W dniu 2019-08-15 o 15:34, Wojciech Bancer pisze:
>> Zauważyłeś, iż tokeny zanim zniknęły na dobre przeznaczone były dla
>> klientów premium?
>
> Nie, niespecjalnie. Były stosowane w niektórych bankach, ale najczęściej
> w segmencie biznesowym. I z tego co kojarzę, to po prostu były lepszą
> alternatywą dla list papierowych, ale jak już SMSy weszły do użytku,
> to i z jednego, i z drugiego banki zaczęły się wycofywać.
>

No cóż. Założyłem konto Prestige w EB właśnie dlatego, iż token był
darmowy. W CA Premium także pozwalało na darmowy token. W innych opcjach
był płatny lub niedostępny - nie pamiętam. Tyle faktów. Oczywiście Ty
wiesz lepiej...

>> Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe
>> płyty główne mają do tego systemu sterowniki. Odnoszę wrażenie, iż
>> Microsoft bardzo głowi się jak przekonać ludzi do nowszej wersji. Pewnie
>> wywołają tradycyjne upiory z szafy... Bezpieczeństwo! ;-)
>
> A Ty oczywiście wiesz, że oni wszyscy mówią nieprawdę. :)

Brytyjska flota atomowych łodzi podwodnych, złożona z HMS Vanguard,
Victorious, Vigilant, i Vengeance to 4 z najbardziej niebezpiecznych
okrętów jakie kiedykolwiek zbudowano. Wyposażone w broń nuklearną
patrolują oceany i odstraszają potencjalnych zamachowców przed atakiem
na Wielką Brytanię. Każda z nich posiada rakiety Trident II i 40 głowic
jądrowych. To siła wystarczająca by niszczyć całe kraje.Okręty zostały
zamówione w latach 90 dwudziestego wieku. Windows XP został w nich
zainstalowany ponieważ miał być tańszy niż alternatywne systemy.

Amerykańska Marynarka Wojenna również pracuje na XP. Jednak płacą oni
dodatkowe pieniądze za aktualizacje i zabezpieczenia podczas
przechodzenia na nowocześniejsze systemy operacyjne. Umowa wsparcia
technicznego z Microsoftem warta 9 milionów dolarów będzie trwała
jeszcze do lipca 2016 roku z możliwością przedłużenia o kolejny rok za
31 milionów. W przypadku marynarki brytyjskiej nic o takim interesie nie
wiadomo. Ministerstwo obrony podkreśla jednak, że łodzie są całkowicie
bezpieczne.

> Mówisz, że za czasów tokenów nie było fraudów?

Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam
niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie
te zagrożenia odpadają przy tokenie.

> Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn.
> Te roleksy, omegi itp. Nie widzę żadnego szczególnego boomu na "zegarki
> sportowe", już prędzej smartwache, ale w tej grupie która ceni roleksy,
> to smartwatche są wręcz traktowane z pogardą.

A mieszkasz w PL? Pytam, bo nie dostrzec wprost mani teraz na
bieganie/pływanie/rower - a czasami wszystko razem - to naprawdę trzeba
się wysilić. Nawet emeryci chwycili na kijki i biorą udział w
rywalizacjach Nordic Walking. ;-) Federacje, Puchar Polski, Mistrzostwa
etc. Co ciekawe - to już nawet nie kwestia maratonów, ale ultramaratonów
czy podwójnego Ironmana. Ale to tu, w Polsce. Jeśli mieszkasz gdzieś
poza to może faktycznie sport, a tym samym zegarki sportowe, nie są aż
tak widoczne.

> Firm telekomunikacyjnych masz cztery i jakoś dają radę.

Wydaje się jednak, iż to złe porównanie. Liczba usług bankowych, ich
specyfika jest zupełnie inna niż firm telekomunikacyjnych.

> Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać
> i zabezpieczyć sprzętu? No litości.

Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem. W
efekcie jego stosowanie/nie stosowanie jest tożsame.

