Re: ING Bank Slaski i ich "bezpieczny" system - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › ING Bank Slaski i ich "bezpieczny" system › Re: ING Bank Slaski i ich "bezpieczny" system

Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.gazeta.pl!feed.news.interia.pl!
not-for-mail
From: "chairon" <c...@i...SKASUJ-TO.pl>
Newsgroups: pl.biznes.banki
Subject: Re: ING Bank Slaski i ich "bezpieczny" system
Date: Sun, 9 Mar 2008 12:38:04 +0100
Organization: INTERIA.PL S.A.
Lines: 44
Message-ID: <fr0i4s$2g1$1@news.interia.pl>
References: <fqri2q$m9m$1@news.onet.pl> <fqtjce$kcr$1@news.interia.pl>
<s...@g...mierzwiak.com>
<fqtrv2$3c0$1@news.interia.pl>
<s...@g...mierzwiak.com>
<fqtt1m$4ub$1@news.interia.pl>
<s...@g...mierzwiak.com>
<6...@f...googlegroups.com>
<s...@g...mierzwiak.com>
<2...@v...googlegroups.com>
<s...@g...mierzwiak.com>
<4...@e...googlegroups.com>
<s...@g...mierzwiak.com>
<4...@b...googlegroups.com>
<s...@g...mierzwiak.com>
<8...@n...googlegroups.com>
<s...@g...mierzwiak.com>
<d...@n...googlegroups.com>
NNTP-Posting-Host: w98.itcomp.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: news.interia.pl 1205062620 2561 80.51.161.98 (9 Mar 2008 11:37:00 GMT)
X-Complaints-To: u...@n...interia.pl
NNTP-Posting-Date: Sun, 9 Mar 2008 11:37:00 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
X-Newsreader: Microsoft Outlook Express 6.00.2800.1409
X-Priority: 3
X-Authenticated-User: chairon % interia+pl
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.biznes.banki:440557
[ ukryj nagłówki ]
krzysztofsf napisał(a):

> Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
> jaki sposob byly autoryzowane?
> Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
> autoryzowana sms, a tamta tylko przycisnieciem OK?

Nawet jeśli zachowuje, to i tak jest to mało pocieszające. Bo nawet jeśli
byś zakwestionował transakcję, która nie wymagała dodatkowej autoryzacji,
to i tak udowodnij, że to nie ty zalogowałeś się do systemu i ją
wykonałeś. Zdaję sobie sprawę, że odgadnięcie czyjegoś hasła jest mało
prawdopodobne, ale i tak uważam, że obecne rozwiązanie stwarza pole do
popisu dla przekrętów. Opisywałem to już wielokrotnie i nie będę się
powtarzał, ale chcę podkreślić, że wprowadzone rozwiązanie jest dalece
niedoskonałe. Nie przekonują mnie bowiem jakieś tam slogany, że algorytm
poddaje każdą transakcję wnikliwej analizie. Jaka analiza do ciężkiej
cholery? Robię po raz pierwszy przelew na dany rachunek i jest on
puszczany bez autoryzacji. Czy to jest normalne? Nie, to jest chore!

Więc jeszcze raz. Gdyby wszystkie przelewy wymagały autoryzacji, to samo
poznanie przez potencjalnego hakera hasła nie stwarza wielkiego
zagrożenia, bo właściciel konta musiałby jeszcze na dodatek zostawić w tym
miejscu telefon, kartę kodów jednorazowych, token czy cokolwiek innego, co
stanowiło by dodatkowy element potrzebny do autoryzowania transakcji. W
tej chwili użytkownik naraża się na niebezpieczeństwo jedynie korzystając
z komputera w obcym miejscu.

Wiem, że hasło jest wklepywane fragmentarycznie i potrzeba byłoby kilku
wizyt by osoba szpiegująca weszła w posiadanie kompletnego hasła. Może i
jest to mało prawdopodobne, ale nie jest niemożliwe. Ktoś powie, że jest
klawiatura ekranowa. No jest. I co z tego? Wygodniej jest wklepywać z
normalnej klawiatury.

Tak więc uważam, że w tej chwili całą odpowiedzialność za bezpieczeństwo
przerzucono na użytkownika. Nie twierdzę, że ów użytkownik powinien być
zwolniony z myślenia, ostrożności, odpowiedzialności, itp., ale bank, w
trosce o bezpieczeństwo swoich klientów, powinien przede wszystkim zadbać
o to aby jego klienci mogli czuć się bezpiecznie. W tej chwili uważam, że
tak nie jest.

--
Pozdrawiam
chairon