Witam grupe

Niedawno mialem okazje porownac pod wzgledem bezpieczenstwa dostepu przez
Internet Pekao24 i mBank. Zdziwila mnie przy tym calkowita bezmyslnosc osob
odpowiedzialnych za stworzenie interfejsu w Pekao24.

W obu przypadkach (Pekao24 i mBank) zeby sie dostac do interfejsu internetowego
trzeba podac numer klienta i haslo (mBank) lub PIN (Pekao24). I tu sie
zaczynaja schody, bo:

PIN w Pekao24 jest 4-cyfrowy, ustalany przez bank i niemozliwy do zmiany przez
uzytkownika. To rodzi niebezpieczenstwa:
- PIN jest trudniejszy do zapamietania niz haslo
- niemozliwosc zmiany PIN i jego dlugosc powoduja, ze latwiej moze sie on
dostac w niepowolane rece niz haslo.

W mBanku zamiast PINu mamy haslo, ktorego dlugosc jest wieksza niz w przypadku
PINu i ktore moze byc zmieniane przez uzytkownika.


Druga sprawa: w obu przypadkach wykonywanie niestandardowych operacji wymaga
podania kodu z karty kodow jednorazowych. W mBanku system pyta o podanie
kolejnych kodow z aktywnej karty. Umozliwia to zapisanie sobie gdzies
niewielkiej ilosci niewykorzystanych kodow i wpakowanie calej karty kodow do
sejfu. Tym samym straty w przypadku ujawnienia tylko kilku nastepnych kodow
moga byc mniejsze niz w przypadku ujawnienia calej karty. Nie mozna tez
zapominac, ze kilka kodow moge miec zapisane gdziekolwiek, natomiast cala karta
kodow wyglada bezsprzecznie jak karta kodow.


Tymczasem w Pekao ktos "pomyslal" i ten system pyta o losowe kody z karty
kodow. Nie wiem po co to jest, ale zmusza to uzytkownika do taszczenia ze soba
wszedzie calej karty kodow (no bo nigdy nie wie, o ktory kod system go zapyta).


W tym wszystkim najbardziej zdumiewa mnie jedna rzecz: gdy Pekao24 zostalo
uruchomione mBank funkcjonowal juz od dawna.

Prawde mowiac, dziwi mnie, ze specjalisci z Pekao24 nie potrafia sie uczyc z
rynku. A moze po prostu oni maja problemy z mysleniem jesli chodzi o
bezpieczenstwo klienta? Ciekawi mnie, co myslicie na ten temat? Czy to ja
jestem skrzywiony i mam jakies wygorowane oczekiwania, czy tez swiat jest pelen
ignorantow, ktorzy robia cos po prostu zeby zrobic cokolwiek?

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> - PIN jest trudniejszy do zapamietania niz haslo

Jak to? 4-ro cyfrowy PIN jest trudniejszy do zapamiętania niż hasło?
Przecież to zależy tylko od Ciebie jakie ustalisz hasło. Jak będzie to np.
H*t_US5d to chyba takie hasło JEST trudniejsze do zapamiętania niż 4
cyferki?

Coś chyba na początku namieszałeś z tym PIN-em, ale z resztą wypowiedzi się
zgadzam :)

Tak w ogóle to szkoda, że tak mało banków internetowych zabezpiecza dostęp
Tokenem. Uważam, że to jest najbezpieczniejsza forma i najbardziej
praktyczna.

Pozdrawiam
darsoon

do góry

<ciach>
>
> W obu przypadkach (Pekao24 i mBank) zeby sie dostac do interfejsu
internetowego
> trzeba podac numer klienta i haslo (mBank) lub PIN (Pekao24). I tu sie
> zaczynaja schody, bo:
>
> PIN w Pekao24 jest 4-cyfrowy, ustalany przez bank i niemozliwy do zmiany
przez
> uzytkownika. To rodzi niebezpieczenstwa:
> - PIN jest trudniejszy do zapamietania niz haslo
> - niemozliwosc zmiany PIN i jego dlugosc powoduja, ze latwiej moze sie on
> dostac w niepowolane rece niz haslo.

----- PIN - niemozliwy do zmiany???? chlopie...a przejrzales dokladnie
serwis internetowy???- czy to zbyt trudne???? bo ja zmienilam PIN od razu
jak tylko dostalam mozliwosc korzystania z serwisu i moge to zrobic pewno
jeszcze z tysiac razy....
zanim zaczniesz wydawac ocene - sprawdz 100000 x...... -----------


>
> Tymczasem w Pekao ktos "pomyslal" i ten system pyta o losowe kody z karty
> kodow. Nie wiem po co to jest, ale zmusza to uzytkownika do taszczenia ze
soba
> wszedzie calej karty kodow (no bo nigdy nie wie, o ktory kod system go
zapyta).

---- no coz.. masz racje... taaaaaaka ciezka ta karta ze chyba zakupie
specjalny plecak (taki ze stelazem;-) do noszenia jej.... ----------------


pomyslnosci z umiejetnosciami korzystania pekao24 ... ;-)))
pozdr
mk

do góry

> Druga sprawa: w obu przypadkach wykonywanie niestandardowych operacji
wymaga
> podania kodu z karty kodow jednorazowych. W mBanku system pyta o podanie
> kolejnych kodow z aktywnej karty. Umozliwia to zapisanie sobie gdzies
> niewielkiej ilosci niewykorzystanych kodow i wpakowanie calej karty kodow
do
> sejfu. Tym samym straty w przypadku ujawnienia tylko kilku nastepnych
kodow
> moga byc mniejsze niz w przypadku ujawnienia calej karty. Nie mozna tez
> zapominac, ze kilka kodow moge miec zapisane gdziekolwiek, natomiast cala
karta
> kodow wyglada bezsprzecznie jak karta kodow.