>> Teraz wyobraź sobie taką sytuację - mam tablet bez hasła, odcisku itd. A
>> w nim zapamiętane hasła. Chyba przyznasz, że pozyskanie z niego danych
>> jest banalnie proste. To sytuacja przypominająca noszenie karty z
>> zapisanym pinem na kartce.
>
> I nie widzisz nic złego w tym, że masz taką sytuację?

Nie. Znam ludzi, którzy mają PIN. I znam ich kod. ;-) Widzisz różnicę? ;-)

> I jeszcze wypowiadasz się o bezpieczeństwie?

Oczywiście. Aspekt bezpieczeństwa musi być EFEKTYWNY.

> A już paradoksem jest, że człowiek który mówi że bezpieczeństwo
> mu leży na sercu, że kartę kodów należy trzymać w domu, albo
> wręcz w sejfie uważa że telefon / tablet na którym trzyma hasła
> może sam nie mieć zabezpieczeń i to dobry pomysł. No sorry,
> ale w tym już mi popłynąłeś.

Nie twierdzę, że to dobry pomysł. Nie zrozumiałeś. Cały czas wypowiadam
się, iż nie chcę nosić narzędzia autoryzacyjnego przy sobie. Natomiast
twierdzę, iż są ludzie, którzy mają komórki niezabezpieczone z hasłami.
Oczywistym jest, że łatwo wówczas o naruszenie bezpieczeństwa. Twierdzę
też, że są osoby z komórkami zabezpieczonymi. Twierdzę, że w przypadku
np. napadu/wymuszenia/groźby, a może tylko podpatrzenia PIN-u (zupełnie
tak samo jak w przypadku karty, a właściwie dużo łatwiej), ich poziom
bezpieczeństwa jest zbliżony do tych bez-PIN-u i oczywiście dużo niższy
niż z tokenem przechowywanym w bezpiecznym miejscu.

>> Zaskakujesz mnie. A np. hasła - począwszy od wifi przez admina do
>> serwerów to niby gdzie trzymać?
>
> W 1Password.
> Z dostępem przez komórkę.

Trudno mi sobie wyobrazić, iż ktoś mający pojęcie o bezpieczeństwie coś
takiego zrobi.
Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
najlepszy materiał. Nie wymaga źródła energii, jest wstrząsoodporny,
tani, nie ulega degradacji pod wpływem magnesu, promieni słonecznych,
powietrza itd. Pewnie dlatego dokumenty papierowe mają się dobrze.

Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?
Oddasz do serwisu czy potraktujesz młotkiem mając świadomość danych
przechowywanych w ten sposób?

> I telefon bez PINu.

Oczywiście! Gimbaza sprawdza telefon milion razy dziennie. Wpisując PIN,
tudzież smyra paluszkiem jakieś kreski. ;-) Doprawdy poznać ten PIN jest
niesamowicie trudno. ;-) A jako, że gimbaza za bystra nie jest - ustawia
sobie PIN taki jak na karcie. Bo też 4 cyferki i łatwiej zapamiętać.
Pisać dalej, czy już zauważyłeś do czego zmierzam?

> Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń
> darmowych, ale wymagarz korzystania z tych kosztujących fortunę.

Podobno wczoraj konto Ewy Farny zostało zhakowane. ;-) iPhone'a ma. w FB
korzystała...
Moje konto na FB jest nie do ruszenia. Tak je zabezpieczyłem, iż nie
masz szans się do niego dostać. Ot - jak widzisz - kwestia bezpieczeństwa.

>> Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż
>> każda szkoła ma sejf. Każdy posterunek policji, a właściwie każda
>> służba, co oczywiste.
>
> Jak ich obligują przepisy to oczywiste.

To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
wymienić kogokolwiek, kto by korzystał?

>> Każda poważna firma
>
> Kłamiesz.

Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie.
Pancerne drzwi, za którymi przechowywany jest przepis, dołączyły do
wystawy w muzeum "World of Coca-Cola" w Atlancie. Otwarcie nowej wystawy
stanowi część obchodów 125. rocznicy powstania firmy. Podczas ceremonii
zebrani obejrzeli wideo, na którym widać było, jak Kent chowa za
pancernymi drzwiami metalowe pudełko. Pozostanie ono jednak niedostępne
dla zwiedzających World of Coca-Cola. Długa sala z sejfem kończy się
wielkimi drzwiami oddzielonymi barierką. Na drzwiach znajduje się
klawiatura numeryczna oraz skaner odcisków dłoni.
-------------
Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A
może Coca-cola to nie jest "poważna firma"?

> Mówisz o tych zajebistych sejfach z master kodem 000000?

Nie jestem ekspertem od sejfów. Te, z którymi się spotkałem były na
klucz. Natomiast co tam sobie kto kupi - jego sprawa.

> https://niebezpiecznik.pl/post/nie-ufaj-sejfom-w-hot
elowych-pokojach/
> Masz panie poważna firma.

"Raz już zdarzyło mi się trafić na sejf, który nie działał poprawnie
(zacinał się) i konieczna była pomoc pracownika zewnętrznej firmy, co
zabrało mi sporo czasu." - słusznie. Idealnego zabezpieczenia nie ma,
ale opóźnienie jest bardzo istotne np. w przypadku napadu. Nie
zastanowiło Cię dlaczego w oddziałach stosowane są blokady czasowe?

Powyższy przykład wskazuje nie na problem z sejfem, ale obsługą. Innymi
słowy poszli na łatwiznę. No cóż - wiele osób kupuje router i nie
zmienia domyślnego admin/admin tudzież innych "skomplikowanych" operacji.

>> Wszedłem na Allegro i wpisałem "sejf" - oferta na 100
>> stron. Niektóre aukcje po 119 kupionych... Hasło "kasa pancerna" daje 19
>> stron wyników. Zadziwiasz mnie...
>
> To ma czegoś dowodzić?

Ty nie widziałeś sejfu. Pokazałem Ci, iż jednak się sprzedają.

> Wpisałem "klocki lego", też mam 100 stron.

A widziałeś na oczy klocki Lego? Ja tak, zatem nie musisz dowodzić, że
jednak ktoś tam je kupuje.

> RODO nie ma pojęcia druków ścisłego zaszeregowania.

Naprawdę? Zatem najwyraźniej według Ciebie RODO nie dotyczy danych
wrażliwych. ;-)

> Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich
> w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej.

Na przykład?

> Może wyjdz z lat 90-tych, co?

Haha... OK. Czyli np. paszporty, prawa jazdy, dowody rejestracyjne,
blankiety dyplomów etc. to mam trzymać na iPhonie tak?

>> Jeśli np. CV kandydatów to wystarczy, iż nie będą się walały na wierzchu.
>> Urząd Ochrony Danych Osobowych nałożył właśnie pierwszą w swej historii
>> karę - milion złotych.
>
> Fascynujące i nie na temat.

To, że Ty nie potrafisz dostrzec analogii nie znaczy, że to nie jest na
temat. ;-)

>> Teoretycznie to głupstwo wobec wrażliwych dokumentów, które chciałbyś
>> zabezpieczać... no właśnie... jak?
>
> To zależy przed czym.

:-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się
tego typu ochrona. ;-)

>>> Rozumiem że pinu do telefonu nie masz? Blokady antykradzieżowej?
>>
>> Nie mam.
>
> No to nie wypowiadaj się o kwestiach bezpieczeństwa.

Dobrze, wstukam sobie "0000". Już mogę się wypowiadać?
Doprawdy nie widzisz absurdalności swoich twierdzeń?

>> Oczywiście. W saunie potrzeby (112), a każdy z banków, z których
>> korzystam WYMAGA podania numeru telefonu.
>
> Jak potrzebujesz tylko dzwonienia na 112 to sobie kup nokię za 50 zł.
> Nawet karty nie musisz do niej kupować.

Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.

Dziś w GW napisali o Tajlandii i prostytucji: Można powiedzieć, że praca
w seksbiznesie to wolny wybór Tajek, bo nikt ich wprost nie zmusza do
zarabiania na chleb swoim ciałem. Kiedy jednak przyjrzymy się innym
możliwościom, wychodzi na jaw, że te kobiety w gruncie rzeczy nie mają
innego wyjścia. Pracując w innych dostępnych dla nich zawodach,
większość z nich nie byłaby w stanie utrzymać rodziny.

Tłumaczę, bo pewnie nie zauważysz analogii: Można powiedzieć, że
autoryzacja telefonem to mój wolny wybór, bo nikt ich wprost nie zmusza
do korzystania. Kiedy jednak przyjrzymy się innym możliwościom, wychodzi
na jaw, że w gruncie rzeczy nie mam innego wyjścia. Korzystając z innych
dostępnych dla mnie rozwiązań, większość z ludzi do mnie podobnych nie
byłaby w stanie utrzymać rodziny wydając pieniądze na dodatkowe
zabezpieczenia.

Różnica miedzy nami polega na tym, iż ja nie chcę, by banki robiły ze
mnie tajską prostytutkę, ale oczywiście mam świadomość, iż niektórym to
nie przeszkadza.

> Ale czego nie pojmujesz? Że ludzie zabezpieczają telefony i nie mają
> sejfów i tokenów? Że fraudy obecnie w 99,999 procentach polegają na
> manipulacji socjotechnicznej użytkownika, po to by *SAM* podał ten
> kod który trzeba?

No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed
manipulacją. A zatem by nie zainstalował wirusa, nie ściągnął fałszywej
aplikacji, a nawet nie był w stanie podać stosownych danych zaatakowany
w ciemnej bramie z nożem przy szyi.

Gdy dostaję SMS nie mam informacji jak długo on jest ważny. W przypadku
tokenów odliczany jest czas ważności kodu. Czy uważasz, że wpisanie go i
użycie 1-2 sek. przed końcem nie jest dobrym zabezpieczeniem?

>> Jako żywo - znowu Gimbaza byłaby z Ciebie dumna! I pamiętaj, aby
>> pokrowiec miał wycięcie na logo Apple'a. ;-) Inaczej nie będzie widać, z
>> jakiego telefonu korzystasz.
>
> A gdzieś pisałem o sobie? Pokażesz?

Nie, ale podświadomie wyczuwam, iż z tym poziomem wiedzy/przekonań dot.
bezpieczeństwa musisz mieć sprzęt Apple'a.

> Ludzie posiadający > jedno konto to raczej mniejszość.

Nie pomyliłeś się? Jeszcze raz: według Ciebie ludzie posiadający więcej
niż 1 konto to mniejszość?
Ach! A może słowo "konto" różnie definiujesz? Masz na myśli pewnie ROR, tak?

> A jak widzisz, statystyki pokazują że liczba kont rośnie.

W ten sposób dojdziesz szybko do masy krytycznej. Liczba kart SIM w PL
wynosi ponad 40 mln. Zatem teza, iż ludzie posiadają 1 numer byłaby
wątpliwa.

> W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach.

Naprawdę? ;-) Nie wydajesz się uwzględniać moich ;-)

> I w przeciwieństwie do Ciebie mam taki argument: skoro taka funkcjonalność
> została dostarczona, to jednak widać ktoś na rynku tego wymagał.

Prezes wie lepiej. ;-)

> Wygodnie jest "nie myśleć" gdzie mam urządzenie zabezpieczające,
> notatnik, zegarek, dyktafon, player mp3, wygodniej jest mieć
> to zawsze "pod ręką" w telefonie.

