-
11. Data: 2008-04-10 17:02:52
Temat: Re: Obniżenie bezpieczeństwa przez ING
Od: Krzysztof Halasa <k...@p...waw.pl>
Sebastian <n...@n...com> writes:
> zmniejszenie zabezpieczeń -> wzrost włamań i reklamacji
> Ciągle obstaje przy tym, że nie ma 100% szczelnych systemów, można
> tylko regulować strumień, którym pieniądze wyciekają.
Nie o to chodzi, teoretycznie mozna miec 100% szczelny system.
W praktyce sie tego nie robi, bo to nieekonomiczne, wystarczy taki,
gdzie koszty beda (odpowiednio) wyzsze niz ew. "zyski".
Tu taka zaleznosc nie bylaby spelniona.
--
Krzysztof Halasa
-
12. Data: 2008-04-10 20:43:34
Temat: Re: Obniżenie bezpieczeństwa przez ING
Od: "Dariusz Młyński" <m...@p...pl>
> Po pierwsze ktoś musi wykraść login + hasło, a później pierwsza
> transakcja z autoryzacją spowoduje alarm użytkownika. W sumie nie
jest
> tak tragicznie. Jak dotąd nie wymyślono 100% zabezpieczeń. Może
wliczono
> w koszta np. bardziej elastyczną politykę reklamacji i dodatkowo
system
> dba żeby niezależnie od warunków duże kwoty zawsze były
autoryzowane.
>
Tylko jedno ale. Przelew może być wykonany z komputera właściciela
konta.
Przy autoryzacji będą podane wszystkie wymagane regulaminem przez bank
dane do poprawnej
autoryzacji (login i hasło) i to klient będzie musiał udowadniać, że
przelewu nie zlecił.
Więc bank nie uzna takiej reklamacji.
A, że bank obniżył poziom bezpieczeństwa nie wymagając autoryzacji
przy niektórych transakcjach
to nie będzie się liczyło.
I wszystko byłoby ok. gdyby dotyczyło to tylko nowych użytkowników.
Oni podpisując umowę zgadzają się
na sposób autoryzacji przelewów. Ale tak istotna zmiana w stosunku do
starych użytkowników powinna
być wykonana za ich zgodą.
Weźmy inny przykład z działki bankowej. Zakładamy konto do którego
mają dostęp 4 osoby.
Składamy dyspozycję, że wypłaty z konta mogą być wykonywane tylko i
wyłącznie jeżeli
na zleceniu wypłaty widnieją podpisy 2 z 4 osób uprawnionych (czyli
login,hasło + podpis elektroniczny)
No i pewnego dnia bank radośnie informuje użytkowników, że dla ich
wygody wprowadza zasadę iż
zlecenie wypłaty może podpisać tylko 1 z 4 uprawionych osób (czyli
login + hasło)
Przy okazji zmienia regulamin w którym zapisuje, że teraz do wypłaty
pieniędzy wymagany jest jeden i tylko jeden podpis.
Byłoby to jawne złamanie umowy jaka była zawarta przy zakładaniu
konta.
W przypadku zmiany sposobu autoryzacji przelewów elektronicznych jest
dokładnie tak samo.
Umawialiśmy się z bankiem na jeżdżenie czerwonym samochodem z trąbką.
A bank po jakimś czasie mówi nam,
że czerwony jest niemodny a trąbka hałasuje i daje nam zielony
samochód bez trąbki.
Oczywiście możemy zagłosować nogami ale nie o to chodzi.
-
13. Data: 2008-04-11 05:52:58
Temat: Re: Obniżenie bezpieczeństwa przez ING
Od: Andrzej Kłos <a...@w...pl>
Dariusz Młyński napisał(a):
> I wszystko byłoby ok. gdyby dotyczyło to tylko nowych użytkowników.
> Oni podpisując umowę zgadzają się
> na sposób autoryzacji przelewów. Ale tak istotna zmiana w stosunku do
> starych użytkowników powinna
> być wykonana za ich zgodą.
a dlaczego myślisz, że stary nie musi się na to wyrazić zgody?
"Informujemy, że w związku z wdrożeniem nowej wersji systemu bankowości
internetowej Użytkownicy ING BankOnLine zobowiązani są do zmiany metody
autoryzacji do dnia 18.05.2008 r."
"Nie czekaj! Zmień metodę już teraz (Ustawienia / Zmiana metody
autoryzacji)"
"Równocześnie informujemy, że zgodnie z obowiązującymi regulacjami Bank
zastrzega sobie możliwość wprowadzenia dodatkowych ograniczeń. W
praktyce może to oznaczać, że Użytkownicy korzystający z dotychczasowej
metody autoryzacji w systemie ING BankOnLine będą mieli ograniczony
dostęp do określonej funkcjonalności systemu."
czyli: albo wyrazisz zgodę i masz, albo nie wyrazisz zgody i nie masz.
andy_nek
-
14. Data: 2008-04-11 14:54:28
Temat: Re: Obniżenie bezpieczeństwa przez ING
Od: "Dariusz Młyński" <m...@p...pl>
>Informujemy, że w związku z wdrożeniem nowej wersji systemu
bankowości
>internetowej Użytkownicy ING BankOnLine zobowiązani są do zmiany
metody
>autoryzacji do dnia 18.05.2008 r."
Zwróc uwagę na słwo "zobowiązani" czyli zmuszeni
A jeżeli nie chcą to wyłacza sie im usługe.
A ja podpisałem umowę na usługe swiadczoną na okreslonych warunkach.
> "Równocześnie informujemy, że zgodnie z obowiązującymi regulacjami
Bank
> zastrzega sobie możliwość wprowadzenia dodatkowych ograniczeń. W
> praktyce może to oznaczać, że Użytkownicy korzystający z
dotychczasowej
> metody autoryzacji w systemie ING BankOnLine będą mieli ograniczony
> dostęp do określonej funkcjonalności systemu."
>
> czyli: albo wyrazisz zgodę i masz, albo nie wyrazisz zgody i nie
masz.
>
Tyle, że brak autoryzacji nie jest ograniczeniem a raczej ułatwieniem.