eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiING Bank Slaski i ich "bezpieczny" systemRe: ING Bank Slaski i ich "bezpieczny" system
« poprzedni post
następny post »
  • Data: 2008-03-09 11:38:04
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    krzysztofsf napisał(a):

    > Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
    > jaki sposob byly autoryzowane?
    > Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
    > autoryzowana sms, a tamta tylko przycisnieciem OK?

    Nawet jeśli zachowuje, to i tak jest to mało pocieszające. Bo nawet jeśli
    byś zakwestionował transakcję, która nie wymagała dodatkowej autoryzacji,
    to i tak udowodnij, że to nie ty zalogowałeś się do systemu i ją
    wykonałeś. Zdaję sobie sprawę, że odgadnięcie czyjegoś hasła jest mało
    prawdopodobne, ale i tak uważam, że obecne rozwiązanie stwarza pole do
    popisu dla przekrętów. Opisywałem to już wielokrotnie i nie będę się
    powtarzał, ale chcę podkreślić, że wprowadzone rozwiązanie jest dalece
    niedoskonałe. Nie przekonują mnie bowiem jakieś tam slogany, że algorytm
    poddaje każdą transakcję wnikliwej analizie. Jaka analiza do ciężkiej
    cholery? Robię po raz pierwszy przelew na dany rachunek i jest on
    puszczany bez autoryzacji. Czy to jest normalne? Nie, to jest chore!

    Więc jeszcze raz. Gdyby wszystkie przelewy wymagały autoryzacji, to samo
    poznanie przez potencjalnego hakera hasła nie stwarza wielkiego
    zagrożenia, bo właściciel konta musiałby jeszcze na dodatek zostawić w tym
    miejscu telefon, kartę kodów jednorazowych, token czy cokolwiek innego, co
    stanowiło by dodatkowy element potrzebny do autoryzowania transakcji. W
    tej chwili użytkownik naraża się na niebezpieczeństwo jedynie korzystając
    z komputera w obcym miejscu.

    Wiem, że hasło jest wklepywane fragmentarycznie i potrzeba byłoby kilku
    wizyt by osoba szpiegująca weszła w posiadanie kompletnego hasła. Może i
    jest to mało prawdopodobne, ale nie jest niemożliwe. Ktoś powie, że jest
    klawiatura ekranowa. No jest. I co z tego? Wygodniej jest wklepywać z
    normalnej klawiatury.

    Tak więc uważam, że w tej chwili całą odpowiedzialność za bezpieczeństwo
    przerzucono na użytkownika. Nie twierdzę, że ów użytkownik powinien być
    zwolniony z myślenia, ostrożności, odpowiedzialności, itp., ale bank, w
    trosce o bezpieczeństwo swoich klientów, powinien przede wszystkim zadbać
    o to aby jego klienci mogli czuć się bezpiecznie. W tej chwili uważam, że
    tak nie jest.

    --
    Pozdrawiam
    chairon

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy