Wojciech Nawara <u...@n...WYTNIJ.info> writes:

> Wiemy w sensie:
> zaCLIRowane połączenie
> - dzień dobry, janina kolwalska, czy rozmawiam z panem janem nowakiem?
> - przy telefonie
> - dzwonię z inteligo, czy ma pan czas na chwilę rozmowy?
> - tak
> - pozwoli pan, że w celu weryfikacji zadam panu parę pytań:
> (i tu jak opisałem wcześniej)

Czyli czlowiek nie ma zielonego pojecia kto do niego dzwonic.
Wystarczy ze ktos wie ze dana osoba uzywa Inteligo i zna jej numer
telefonu.

>>>W gruncie rzeczy żadne to tajemnice, ale faktem, że
>> ... te dane wystarcza do identyfikacji klienta (gdy to on dzwoni),
>> a wiec robia jako jakies tam haslo. Klient ma podawac haslo kazdemu
>> kto zadzwoni?
>
> Musi się prócz tego zalogować.

A jak zapomni hasla?

> Mówię - specyficzne. Z drugiej strony - jak to rozwiązać? Jeśli będą
> gadać z każdym, kto odbierze telefon, to też będzie źle...

Ale zdecydowanie mniej zle.

Najlepiej zrobic to tak, by bez szczegolnej potrzeby bank i jego klient
w ogole nie potrzebowali miec pewnosci co do tozsamosci drugiej strony.
W szczegolnosci telefon w stylu "Czy moge rozmawiac z XX? Mowi YY z banku
ZZ, czy przeprowadzal pan dzis transakcje na kwote jakastam?" wydaje
sie byc wzglednie bezpieczny:

- jesli odbierze ktos inny niz klient, to zapewne nie potwierdzi
tozsamosci, a nawet jesli, to co najwyzej dowie sie jaka byla wartosc
transakcji - zdecydowanie mniejsze szkody niz przy innych scenariuszach.

- jesli to bedzie zlodziej, ktory ukradl telefon i karte, i wie ze to
moze dzwonic bank (= najgorszy przypadek), to najwyzej bank nie
stwierdzi od razy kradziezy karty. Dokladnie tak samo bedzie
w wiekszosci przypadkow innych kradziezy, gdy bank w ogole nie dzwoni
(bo nie podejrzewa), gdy nie moze sie dodzwonic itd - takze zdecydowanie
mniejsze szkody.

- dla klienta banku potwierdzenie czy wlasnie przeprowadzil jakas
transakcje nie jest takze specjalnym zagrozeniem - jesli ktos dzwoni,
to raczej o transakcji juz wie.


A jesli jest potrzebna identyfikacja, to _przede_wszystkim_ tej strony
ktora dzwoni. Pozniej ew. w druga strone. Jesli bank wymaga podania
niedostepnych normalnie danych, i nie jest w stanie spowodowac, by
klient mial pewnosc co do sytuacji, to niech wysle pismo albo swojego
pracownika, ew. niech klient oddzwoni na znany sobie numer. Ale rozumiem
ze to raz na 5 lat takie cos moze sie zdazyc, w kazdym razie na pewno
nie w zwiazku z jakas tam "podejrzana" transakcja.
--
Krzysztof Halasa