Witam,
Założyłem sobie nowe konto w banku, z którym nie miałem doświadczenia.
Oraz wykupiłem pakiet z dostępem do internetu.
Aby móc korzystać z konta przez WWW musiałem wygenerować swoje klucze
publiczne oraz prywatne. Następnie te klucze są wysyłane do banku i na ich
podstawie bank generuje certyfikat autentyczności. Taki certyfikat bank
tylko mi, po sprawdzeniu dowodu osobistego, dostarcza osobiście. Następnie
na podstawie tego certyfikatu ja generuje (przez WWW) kolejny certyfikat,
który umożliwi mi korzystanie z własnego konto.
Problem powstał przy wręczaniu certyfikatu generowanego przez bank. Okazało
się, że ten certyfikat był wygenerowany dla zupełnie innej osoby, z innego
miasta.
Czy jest to poważny błąd banku? Jeżeli tak, to czy bank może ponieść
konsekwencje, takiego błędu?
Pozdrawiam

do góry

Użytkownik "RObi"
> Założyłem sobie nowe konto w banku, z którym nie miałem doświadczenia.
> Oraz wykupiłem pakiet z dostępem do internetu.
> Aby móc korzystać z konta przez WWW musiałem wygenerować swoje klucze
> publiczne oraz prywatne. Następnie te klucze są wysyłane do banku i na ich
> podstawie bank generuje certyfikat autentyczności. Taki certyfikat bank
> tylko mi, po sprawdzeniu dowodu osobistego, dostarcza osobiście. Następnie
> na podstawie tego certyfikatu ja generuje (przez WWW) kolejny certyfikat,
> który umożliwi mi korzystanie z własnego konto.

tu sie mylisz - certyfikat otrzymany z banku wczytujesz do przegladarki

> Problem powstał przy wręczaniu certyfikatu generowanego przez bank. Okazało
> się, że ten certyfikat był wygenerowany dla zupełnie innej osoby, z innego
> miasta.
> Czy jest to poważny błąd banku? Jeżeli tak, to czy bank może ponieść
> konsekwencje, takiego błędu?

Jasne ze piszesz o Fortis Banku - zaden inny bank nie robi tego tak porzadnie
;-))
Sytuacja taka niczym nie grozi ani tobie ani tamtemu klientowi - po prostu zaden
z was nie dostanie sie do rachunku przez www, a to dlatego ze twoj login i haslo
porownywane musza wspolgrac z certyfikatem ktory bank ci dal. Czyli to po prostu
czyjas nieuwaga.

Ja np. w domu korzystam z Fortisa i przed wejsciem do niego przegladarka pyta
mnie ktory certyfikat wybieram poniewaz mam wgrane trzy rozne (moj i dwoch
corek). Wybranie z listy innego certyfikatu nic mi nie da bo moj login i haslo z
nim sie nie zgadzaja.
*** blad ***

do góry

Użytkownik "blad" <b...@W...pl> napisał w wiadomości
news:3d299aba$1@news.vogel.pl...
> Użytkownik "RObi"
> > Założyłem sobie nowe konto w banku, z którym nie miałem doświadczenia.
> > Oraz wykupiłem pakiet z dostępem do internetu.
> > Aby móc korzystać z konta przez WWW musiałem wygenerować swoje klucze
> > publiczne oraz prywatne. Następnie te klucze są wysyłane do banku i na
ich
> > podstawie bank generuje certyfikat autentyczności. Taki certyfikat bank
> > tylko mi, po sprawdzeniu dowodu osobistego, dostarcza osobiście.
Następnie
> > na podstawie tego certyfikatu ja generuje (przez WWW) kolejny
certyfikat,
> > który umożliwi mi korzystanie z własnego konto.
>
> tu sie mylisz - certyfikat otrzymany z banku wczytujesz do przegladarki
>
> > Problem powstał przy wręczaniu certyfikatu generowanego przez bank.
Okazało
> > się, że ten certyfikat był wygenerowany dla zupełnie innej osoby, z
innego
> > miasta.
> > Czy jest to poważny błąd banku? Jeżeli tak, to czy bank może ponieść
> > konsekwencje, takiego błędu?
>
> Jasne ze piszesz o Fortis Banku - zaden inny bank nie robi tego tak
porzadnie
> ;-))
> Sytuacja taka niczym nie grozi ani tobie ani tamtemu klientowi - po prostu
zaden
> z was nie dostanie sie do rachunku przez www, a to dlatego ze twoj login i
haslo
> porownywane musza wspolgrac z certyfikatem ktory bank ci dal. Czyli to po
prostu
> czyjas nieuwaga.
>
> Ja np. w domu korzystam z Fortisa i przed wejsciem do niego przegladarka
pyta
> mnie ktory certyfikat wybieram poniewaz mam wgrane trzy rozne (moj i dwoch
> corek). Wybranie z listy innego certyfikatu nic mi nie da bo moj login i
haslo z
> nim sie nie zgadzaja.
> *** blad ***

