Ra pisze:

>> Ok, ale po zablokowaniu dostepu online zupelnie mogliby juz chyba dac
>> znac.
> raczej nie praktykowane rozwiązanie, dawało by informacje potencjalnemu
> włamywaczowi że trafił np z numerem i hasłem

Z tego co pamietam to w mBanku tak jest.
A co do informacji to mylisz sie - wiedzialby tylko, ze trafil z
loginem, bo konto sie blokuje zarowno jak podajesz zle haslo, jak i zly
token.
Poza tym jakakolwiek wiedze by zdobyl to i tak mu sie to nie przyda, bo
dostep online jest blokowany.
Przy projektowaniu takich systemow trzeba uzywac troche logiki, bo
wygoda uzytkowania jest dla wiekszosci uzytkownikow wazniejsza niz
bezpieczenstwo (dla tej wiekszosci, ktorej nikt sie nie bedzie probowal
wlamac na konto ;)).

>> Poza tym ja nie twierdze, ze powinni dawac znac, tylko ogolnie
>> zrezygnowac z tak szczelnego zabezpieczenia przy logowaniu albo zrobic
>> z tego opcje dla chetnych.
> najbardziej nie cierpię logowania IMHO przegieli trochę

No mi chodzi tylko o logowanie, uzycie tokena przy autoryzacji dzialan
po zalogowaniu jest ok, zwlaszcza, ze nie ma mozliwosci desynchronizacji
przez uzycie systemu identyfikatorow akcji.

>> I to jest twoim zdaniem ok, ze 2 razy sobie zablokowales konto? Jesli
>> i mnie i Tobie sie to zdarzylo to znaczy, ze pewnie zdarza sie to
>> wielu osobom, a to juz jest moim zdaniem blad projektowy.
> podałem błędne hasło, moja wina, ogólnie muszę pamiętać dość dużo haseł
> i mam jakiś tam system, myślałem że dla eb zrobiłem wyjątek i że dałem
> standartowe hasło

U mnie wynikalo to scisle z tego, ze jest 6 roznych mozliwosci skopania
i nigdy nie wiadomo, ktora akurat zaszla ;)

>>> jeżeli przez token masz na myśli token gsm to praktycznie nie da się
>>> go zdesynchronizować - trzeba tylko zawsze wpisać pin chociaż można
>>> wejść i bez
>>
>> Mylisz sie, jesli wygenerujesz jakas liczbe hasel i ich nie
>> wykorzystasz to sie zdesynchronizuje - to zreszta logiczne, bo jak
>> mialby ten system inaczej dzialac? Najgorsze, ze ta liczba jest
>> niewiadoma. I nie jest powiedziane, czy po nieudanym logowaniu
>> spowodowanym na przyklad pomylka w hasle trzeba korzystac z tego
>> samego wskazania tokena, czy juz z kolejnego.
>>
> ja akurat nie generuję haseł na zapas, ale zawsze można się rozmyślić po
> wygenerowaniu hasla

Mozesz, ale tylko skonczona i niewiadoma liczbe razy - po tym musisz
dzwonic do nich, zeby zsynchronizowac token - uwierz mi, sam to robilem.

> albo wpisać zły identyfikator wtedy co wtedy zdesynchronizawał by ci się
> token bo przeskoczyło o jeden numer ? bez sensu, zresztą sprawdziłem
> teraz i działa ok

Nie o jeden numer.

> warunek jest że licznika w komórce (zakładana Info) >= od tego na
> serwerze więc nie możesz podać wcześniejszych numerków

To jest jeden warunek, a drugi to ten, ze licznik w komorce musi byc <
od tego na serwerze + x, gdzie x jest nieznane i wcale nie takie duze.
Jesli przemyslisz sposob dzialania tego systemu to dojdziesz do wniosku,
ze inaczej nie mogloby to dzialac, bo musialoby to oznaczac, ze mozesz
podac dowolne wskazanie tokena, ktore on jeszcze kiedykolwiek
wygeneruje, a to byloby bez sensu.
Zreszta:
http://www.eurobank.pl/binsource?docId=10689&paramNa
me=BINARYOBJ_FILE&index=3&language=PL

cytat:
"Uwaga!
Nie należy bez potrzeby wybierać opcji ,,Logowanie" i generować
kolejnych wskazań
tokenaGSM, które nie są używane do zalogowania w serwisie
eurobank online.
Kilkukrotne niewykorzystanie wygenerowanych wskazań tokena może
prowadzić do
rozsynchronizowania tokena, a w następstwie tego zablokowania dostępu."

pzdr. jijomo