bratbrak <b...@b...com> napisał(a):

> Mógłbyś coś więcej napisać o tej liście haseł jednorazowych?
> Czy to rzeczywiście bezpieczny sposób na przechowywanie haseł?

Kartka papieru, z ponumerowanymi polami, np. od 1 do 50 i przy każdym np. 5
cyfrowe hasło, np.

1. 13565
2. 32353
3. 34856
..
50. 54339

Zabierasz komuś z portfela kartkę i trzaskasz do 50 przelewów gdzie chcesz.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

W dniu 2011-10-20 20:51, bratbrak pisze:

> Mógłbyś coś więcej napisać o tej liście haseł jednorazowych?
> Czy to rzeczywiście bezpieczny sposób na przechowywanie haseł?

Moim zdaniem - tak.

Algorytm, mogę go zdradzić za flaszkę :) Jest następujący:
Koduję osobno każdą cyfrę,
zapamiętuję sobie datę urodzenia mojej ostatniej kochanki, np. 310929
(podobno o gustach się nie dyskutuje :) - to tylko przykład)
po czym do każdej cyfry kodu dodaję odpowiednią cyfrę tej daty i robię
modulo 10.
Tak więc z przykładowego hasła:
1234
robi się:
4333
Rozkodowanie w pamięci, tylko na przykładzie ostatniej cyfry: 3-9 daje
-6. Po dodaniu 10 daje 4 i mamy to.
Jeśli się to wstuka do jakiegoś Calca, wypluje do pliku tekstowego, to
sobie można nawet zapisać w "notatkach" w serwisie transakcyjnym
(niektóre banki mają taki ficzer,) albo wszyć to w tytuł przelewu
jakiegoś "przelewu zdefiniowanego"

A po odpowiedź na pytanie "Dlaczego banki wolą hasła SMSowe, niż tan-y?"
radzę się udać do wielewiedzącego Amry. Moim zdaniem dlatego, aby
utrudnić życie klientowi ;)


--

Dziękuję i pozdrawiam. Bzdreg.

do góry

On 2011-10-20 20:50, Konfabulator wrote:
> bratbrak<b...@b...com> napisał(a):
>
>> - telefon "na kartę", a właściwie numer może łatwo zmienić właściciela,
>> przy czym każdy jego właściel jest anonimowy
>
> Nie dość, że bzdura, bo można kartę zarejestrować, to jeszcze bez znaczenia.

A gdzie ja pisałem, że taki klient zarejetruje taką kartę???
Zacytuj mi to zdanie, bo chyba się ślepy robię!!!

I co to znaczy - "bzdura"??? Klient nie podpisuje umowy, więc nikt nie
wie, kto jest głównym właścicielem danego numeru. Nie zgadzasz się???

>> - telefon "na abonament" - zmiana właściciela jest dużo trudniejsza -
>> (możliwa jest tylko po rozwiązaniu umowy), a w dodatku właściciel nie
>> jest anonimowy, co uwiarygadnia taką osobę
>
> A jakie to ma znaczenie dla wysyłanego SMSKodu? Przecież bank to wali gdzie to
> wysyła, Ty wskazujesz numer, może być to nawet numer ciotki z Honolulu.

A takie to ma znaczenie, że klient może zapomnieć o doładowaniu telefonu
"na kartę", ale jego bank nie zapomni o uregulowaniu abonamentu za
telefon. Wiesz co to jest zlecenie stałe?

>> Teraz wyobraź sobie, że klient banku korzysta z opcji SMSKodu, który to
>> kod jest mu wysyłany na telefon "na kartę". Później, na dłuższy czas
>> wyjeżdza za granicę, nie korzysta z usług polskiego banku, a numer (cały
>> czas mówię o telefonie "na kartę) przejmuje obca osoba.
>
> A jak przez ten czas nie korzysta z abonamentu i nie zapłaci to wcale mu
> numeru nie zablokują i nie sprzedadzą komu innemu jako prepaid... Kto Ci tych
> bajek nawsadzał do głowy?

Zacytuj mi fragment, w którym pisałem, że klient korzysta z abonamentu!?
Chłopie, naucz się czytać ze zrozumieniem, zanim coś napiszesz!

>> Jeśli klient ponownie zaloguje się do banku i będzie chciał zrelizował
>> przelew, zapominając o wcześniejszym poinformoniu banku o zmianie
>> numeru, zapominając, że w ogóle zmienił numer, wówczas wysłany w dobrej
>> wierze przez bank SMSKod trafi do obcej osoby, która wiedząc o tym, że
>> jest w posiadniu numeru, z którego korzystał klient banku (a dla banku
>> numer klienta nie uległ zmianie!), może działać na szkodę tego klienta.
>
> Tylko, że SMSKod potwierdza jedną konkretną operację i nic więcej, żaden bank
> nie wskazuje ani całego rachunku z którego operacja jest robiona, ani całego
> numeru na który jest robiona, ani żadnych danych identyfikujących klienta.

>> Zanim taki klient zdąży przyjechać do Polski, zanim zdązy poinformować
>> bank o zmianie numeru, albo w natłoku codziennych zajęć znów zapomni,
>> jego konto może zostać opróżnione!!!
>
> W jaki sposób?

Przecież już napisałem!
Kłania się czytanie ze zrozumieniem.

PS. Nie gniewaj się, ale jeśli nie potrafisz sobie poradzić z tak
krótkim i prostym tekstem, to w szkole chyba nie szło Ci najlepiej?

Pozdrawiam.

do góry

On 2011-10-20 21:14, bzdreg wrote:
> W dniu 2011-10-20 20:51, bratbrak pisze:
>
>> Mógłbyś coś więcej napisać o tej liście haseł jednorazowych?
>> Czy to rzeczywiście bezpieczny sposób na przechowywanie haseł?
>
> Moim zdaniem - tak.
>
> Algorytm, mogę go zdradzić za flaszkę :) Jest następujący:
> Koduję osobno każdą cyfrę,
> zapamiętuję sobie datę urodzenia mojej ostatniej kochanki, np. 310929
> (podobno o gustach się nie dyskutuje :) - to tylko przykład)
> po czym do każdej cyfry kodu dodaję odpowiednią cyfrę tej daty i robię
> modulo 10.
> Tak więc z przykładowego hasła:
> 1234
> robi się:
> 4333
> Rozkodowanie w pamięci, tylko na przykładzie ostatniej cyfry: 3-9 daje
> -6. Po dodaniu 10 daje 4 i mamy to.
> Jeśli się to wstuka do jakiegoś Calca, wypluje do pliku tekstowego, to
> sobie można nawet zapisać w "notatkach" w serwisie transakcyjnym
> (niektóre banki mają taki ficzer,) albo wszyć to w tytuł przelewu
> jakiegoś "przelewu zdefiniowanego"
>
> A po odpowiedź na pytanie "Dlaczego banki wolą hasła SMSowe, niż tan-y?"
> radzę się udać do wielewiedzącego Amry. Moim zdaniem dlatego, aby
> utrudnić życie klientowi ;)
>
>

O, to dobra odpowiedź!
Stawiam 4.

Pozdrawiam.

do góry

On 2011-10-20 20:56, Konfabulator wrote:
> bratbrak<b...@b...com> napisał(a):
>
>> Mógłbyś coś więcej napisać o tej liście haseł jednorazowych?
>> Czy to rzeczywiście bezpieczny sposób na przechowywanie haseł?
>
> Kartka papieru, z ponumerowanymi polami, np. od 1 do 50 i przy każdym np. 5
> cyfrowe hasło, np.
>
> 1. 13565
> 2. 32353
> 3. 34856
> ..
> 50. 54339
>
> Zabierasz komuś z portfela kartkę i trzaskasz do 50 przelewów gdzie chcesz.
>

Nie przypominam sobie, żebym wywołał Cię do odpowiedzi. Siadaj.

Pozdrawiam.

do góry

bratbrak <b...@b...com> napisał(a):

> A gdzie ja pisałem, że taki klient zarejetruje taką kartę???

Jest to bez znaczenia dla bezpieczeństwa.

> I co to znaczy - "bzdura"??? Klient nie podpisuje umowy, więc nikt nie
> wie, kto jest głównym właścicielem danego numeru. Nie zgadzasz się???

No i co z tego? Umowę podpisuje uruchamiając kartę. Nie można świadczyć usługi
telekomunikacyjnej bez zawarcia umowy.

> A takie to ma znaczenie, że klient może zapomnieć o doładowaniu telefonu
> "na kartę", ale jego bank nie zapomni o uregulowaniu abonamentu za
> telefon. Wiesz co to jest zlecenie stałe?

I na czym polega problem z ustawieniem zlecenia stałego doładowania telefonu
znawco usług bankowych? :D

> Zacytuj mi fragment, w którym pisałem, że klient korzysta z abonamentu!?
> Chłopie, naucz się czytać ze zrozumieniem, zanim coś napiszesz!

Według ciebie jest przewaga klienta z abonamentem w stosunku do tego na kartę.
Przykro mi, nie ma.

> > W jaki sposób?
>
> Przecież już napisałem!
> Kłania się czytanie ze zrozumieniem.

Jesteś idiotą i ignorantem, że przemilczałeś pomiędzy zdaniami zadanie kłamu
twoim teoriom, nagle udając, że nie wiesz o co chodzi?

> PS. Nie gniewaj się, ale jeśli nie potrafisz sobie poradzić z tak
> krótkim i prostym tekstem, to w szkole chyba nie szło Ci najlepiej?

buhahaha, uwaga, idiota.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

bratbrak <b...@b...com> napisał(a):

> Nie przypominam sobie, żebym wywołał Cię do odpowiedzi. Siadaj.