Witam,
Nasuwa mi się tylko jedno pytania: Dlaczego bronisz tak doskonałego systemu
zabezpieczeń, podając i wychwalając w/w bank. Takie odpowiedzi są moim
zdaniem bardzo mało obiektywne. Proponuje wobec tego test. Wyslij na grupę
dyskusyjną swój certyfikat otrzymany z banku. Na pewno nic Ci się nie
stanie.
Pozdrawiam
RObi

do góry

Użytkownik "RObi"
> (...) Wyslij na grupę dyskusyjną swój certyfikat otrzymany z banku.
> Na pewno nic Ci się nie stanie.
> Pozdrawiam
> RObi

nie bylbym taki pewien ze nic sie nie stanie ;-))
Fortis ma zwyczaj dawac kazdem standardowy login zlozony z jednej litery imienia
i nazwiska - majac juz moj certyfikat i login mozna zaczac zgadywac haslo, a to
spowoduje po kilku probach zablokowanie dostepu do konta.
To jedyny klopot, ktory mi grozi ale wole go uniknac ;-))
*** blad ***

PS w innych bankach znajac login mozna zablokowac komus rachunek nie majac
certyfikatu, wiec mimo wszystko w Fortisie jest bezpieczniej

do góry

>
> nie bylbym taki pewien ze nic sie nie stanie ;-))
> Fortis ma zwyczaj dawac kazdem standardowy login zlozony z jednej litery
imienia
> i nazwiska - majac juz moj certyfikat i login mozna zaczac zgadywac haslo, a
to
> spowoduje po kilku probach zablokowanie dostepu do konta.

Chyba nie bardzo - przeciez nie importujesz golego certyfikatu, tylko
generujesz plik wymiany informacji *.p12 i ten dopiero wczytujesz do
przegladarki.
IMHO nie uda sie w ogole dostac na strone logowania.

Zreszta, masz kilka certyfikatow w domu - sprobuj wygenerowac p12 ze swoim
kluczem i certyfikatem corki z banku...

> To jedyny klopot, ktory mi grozi ale wole go uniknac ;-))

:-)


pozdrawiam
maksymilian


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik <m...@p...onet.pl>
> > nie bylbym taki pewien ze nic sie nie stanie ;-))
> > Fortis ma zwyczaj dawac kazdem standardowy login zlozony z jednej litery
> > imienia i nazwiska - majac juz moj certyfikat i login mozna zaczac zgadywac
> > haslo, a to spowoduje po kilku probach zablokowanie dostepu do konta.
>
> Chyba nie bardzo - przeciez nie importujesz golego certyfikatu, tylko
> generujesz plik wymiany informacji *.p12 i ten dopiero wczytujesz do
> przegladarki.
> IMHO nie uda sie w ogole dostac na strone logowania.
>
> Zreszta, masz kilka certyfikatow w domu - sprobuj wygenerowac p12 ze swoim
> kluczem i certyfikatem corki z banku...

chodzi mi o ten certyfikat ktory dostajesz z banku - jest to moj klucz publiczny
podpisany przez bank i w kazdej chwili moge go z przegladarki wyeksportowac w
formacie .cer albo .p7b
to nie ma nic wspolnego z moim kluczem prywatnym ktory przeciez nie jest
pamietany przez przegladarke.
Temu co zaczal watek chodzilo o taki wlasnie certyfikat (bank pomyli odbiorce) -
moze on pozwolic wejsc na rachunek jak znasz login i haslo, lub go zablokowac
jak nie znasz hasla. Do wykonania operacji musisz siegnac po klucz prywatny.
*** blad ***

do góry

> chodzi mi o ten certyfikat ktory dostajesz z banku - jest to moj klucz
publiczny
> podpisany przez bank i w kazdej chwili moge go z przegladarki wyeksportowac w
> formacie .cer albo .p7b

Rzeczywiscie - sprobowalem u siebie i udalo mi sie umiescic certyfikat z banku
w magazynie certyfikatow osobistych, a potem wejsc na strone logowania.

W takim razie po co jest generowanie pliku p12 ??
http://www.fortisbank.com.pl/services/planet/PlanetS
tepsPL.html Krok 5.


pozdrawiam
maksymilian

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> Rzeczywiscie - sprobowalem u siebie i udalo mi sie umiescic certyfikat z
banku
> w magazynie certyfikatow osobistych, a potem wejsc na strone logowania.
>
> W takim razie po co jest generowanie pliku p12 ??
> http://www.fortisbank.com.pl/services/planet/PlanetS
tepsPL.html Krok 5.

Heh...
Przed chwila sprobowalem jeszcze raz - zaimportowalem certyfikat z pliku
cert.der otrzymanego z banku i wymusilem umieszczenie go w
magazynie "osobistych" - ale teraz robilem to z katalogu, gdzie nie bylo
reszty kluczy szyfrujacych (w tym *.p12), lecz sam goly certyfikat.
Efekt - nie mozna wyswietlic strony.

Po wyczyszczeniu przegladarki i zaimportowaniu zgodnie z instrukcja z banku
wszystko jest OK.

Czyli jednak cos w tym jest...

pozdrawiam
maksymilian





--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry