>> Wyobrazacie sobie bezpieczny internet bez loginów i haseł?
>>> Wliczając w to dostęp do bankowosci rowniez bez loginów i haseł.
>>
>> Bez haseł, jasne. Hasło to dość słabe zabezpieczenie.
>
> Hm, a czym chcesz haslo zastapic ?
> Pinem do tokena ?


napisalem w poscie powyzej

kluczami kryptograficznymi nadawcy i odbiorcy.
Nikt po za nimi nie bedzie wstanie tego przeczytac.


https://www.youtube.com/watch?v=0w6tZEbrHIY

mam spore zastrzezenia do gościa, ale pomysł jest.

do góry

"J.F." 3...@4...net

>> http://www.doogeemobile.com/homtom-ht10.html <-- zaglądanie do oczu

>> Ale to nadal hasło. :)

> Niezmienne i latwo kopiowalne w dodatku.
> I z ryzykiem przechwycenia.

I uniwersalne -- to samo do każdej karty, każdego portalu, każdego koNta...

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry

"witek" ng2eek$a3s$...@d...me

> calosc transmisji szyfrowana kluczami nadawcy i odbiorcy.

To coś na kształt permanentnego hasła.

--
.`'.-. ._. http://eneuel.w.duna.pl .-. Zzzzz |\ _,,,--,,_
.'O`-' ., ; o.' http://danutac.eu '.O_' /,`.-'`' ._ \-;;,_
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., |,4- ) )_ .;.( `'-'
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... '---''(_/._)-'(_\_)

do góry