Michał 'Amra' Macierzyński napisał(a):
>
> Bank BPH w drugiej połowie lipca br. zaproponuje klientom korzystającym
> z internetowego dostępu do kont osobistych zmodyfikowany sposób
> logowania się do Systemu Internetowego Sez@m.
> http://banki.prnews.pl/index.php/display,12798
>

Ciekawi mnie tylko kto bedzie płacił za SMS, ja czy bank?

--
Marcin Gondek
http://fido.e-utp.net

do góry

Michał 'Amra' Macierzyński napisał(a):

> Bank BPH w drugiej połowie lipca br. zaproponuje klientom korzystającym z
> internetowego dostępu do kont osobistych zmodyfikowany sposób logowania się
> do Systemu Internetowego Sez@m.
> http://banki.prnews.pl/index.php/display,12798

A ja głupi sobie czytnik linii papilarnych zamówiłem ;)


--
Markus Sprungk msprungk(at)post(KROPKA)pl
ICQ: 79050392 m...@g...com
Tlen: msprungk
GG: 1447098

do góry

Dnia Fri, 15 Jul 2005 16:37:08 +0200, mm napisał(a):
> Michał 'Amra' Macierzyński <m...@p...pl> wrote:

>> Jacek Osiecki wrote:
>>> Trąbią o tym od prawie miesiąca... Wprowadziliby zamiast gadać ;P

>> http://www.bph.pl/pl/kanaly_elektroniczne/aktualnosc
i/content_news_14231

> Naprawili by lepiej te głupoty które pokazuje sez@am..... :) No chyba, ze po
> tym wdrożeniu już zupełnie zgłupieje :)

Abstrahując od błędów synchronizacji - bardzo dziwne, że w BPH absolutnie
niczym nie jest zabezpieczone tworzenie i modyfikacja przelewów
zdefiniowanych... Tak więc złodziej wcale nie musi zdobywać naszego klucza -
wystarczy że ma hasło potrzebne do wejścia do systemu, poobserwuje gdzie i
kiedy są robione większe przelewy (np. na kartę kredytową) i w odpowiednim
momencie zmieni numer konta :-/

> Koszt wdrożenia pewnie wysoki, wiec pewnie trzeba sie szykować na koniec
> promocji i opłatę 3zł/mc :)

Biorąc pod uwagę że będzie to "powrót do źródeł"... to całkiem możliwe :>

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki napisał(a):
> Abstrahując od błędów synchronizacji - bardzo dziwne, że w BPH absolutnie
> niczym nie jest zabezpieczone tworzenie i modyfikacja przelewów
> zdefiniowanych... Tak więc złodziej wcale nie musi zdobywać naszego klucza -
> wystarczy że ma hasło potrzebne do wejścia do systemu, poobserwuje gdzie i
> kiedy są robione większe przelewy (np. na kartę kredytową) i w odpowiednim
> momencie zmieni numer konta :-/

Sama modyfikacja nie wymaga autoryzacji, natomiast każde _wykonanie_
jest autoryzowane kluczem.

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

> > kiedy są robione większe przelewy (np. na kartę kredytową) i w
odpowiednim
> > momencie zmieni numer konta :-/
>
> Sama modyfikacja nie wymaga autoryzacji, natomiast każde _wykonanie_
> jest autoryzowane kluczem.


Jackowi chodzi o to że nie wszyscy ludzie sprawdzają po raz n-ty poprawnosci
rachunku zwłaszcza jezeli "sami" go zdefiniowali

pozd
Adam

do góry

Użytkownik "Audyt IT" <g...@w...pl> napisał w wiadomości
news:db8kb4$4mk$2@srv.cyf-kr.edu.pl...
> A jak ten klucz się ma używać ?
>
Który klucz jak ma się używać. Bo akurat pisałem o dwóch. jednym
przechowywanym lokalnie, a drugim przechowywanym w repozytorium banku.

do góry

Adam S. napisał(a):
> Jackowi chodzi o to że nie wszyscy ludzie sprawdzają po raz n-ty poprawnosci
> rachunku zwłaszcza jezeli "sami" go zdefiniowali

Racja, nie bronię tutaj sez@ma, ale ja wolę sprawdzić tak czy inaczej co
podpisuję, tym bardziej że zdefiniowanych mam kilku (zapewne przy nastu
lub dziesięciu staje się to zdecydowanie trudniejsze).

--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

> Racja, nie bronię tutaj sez@ma, ale ja wolę sprawdzić tak czy inaczej co
> podpisuję, tym bardziej że zdefiniowanych mam kilku (zapewne przy nastu
> lub dziesięciu staje się to zdecydowanie trudniejsze).
>

Nie wszyscy sa tacy przezorni :(

Adam

do góry

Dnia Fri, 15 Jul 2005 20:56:01 +0200, Marcin Nowakowski napisał(a):
> Jacek Osiecki napisał(a):
>> Abstrahując od błędów synchronizacji - bardzo dziwne, że w BPH absolutnie
>> niczym nie jest zabezpieczone tworzenie i modyfikacja przelewów
>> zdefiniowanych... Tak więc złodziej wcale nie musi zdobywać naszego klucza -
>> wystarczy że ma hasło potrzebne do wejścia do systemu, poobserwuje gdzie i
>> kiedy są robione większe przelewy (np. na kartę kredytową) i w odpowiednim
>> momencie zmieni numer konta :-/

> Sama modyfikacja nie wymaga autoryzacji, natomiast każde _wykonanie_
> jest autoryzowane kluczem.

No i co z tego? Nie każdy zna na pamięć kilkanaście numerów kont...
Zdecydowanie taka czynność jak ustalanie kontrahentów i przelewów
zdefiniowanych powinna być dodatkowo zabezpieczona - i praktycznie w każdym
banku jest... poza BPH :-E

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Sat, 16 Jul 2005 06:24:59 +0000 (UTC),
osoba podpisana: Jacek Osiecki <j...@c...pl>
napisała:
[...]

> Zdecydowanie taka czynność jak ustalanie kontrahentów i przelewów
> zdefiniowanych powinna być dodatkowo zabezpieczona - i praktycznie w każdym
> banku jest... poza BPH :-E
ING też pewnego pięknego dnia tak "poprawiło" bezpieczeństwo. Ciekawy
jestem, nawiasem mówiąc, dlacego.

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/#f4y
EMACS = Eight Megabytes And Constantly Swapping

do góry