On 2019-08-15, Szymon <...@w...pl> wrote:

[...]

>> Nie, niespecjalnie. Były stosowane w niektórych bankach, ale najczęściej
>> w segmencie biznesowym. I z tego co kojarzę, to po prostu były lepszą
>> alternatywą dla list papierowych, ale jak już SMSy weszły do użytku,
>> to i z jednego, i z drugiego banki zaczęły się wycofywać.
>
> No cóż. Założyłem konto Prestige w EB właśnie dlatego, iż token był
> darmowy. W CA Premium także pozwalało na darmowy token. W innych opcjach
> był płatny lub niedostępny - nie pamiętam. Tyle faktów. Oczywiście Ty
> wiesz lepiej...

No sam piszesz, że "nie pamiętasz".
Tak, wiele rzeczy w kontach premium jest za free.

>>> Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe
>>> płyty główne mają do tego systemu sterowniki. Odnoszę wrażenie, iż
>>> Microsoft bardzo głowi się jak przekonać ludzi do nowszej wersji. Pewnie
>>> wywołają tradycyjne upiory z szafy... Bezpieczeństwo! ;-)
>>
>> A Ty oczywiście wiesz, że oni wszyscy mówią nieprawdę. :)
>
> Brytyjska flota atomowych łodzi podwodnych, [...]

Jak będą podpięte do internetu, to wtedy będzie bardziej na temat.

>> Mówisz, że za czasów tokenów nie było fraudów?
>
> Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam
> niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie
> te zagrożenia odpadają przy tokenie.

Nadal pozostaje komputer, którego najłatwiej zarazić wirusem,
więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem
jest człowiek.

>> Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn.
>> Te roleksy, omegi itp. Nie widzę żadnego szczególnego boomu na "zegarki
>> sportowe", już prędzej smartwache, ale w tej grupie która ceni roleksy,
>> to smartwatche są wręcz traktowane z pogardą.
>
> A mieszkasz w PL? Pytam, bo nie dostrzec wprost mani teraz na
> bieganie/pływanie/rower - a czasami wszystko razem - to naprawdę [...]

Ale nie ma obowiązku posiadania zegarka do tych czynności.

[...]

>> Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać
>> i zabezpieczyć sprzętu? No litości.
>
> Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem.

Case Apple vs FBI temu przeczy.

[...]

>> A już paradoksem jest, że człowiek który mówi że bezpieczeństwo
>> mu leży na sercu, że kartę kodów należy trzymać w domu, albo
>> wręcz w sejfie uważa że telefon / tablet na którym trzyma hasła
>> może sam nie mieć zabezpieczeń i to dobry pomysł. No sorry,
>> ale w tym już mi popłynąłeś.
>
> Nie twierdzę, że to dobry pomysł. Nie zrozumiałeś. Cały czas wypowiadam
> się, iż nie chcę nosić narzędzia autoryzacyjnego przy sobie.

Twoje "chcenie" nie ma nic do rzeczy. Możesz zapewnić bezpieczeństwo przy
użyciu istniejących i dostępnych metod. Nie chcesz, to Twoja sprawa,
tylko nie stękaj.

> Natomiast twierdzę, iż są ludzie, którzy mają komórki niezabezpieczone
> z hasłami.

Są też ludzie którzy nosili hasła papierowe w portfelu.

>> W 1Password.
>> Z dostępem przez komórkę.
>
> Trudno mi sobie wyobrazić, iż ktoś mający pojęcie o bezpieczeństwie coś
> takiego zrobi.

A jednak.

> Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
> najlepszy materiał.

No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami"
(patrz procedury ZUS).

> Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?

Wymienię na inną.

[...]

> Pisać dalej, czy już zauważyłeś do czego zmierzam?

Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy
sensownie myślący wiedza.

>> Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń
>> darmowych, ale wymagarz korzystania z tych kosztujących fortunę.
>
> Podobno wczoraj konto Ewy Farny [...]

Fascynujące, ale bez związku.
>
>>> Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż
>>> każda szkoła ma sejf. Każdy posterunek policji, a właściwie każda
>>> służba, co oczywiste.
>>
>> Jak ich obligują przepisy to oczywiste.
>
> To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
> wymienić kogokolwiek, kto by korzystał?

Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest
firma w ujęciu podmiotu gospodarczego. Zmieniasz temat.

>>> Każda poważna firma
>>
>> Kłamiesz.
>
> Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie.

Nieistotne.
Nie ma związku przyczynowo-skutkowego między "poważna firma"
a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
dalej?

> Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A
> może Coca-cola to nie jest "poważna firma"?

Nic takiego nie napisałem, więc kłamiesz.

[...]

>>> Wszedłem na Allegro i wpisałem "sejf" - oferta na 100
>>> stron. Niektóre aukcje po 119 kupionych... Hasło "kasa pancerna" daje 19
>>> stron wyników. Zadziwiasz mnie...
>>
>> To ma czegoś dowodzić?
>
> Ty nie widziałeś sejfu.