OK, ale skoro Ty nie zamykasz auta, bo wygodniej to dlaczego innych
zmuszać, by też tego nie robili?

> Co nie znaczy że co 5 minut musisz z tego korzystać. Ale fajnie
> jest nie myśleć o tym "gdzie ja to mam" albo "jak się dostać
> do domu szybciej" jak się okaże że jednak musisz z czegoś
> skorzystać.

Ten argument często pada w przypadku KK - zazwyczaj robię zakupy na
kilkadziesiąt zł, ale dobrze mieć kilka tysięcy kredytu.
Tudzież wśród fanów gotówki - owszem, przeciętnie dziennie nie wydaję
więcej niż kilkadziesiąt zł, ale jak portfel gruby i setki się wysypują
to tak jakoś... lepiej na laski działa. ;-)
No OK. Jest to jakiś argument.

> Naprawdę chcesz iść w takie dowodzenie?

Dowodzenie opierające się na faktach chyba nie jest znowu takie złe?

> Nie mam znajomych zadłużonych we franku.

Cud! Albo gimnazjalista... ;-) Widziałem. ;-)

> To raczej kwestia kręgu wiekowego znajomych (obecni
> 30-latkowe raczej nie mieli szans na kredyt we franku).

Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach.
Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie
lub młodsi. No ale OK - to rozszerzmy znajomych jeszcze o znanych...
Słyszałeś o Adamowiczu? Albo Tomaszu Lisie? A może Joannie Musze (PO)?
Albo Krystynie Pawłowicz?

> Za to i owszem większość z nich ma revoluta.

No tak - faktycznie specyficzne środowisko.

>> Nie podzielam tej opinii. Zdecydowanie łatwiej znaleźć osoby znające mB.
>> Siłą rzeczy - każdy kto ma tam produkt zna markę. A rozpoznawalność
>> Citi? Niby reklamą czy czym mieliby nadrabiać te blisko 4 mln kont?
>
> No widzisz, Citi ma znacznie więcej kart kredytowych (2x) niż mBank.

To jeszcze mało, szczególnie, iż liczba KK to zaledwie 15% wszystkich
kart wydanych.

> O wiele lepiej ogarnia też sektor firmowy i korporacyjny. Jest też
> rozpoznawalną marką międzynarodową, mBank jest zaś marką lokalną.

No ja pisałeś o PL. Ale domyślam się, iż Twoje poglądy mogą wynikać z
miejsca zamieszkania poza PL. Jeśli tak i rozważasz skalę międzynarodową
to faktycznie np. w USA mB może być mniej znany.

> To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym
> wpisaniu złego PINu, ew. zerowanie urządzenia po 10-krotnym wpisaniu
> i już. Nie trzeba wydawać pieniędzy, tylko zaakceptować rozwiązania
> przyjęte przez resztę świata.

Poruszasz ciekawy problem. Jak to jest w "reszcie świata"? Czy w istocie
autoryzacja przelewów to SMS?

>>> A ja kamienne tablice!
>>
>> Nigdy nie były dostępne. Token był. To jednak "drobna" różnica.
>
> W większości banków nie był.

Ja korzystałem z 2, ale nie wiem czy to były "jedynie 2" czy "2 z wielu"
- trudno mi się do tego odnieść.

> Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie.

Biorąc pod uwagę, że mowa o Skandynawii to znowu dość śmiałe tezy stawiasz.

> A pamiętasz, że są ludzie którzy mają Windows XP?
> Rózne są dziwactwa.

No tak - jak widać wyżej - nawet okręty atomowe im powierzają. "Dziwactwo".

>> Ja też. Sęk w tym, że mają konta dawno wycofane z oferty. Obecnie
>> założenie takiego konta nie jest łatwe.
>
> Każde konto może mieć wyłączony dostęp internetowy.

Niestety to nieprawda. I nie jest też prawdą, że w każdym banku można
wyłączyć jeszcze bardziej niebezpieczny dostęp telefoniczny.