Pocałuj mnie w krocze. Nie potrzebuję na nic twojej, pożal się boże, zgody


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

On Thu, 20 Oct 2011 19:59:57 +0200, bzdreg wrote:
> SMS-kody są przypisane do telefonu (a raczej karty SIM, którą da się
> zduplikować na przykład, stosunkowo łatwo). To wada bądź zaleta.
>
> Co do samego bezpieczeństwa - jeśli ktoś ma już Twój (bratbraka) telefon
> z jego kontaktami i notatkami, to pewno dorwie się i do serwisu
> transakcyjnego. Telefon nosi w sobie zbyt wiele informacji i jest
> przedmiotem, który stosunkowo łatwo jest zepsuć, zgubić, utopić w sraczu
> lub dać sobie ukraść.

Zalety SMSow są IMO dwie:
1. widzisz co podpisujesz.
2. koniecznosc ataku w dwa miejsca (zdobycie dostepu do przegladarki
oraz telefonu). Oczywiscie jesli ktos się loguje z telefonicznego
browsera i ma w nim zapisane haslo do banku to... smierc frajerom? :)

> Ja-tam wolę listę haseł jednorazowych. Szyfruję je sobie swoim
> algorytmem, drukuję na karteczce, wysyłam do siebie mejlem, wgrywam do
> telefonu itd. Algorytm jest taki, ze na trzeźwo rozszyfrowuję hasło w 10
> sekund, a po pijoku jest trudniej, co też jest zaletą. :)

Wstepnie generowane hasla maja ten feler, ze nie wiesz co podpisujesz.
Co z polaczeniu ze zdarzajacymi się wtopami oprogramowania (%02%00 w IE
pamietasz?), czy tez jakimis udanymi atakami sieciowymi (ktoremu to
bankowi podmienili pare lat temu wpisy w DNSie?) moze Cie skierowac na
,,lewą'' strone, gdzie bedziesz mial zamknieta kłódeczkę i grzecznie
podasz login, haslo i tyle TANow ile potrzeba...
A i wiare w to, ze https byl jest i bedzie niepodatny na ataki wrzucilbym
rowniez do worka ,,smierc frajerom'' ;)

Jak dla mnie, wylaczajac sytuacje ciezkiego frajerstwa -- zapisania hasla
do banku w przegladarce telefonu, to SMSy są jednak bezpieczniejszym
rozwiazaniem niz TANy. Mimo, ze krucjat ,,SMSy są zle'' tu juz bylo
kilka i jakos same malo przekonujace...

pozdrawiam,
--
Michał

wiesiu jest spamtrapem. ja jestem kbns

do góry

Michal Tyrala <w...@b...com.pl> writes:

> On Thu, 20 Oct 2011 19:59:57 +0200, bzdreg wrote:
>> SMS-kody są przypisane do telefonu (a raczej karty SIM, którą da się
>> zduplikować na przykład, stosunkowo łatwo). To wada bądź zaleta.
>>
>> Co do samego bezpieczeństwa - jeśli ktoś ma już Twój (bratbraka) telefon
>> z jego kontaktami i notatkami, to pewno dorwie się i do serwisu
>> transakcyjnego. Telefon nosi w sobie zbyt wiele informacji i jest
>> przedmiotem, który stosunkowo łatwo jest zepsuć, zgubić, utopić w sraczu
>> lub dać sobie ukraść.
>
> Zalety SMSow są IMO dwie:
> 1. widzisz co podpisujesz.

Ekhem, o ile bank to w SMS-ie wysyła. m*banki tak robią inteligo też,
ale np. polbank nie ...

KJ


--
http://sporothrix.wordpress.com/2011/01/16/usa-sie-k
rztusza-kto-nastepny/
"Nie można wlecieć w trzecie tysiaclecie
na drzwiach od stodoły" - biskup polowy WP Sławoj Leszek Głódź.

do góry

On 20 Paź, 18:47, bratbrak <b...@b...com> wrote:
> Witam!
>
> Czy korzystanie z opcji SMSkod, w sytuacji kiedy ktoś korzysta z
> telefonu "na kartę", to bezpieczne rozwiązanie?
>
> Co się stanie, jeśli komuś takiemu przepadnie numer, zapomni zmienić
> numer w banku i nie będzie mógł odebrać połączenia przychodzącego (SMS)?
> Czy wtedy ktoś inny otrzyma ten kod i ten ktoś będzie mógł potwierdzić
> transakcję, a pieniądze, z konta takiej osoby, przepadną na zawsze?
>
> Czy korzystanie z opcji SMSKod, w sytuacji kiedy ktoś korzysta z
> telefonu na abonament, jest bezpieczniejszym rozwiązaniem?
>
> Pozdrawiam.

Kolega zapodał tu jakiś wydumany problem. Numer prepaid nie przepada z
dnia na dzień, a tym bardziej nie trafia z dnia na dzień do puli
wolnych numerów.
Pomijam już kwestię tego, co komu z hasła sms do autoryzacji
transakcji, bez dostępu do systemu transakcyjnego?

Na marginesie - jeśli użytkownik bankowości elektronicznej podał numer
telefonu do autoryzacji, a następnie w ogóle zapomniał, że ten numer
mu do czegoś jest potrzebny, to raczej nie powinien korzystać z tak
"zaawansowanych" usług.

do góry