W kontekście o którym pisaliśmy: przechowywanie Mitycznych Ważnych
Dokumentów (tm) w biurach. Nie sejfów w ogóle.

> Pokazałem Ci, iż jednak się sprzedają.

Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie
do klocków lego.

>> RODO nie ma pojęcia druków ścisłego zaszeregowania.
>
> Naprawdę? Zatem najwyraźniej według Ciebie RODO nie dotyczy danych
> wrażliwych. ;-)

Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin
nieznany ustawie RODO.

>> Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich
>> w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej.
>
> Na przykład?

Np, szyfrowanie w postaci elektronicznej.

>> Może wyjdz z lat 90-tych, co?
>
> Haha... OK. Czyli np. paszporty, prawa jazdy, dowody rejestracyjne,
> blankiety dyplomów etc. to mam trzymać na iPhonie tak?

Ale rozmawialiśmy o firmach, a nie urzędach.
I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych.

>>> Urząd Ochrony Danych Osobowych nałożył właśnie pierwszą w swej historii
>>> karę - milion złotych.
>>
>> Fascynujące i nie na temat.
>
> To, że Ty nie potrafisz dostrzec analogii nie znaczy, że to nie jest na
> temat. ;-)

Nadal twierdzę że jest nie na temat. Oczywiście możesz wykazać że kara
miała związek z nieprawidłowym przechowywaniem danych a nie tym o czym
było napisane, czyli nierzetelnym *poinformowaniem* podmiotów.

>> To zależy przed czym.
>
>:-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się
> tego typu ochrona. ;-)

Ja się zajmuję dokumentami w obiegu elektronicznym.
Te są dostępne z konkretnych adresów i w konkretny sposób.
Sejfu brak.

>>> Nie mam.
>>
>> No to nie wypowiadaj się o kwestiach bezpieczeństwa.
>
> Dobrze, wstukam sobie "0000". Już mogę się wypowiadać?

Nie.

>> Jak potrzebujesz tylko dzwonienia na 112 to sobie kup nokię za 50 zł.
>> Nawet karty nie musisz do niej kupować.
>
> Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.

To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować.

> Dziś w GW napisali o Tajlandii i prostytucji: [...]

Nie na temat.

>> manipulacji socjotechnicznej użytkownika, po to by *SAM* podał ten
>> kod który trzeba?
>
> No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed
> manipulacją.

Token tego nie potrafi.

[...]

>> Ludzie posiadający > jedno konto to raczej mniejszość.
>
> Nie pomyliłeś się?

Nie.

> Jeszcze raz: według Ciebie ludzie posiadający więcej
> niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na
myśli pewnie ROR, tak?

No o tych statystykach była mowa (kont osobistych aka RORach).
I do takich Ci podałem linka.

>> A jak widzisz, statystyki pokazują że liczba kont rośnie.
>
> W ten sposób dojdziesz szybko do masy krytycznej. Liczba kart SIM w PL
> wynosi ponad 40 mln. Zatem teza, iż ludzie posiadają 1 numer byłaby
> wątpliwa.

Karty sim nie mają rozdzielenia na biznesowe, osobiste, inwestycyjne,
oszczędnościowe, czy techniczne. Ale też nie twierdziłem, że ludzie
posiadają tylko 1 numer (chociaż tych posiadających więcej niż 1 też jest
mniejszość).

>> W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach.
> Naprawdę? ;-) Nie wydajesz się uwzględniać moich ;-)

I nadal spokojnie z tym śpię.

[...]

>> To raczej kwestia kręgu wiekowego znajomych (obecni
>> 30-latkowe raczej nie mieli szans na kredyt we franku).
>
> Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach.

Twierdzisz że osoby mające 30 lat nie są dorosłe?

> Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie
> lub młodsi.

https://www.businessinsider.com/median-tech-employee
-age-chart-2017-8?IR=T
- facebook, mediana 28
- google, mediana 30
- apple, mediana 31

Ale to pewnie nie sa poważne firmy.

>> To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym
>> wpisaniu złego PINu, ew. zerowanie urządzenia po 10-krotnym wpisaniu
>> i już. Nie trzeba wydawać pieniędzy, tylko zaakceptować rozwiązania
>> przyjęte przez resztę świata.
>
> Poruszasz ciekawy problem. Jak to jest w "reszcie świata"? Czy w istocie
> autoryzacja przelewów to SMS?

No na pewno wg PSD2 token i karty kodów są nieakceptowalne.
Tak więc masz już ogarniętą Europę.

> Ja korzystałem z 2, ale nie wiem czy to były "jedynie 2" czy "2 z wielu"
> - trudno mi się do tego odnieść.

Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też miałem) i
tam nie
było tokenów w ofercie, poza zakresem "korporacyjnym".

>> Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie.
> Biorąc pod uwagę, że mowa o Skandynawii to znowu dość śmiałe tezy stawiasz.

W Skandynawii też istnieje szara/czarna strefa.

>> Każde konto może mieć wyłączony dostęp internetowy.
>
> Niestety to nieprawda.

Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp.

--
Wojciech Bańcer
w...@g...com