W dniu 2019-07-28 o 21:17, Krzysztof Halasa pisze:
>> Wolałbym jednak odpowiednią jakość obsługi niż takie eksperymenty.
>
> Ale odpowiednią jakość obsługi definiujesz jako brak paska?

Tak. Im bardziej oferta jest sprofilowana pod kątem konkretnego klienta
tym wyższa - w moim przekonaniu - jest jakość obsługi. Po prostu - mamy
różne potrzeby.

> Ale chodziło o bezpieczeństwo. No chyba że nie chodzi o bezpieczeństwo,
> ale o sam tylko pasek?
> Najbezpieczniejsze są transakcje stykowe.

Wydaje mi się jednak, iż zdecydowanie szybciej można wyczyścić solidne
konto w bankomacie transakcją stykową niż bezstykową.

> Przede wszystkim, za fraudy paskowe płaci druga strona. To rozwiązuje
> problem paska, a nie to, czy przed wyjazdem przypomnisz sobie
> o rekonfiguracji limitów czy też nie.

Nadal pozostaje pytanie dlaczego to tak nie działa w praktyce.

>> To nie dane. Żartujesz, że bank będzie się takimi danymi chwalił. ;-)
>> Natomiast nie jest problemem znaleźć informacje dziennikarskie w sieci
>> na ten temat.
>
> Poproszę o konkrety. Może być URL.

Żaden problem.
Proszę - świeży z weekendu, czyli właściwie w trakcie toczącej się tu
dyskusji:
https://nt.interia.pl/news-kradziez-danych-kont-i-ka
rt-bankowych-rosnie,nId,3113899

>> No to jesteś na przegranej pozycji, bo nie znajdziesz banku, który
>> poinformuje Cię ilu przestępcom wypłacił pieniądze obciążając klienta.
>
> Przeciwnie, na przegranej pozycji stoją osoby, które nie potrafią nawet
> uprawdopodobnić swoich kategorycznych twierdzeń.

A ja się z kolei zastanawiam jak można przeżyć tydzień bez natknięcia
się na medialne informacje dot. fraudów.

> No ale w ciągu roku na zawał zmarło ok. 180 tys. Polaków. Zresztą, ok.
> 3000 zginęło w wypadkach samochodowych. Prawie nikt nie zgłasza fraudów
> policji? Nie żebym się dziwił - jeśli bank nie wymaga.

Nie wiem. Pytanie też o klasyfikację "fraudu". Jeśli zgłoszę sprawę, a
bank odrzuci reklamację uznając, że to moja wina, bo nie dochowałem
staranności przechowując PIN to czy wchodzi to do statystyk czy nie? Z
punktu widzenia banku wszystko jest OK.

> Takie coś da się obejść. Specjalista pewnie zrobi to łatwo, chociaż
> podpinanie klipsów do rozebranego "w locie" telefonu jest pewnym
> wyzwaniem (po wyłączeniu można mieć problem z zaszyfrowanym systemem
> plików).

Pewnie żadne rozwiązanie nie jest idealne. Niektóre po prostu trochę
trudniejsze (kopiowanie chipa), a niektóre łatwiejsze.

> Problem w tym, że telefony są dziurawe, i używanie jednego narzędzia do
> wszystkiego (do wykonywania operacji i do potwierdzania tożsamości) jest
> zaprzeczeniem bezpieczeństwa.

Ja także wolę token sprzętowy. Rzeczy w tym, że banki się z bezpiecznych
rozwiązań wycofują.

Ale przypuszczalnie obecnie stosowane
> metody mogą być jeszcze gorsze (np. statyczne hasła, albo papierowe kody
> w sytuacji skompromitowanego terminala).

"skompromitowanego terminala" - cóż to za nowomowa? ;-)

Zastanawiam się np. nad sensem wielopoziomowych haseł, w których jednym
z elementów jest PESEL. Tak jest w Millenium. Wydaje mi się, iż hasło
powinien znać jedynie klient. Tymczasem liczba osób znających PESEL jest
olbrzymia. Ot - pozoranctwo. ;-)

>> Zwróć uwagę, że dziś Kowalski musi zapamiętać kilka/kilkanaście haseł.
>> Karty, e-bankowość, ale też np. logowanie do komputera w pracy, do
>> telefonu itd. Część z tych systemów wymusza zmiany hasła co miesiąc.
>> Zatem liczba się zwielokrotnia. W efekcie Kowalski upraszcza sobie
>> życie ograniczając liczbę haseł (np. ustawiając ten sam PIN to
>> wszystkich kart+do telefonu+do tabletu). W ten sposób poznając PIN np.
>> do iPada poznaję PIN do karty. Zazwyczaj ten pierwszy jest mniej
>> chroniony. Jak rozwiązać ten problem?
>
> Podejrzewam że dla typowego Kowalskiego zwykły notes z hasłami doskonale
> rozwiązuje ten problem.

I musiałby go nosić przy sobie (praca/dom). Posiadanie przy sobie
takowego notesu nie wydaje się bezpieczne, a już na pewno może być
przyczyną odrzucenia reklamacji - podrzucał link Klientki, która miała
PIN zapisany w portfelu.

>> Idąc dalej - dodatkowa identyfikacja na odcisk np. w placówce
>> wyeliminowałaby część fraudów na fałszywe dowody chociażby.
>
> Problem w tym, że to nie jest pewna identyfikacja. Głupi 4-cyfrowy PIN
> jest przypuszczalnie pewniejszy. Tyle że można go podejrzeć.

OK, więc cały system prawny oparty na identyfikacji przestępców po
odciskach palców do śmieci? ;-) Dość odważna teza.

Niektóre banki (Pekao, Lukas) miały możliwość osobnego podawania PINu
lub karty w placówkach. Zatem coś tam na rzeczy było z tym bezpieczeństwem.

> W kryminalistyce analizę odcisków robi się zupełnie innymi metodami,

Owszem, ale też często identyfikacja odbywa się na podstawie fragmentu
(!) odcisku.

>> Czyli - jak twierdzisz - dokładając opcję bezstykową do bankomatu,
>> Banki obniżają poziom bezpieczeństwa. No cóż...
>
> Oczywiście że tak jest, z wielu powodów.

No i właśnie to obniżanie poziomu bezpieczeństwa niekoniecznie mi się
podoba.