Użytkownik "A_Zet" <a...@p...onet.pl> napisał w wiadomości
news:cekinv4u4scqcbjukgfm609ffvr7t4qvul@4ax.com...
> Dnia Tue, 30 Sep 2003 11:05:41 +0200, "bwwald" <b...@p...onet.pl>
> napisał(a):
> >Moze blednych prob maja wiecej, ale raczej blokada w koncu powinna byc.
> >Gdyby nie blokowali po ilus tam razach blednych logowan, to hak bylby
> >jeszcze lepszy. W koncu istnieje niezerowe prawdopodobienstwo,
szczegolnie
> >dla kanalu telefonicznego, ze sie w koncu trafi na wlasciwe cyfry.
>
> Moze dla telefonicznego tak, nie wiem w ogole jakie sa tam zasady, czy
> identyczne jak na internetowym. Bo jesli identyczne, to naprawde nie
> wiem, w czym jest problem by nie blokowac w ogole.

W tym, że aby poznać całe haslo wystarczy srednio ok 1000 prob na bezplatny
dla klienta a platny dla banku numer telefonu.
Nie pamietam juz dokladnie, czy jesli podam haslo w automacie, to po
polaczeniu z konsultantem musze sie "legitymowac", ale jesli bym nie musial
(tak jak np w mBanku), to mozna u konsultanta zrobic prawie wszystko.

> >> I Twoje przypuszczenie o haku jest przedwczesne jakby...
> >
> >Jak napisalem powyzej, przy braku blokady "hak" bylby jeszcze
powazniejszy.
> >A jesli sie z tym nie zgadzasz, to podaj publicznie numer swojego
rachunku,
> >lub chociaz te 7 srodkowych cyfr ;) Obiecuje, ze nie bede bawil sie w
> >zablokowanie Tobie kanalu, ale nie recze, ze znajda sie inni amatorzy
> >kawalow. :-)
>
> No nie, Twoja propozycja w swietle wlasnego stwierdzenia bedacego
> cytatem, ze blokuja po trzecim razie jest malo sensowna. :-)))

Rozumiem :-)

> Ja tylko po prostu nie rozumiem sensu blokowania samego loginu (o czym
> nizej), bo haslo sklada sie z dwoch czlonow - stalego (wlasnego) i
> zmiennego (tokena). Jest fizycznym nieprawdopodobienstwem, by trafic
> nawet przy wielomilionowej probie na wlasciwe haslo. Poza obciazaniem
> kanalu zadnej wiekszej krzywdy ani bankowi, ani klientom, zrobic nie
> mozna.

Dokladnie mam takie samo zdanie, z tym, ze jakies prawdopodobienstwo wlamu
jednak istnieje.
Zreszta np. w lukasie mamy to samo, przy czym teoretycznie nikt nie powinien
znac loginu, oprocz wlasciciela konta.

> W sumie nadal utrzymuje, ze wedlug mnie bez sensu jest blokowanie
> kanalu przy czwartej, kolejnej mylnej probie. I ze to zaden hak, a
> samo blokowanie sluzy raczej wygodzie banku (wlasnie nie obciazanie
> kanalu a nie zadne wlamanie - bo metoda brutal force jest praktycznie
> niemozliwa przy dynamicznej zmianie hasla).

Dla kanalu internetowego w VW jest hakiem w tym wzgledzie, ze mozna duzo
latwiej zablokowac kanal internetowy znajac tylko numer rachunku (gdyby nie
było blokady nie byłoby haka). Dla kanalu telefonicznego oprocz łatwej
blokady dodatkowo dochodzi jeszcze latwiejsze poznanie hasla dla konkretnej
osoby, bo ID juz mamy znajac sam tylko numer rachunku.

Waldek