"Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:

> Jeśli na dwóch różnych potwierdzeniach będzie ten sam numer operacji, to
> sprawa jest jasna.

Nie jest jasna. Numer operacji nie jest zdefiniowany dla kontrahenta,
mozna mu np. powiedziec (tak jak pisalem), ze zawsze jest taki sam.

> Jeśli w ogóle nie będzie numeru, a ofiara oczekuje na dwa identyczne
> przelewy od oszusta to oszust ma ułatwione zadanie.

Jesli ofiara oczekuje na dwa identyczne przelewy od tej samej osoby,
to juz to jest podejrzane, i rozne numery "operacji" tego nie zmienia.

> Nie, ale kasjer daje mi tylko jeden druk. Wcześniej pisałeś, że na
> życzenie klienta kasjer powinien dać też swój kwitek potwierdzenia, a ja
> się z tym nie zgadzam.

Nie pisalem czegos takiego. Napisalem, ze na żądanie klienta bank
powinien wydac np. kopie potwierdzenia.

> Klient zlecił 5 identycznych przelewów. Następnie okazał 6 potwierdzeń z
> kasy i zareklamował operację.
> Jeśli bank działa w sposób który opisałem, to nie ma szans na wyłudzenie
> w ten sposób.

Tak tez nie ma. Ale to juz kwestia procedur banku, domyslam sie, ze
poprawnych.

> Myślisz, że nie znalazłby się rynek na taką usługę? Choćby jako
> dodatkowy bajer?

Mysle, ze koszty by sie nie zwrocily.

> To nie problem - można do każdego zlecenia prezentować jego aktualny
> status; przyjęte - zaksięgowane - wysłane do KIR taką a taką sesją, itp.

Jesli wyslane, to za chwile kontrahent bedzie to mial w swoim (dobrym)
banku - niepotrzebne. Jesli nie jest jeszcze wyslane, to mozna anulowac.

> Kwestia znalezienia złotego środka.
> Korzystanie z e-banków czy IVR-owych bankolinii to też ryzyko i
> konieczność pamiętania haseł, a jednak ludzie korzystają.

Owszem, ale haslo jest dosc stale. Gdyby mialo zmieniac sie przy kazdym
przelewie, to dla wiekszosci uzytkownikow byloby to problemem.

> No to zróbmy hasło zmienne :) Ze mną jak z dzieckiem ;)
> A poważnie - jest jeszcze numer zlecenia, który trzeba podać bo inaczej
> nic się nie wyświetli i już.

Tak jak pisalem, problem enumeracji.
To, ze dla wykonania kazdego dowolnego przelewu potrzebny jest (latwy
do zlamania) zmienny kod, wydaje sie akceptowalne dla prawie wszystkich.
Obawiam sie jednak, ze nie byloby to akceptowalne dla mniej istotnych
z punktu widzenia bezpieczenstwa operacjach. Dodatkowo 5-cyfrowy kod
jest wystarczajaco bezpieczny dla przelewow (gdyz jest to tylko drugi
stopien weryfikacji, nie mozna go latwo sprawdzic metoda brutalnej
sily), ale to za malo dla sprawdzania przelewow przez osobe, ktora
wczesniej nie zalogowala sie w systemie.

> Podobnie z włamaniem do e-banku, który jest zabezpieczony statycznym
> hasłem logowania.

Haslo logowania moze byc bardziej skomplikowane, gdyz jest dosc stale.
Nie wyobrazam sobie jednak podawania takich hasel komukolwiek,
np. przez telefon.

> Zanim uda Ci się wygenerować poprawny numer i hasło, to ktoś zauważy co
> robisz i zablokuje.

Zablokuje dzialanie systemu bankowego?
--
Krzysztof Halasa
Network Administrator