Nie widziałem karty kodów z Pekao, ale:
1. Wolę losowo wybierane kody. Załóżmy, że w mBanku ktoś podejrzał moje
hasło i przez ramię sprawdził, który kod wklepuję. Wystarczy zapamiętac
następny kod, żeby mnie pozbawić kasy (mamy komplet potrzebnych do tego
informacji).

2. Jeśli karta z Pekao jest zdrapką tak jak Inteligo, to bezpieczeństwo jest
tu znacznie większe niż w mBanku.

MaciejK

do góry

Użytkownik "Maciek Kycler" <m...@p...onet.pl> napisał w wiadomości
news:bntjka$qqg$1@news.onet.pl...
>
> Nie widziałem karty kodów z Pekao, ale:
> 1. Wolę losowo wybierane kody. Załóżmy, że w mBanku ktoś podejrzał moje
> hasło i przez ramię sprawdził, który kod wklepuję. Wystarczy zapamiętac
> następny kod, żeby mnie pozbawić kasy (mamy komplet potrzebnych do tego
> informacji).

Nic nie da - kolejność kodów z kartki wybierana jest losowo. Nie jest to
jednak zdrapka.

Kuba

do góry

Użytkownik "XYZ" <x...@p...pl> napisał w wiadomości
news:3fa2582c$1@news.home.net.pl...
>
> Użytkownik "Maciek Kycler" <m...@p...onet.pl> napisał w wiadomości
> news:bntjka$qqg$1@news.onet.pl...
> >
> > Nie widziałem karty kodów z Pekao, ale:
> > 1. Wolę losowo wybierane kody. Załóżmy, że w mBanku ktoś podejrzał moje
> > hasło i przez ramię sprawdził, który kod wklepuję. Wystarczy zapamiętac
> > następny kod, żeby mnie pozbawić kasy (mamy komplet potrzebnych do tego
> > informacji).
>
> Nic nie da - kolejność kodów z kartki wybierana jest losowo. Nie jest to
> jednak zdrapka.


to ciekawe bo u mnie jak na razie 'losuje' kody po kolei...

m.

do góry

> Jak to? 4-ro cyfrowy PIN jest trudniejszy do zapamiętania niż hasło?
> Przecież to zależy tylko od Ciebie jakie ustalisz hasło. Jak będzie to np.
> H*t_US5d to chyba takie hasło JEST trudniejsze do zapamiętania niż 4
> cyferki?


uwierz mi że można wymyślić hasło typu mftitsspn7 i jest ono banalne do
zapamiętania bo to tylko 1-sze litery od słów
maja fruwa tu i tam swiat swoj pokazujac nam - a 7 dlatego że miałem 7 lat
gdy mnie ta bajka fascynowała - i już masz hasło które dla kogoś z boku
wygląda na totalnie trudny do zapamiętania ciąg liter a dla Ciebie jest
banalne

natomiast 4 cyfry obcego mi pinu są trudniejsze do zapamiętania - za to
łatwiejsze do złamania czyli bez sensu bo większym wysiłkiem osiągasz
mniejsze bezpieczeństwo

> Tak w ogóle to szkoda, że tak mało banków internetowych zabezpiecza dostęp
> Tokenem. Uważam, że to jest najbezpieczniejsza forma i najbardziej
> praktyczna.

bardzo praktyczna - szczególnie jeśli ci sie token rozsynchronizuje i
będziesz czekał kilka dni zanim Ci go wymienią - to ja wolę liste haseł z
mbanku, tania, prosta skuteczna
nic więcej mi nie potrzeba

a pomysł z losowaniem hasła to rzeczywiście jakiś "inteligent" musiał
wymyślić - skoro już złodziej znalazłby listę haseł to odczytanie
odpowiedniego chyba nie będzie stanowiło problemu

do góry

> uwierz mi że można wymyślić hasło typu mftitsspn7 i jest ono banalne do
> zapamiętania bo to tylko 1-sze litery od słów
> maja fruwa tu i tam swiat swoj pokazujac nam - a 7 dlatego że miałem 7 lat
> gdy mnie ta bajka fascynowała - i już masz hasło które dla kogoś z boku
> wygląda na totalnie trudny do zapamiętania ciąg liter a dla Ciebie jest
> banalne

Faktycznie, nie pomyślałem o tym. Zawsze wymyslam hasła losowo pisząc cyfry,
litery i znaki specjalne.

> bardzo praktyczna - szczególnie jeśli ci sie token rozsynchronizuje i
> będziesz czekał kilka dni zanim Ci go wymienią

Używam od ok. 2 lat i na szczęście jeszcze mi się to nie przytrafiło... tfu,
tfu...
Zresztą nie będę się już na ten temat rozpisywał bo nie o to chodziło w tym
wątku.

do góry

> Przecież to zależy tylko od Ciebie jakie ustalisz hasło. Jak będzie to np.
> H*t_US5d to chyba takie hasło JEST trudniejsze do zapamiętania niż 4
> cyferki?

Te twoje "H*t_US5d" kojarzy mi się z "Hot - USD 5 zł".
TO KOSZMAR !!!

Nigdy nie zapomnę tego hasła!!!

--
Foqa

do góry

> natomiast 4 cyfry obcego mi pinu są trudniejsze do zapamiętania - za to
> łatwiejsze do złamania czyli bez sensu bo większym wysiłkiem osiągasz
> mniejsze bezpieczeństwo

4 cyfry można łatwo zapamiętać, jeżeli np. jest to wiek twojej narzeczonej
!!!

--
Foqa

do góry