*Vizvary II Istvan* napisał(a):

> Spreparowana przeglądarka. Każda jest podatna. IE jest najtrudniej. Nie chce
> więcej pisać na ten temat, w końcu nie jest to miejsce na pomysły dla
> złodziei. Zresztą sprawa nie jest krytyczna pod względem bezpieczeństwa , bo
> nikt przy zdrowych zmysłach nie korzysta z kawiarenki mając na koncie
> poważniejsze kwoty.

Zgoda. Jakoś mi umknęło, że pisałeś o korzystaniu z kawiarenek...
Co do komputerów domowych, to pozostaje problem dziur w przeglądarkach
i firewallach. Ale to już zupełnie inna historia :)

> Dziś pół dnia się zastanawiałem czy bank może od strony serwera przed takim
> atakiem zabezpieczyć. Nie bardzo widzę mozliwości.
> Może zabezpieczeniem jest ochrona integralnosci danych, nawet ta najprostsza
> (jak te tokeny z klawiaturą), ale tak jak teraz (podczas pisania tego listu)
> się zastanawiam, to też niewiele pomoże.

Mimo wszystko uważam, że banki powinny wykorzystywać hasła jednorazowe
lub wskazania tokena przy logowaniu (np. wkomponowane we frazę hasła).
W takim przypadku, bez kodów, potencjalny złodziej nie byłby w stanie
dostać się na konto nawet po pozyskaniu numeru klienta i hasła.

_Zdaje się_, że Lukas tak ma, ale to wyjątek.

Pozdrawiam
--
Marek Szapajko .... http://www.szapajko.republika.pl .... Zażółć gęślą jaźń
GG: 208353 ....... OdROTuj email: echo f...@t...pbz | tr 'a-z' 'n-za-m'
Non sunt multiplicanda entia sine necessitate.
(William Ockam)

do góry

"Marek Szapajko" <f...@t...pbz> wrote in message
news:slrn.pl.dg75u5.3rg.fmncnw@msj...
> *Vizvary II Istvan* napisał(a):
>

> Mimo wszystko uważam, że banki powinny wykorzystywać hasła jednorazowe
> lub wskazania tokena przy logowaniu (np. wkomponowane we frazę hasła).
> W takim przypadku, bez kodów, potencjalny złodziej nie byłby w stanie
> dostać się na konto nawet po pozyskaniu numeru klienta i hasła.

Oczywiście. Jest to zupełnie przyzwoite i poręczne zabezpieczenie, tylko
trzeba znac ograniczenia i potencjalne zagrożenia.

Vizvary Istvan
http://www.cryptigo.com

do góry

> _Zdaje się_, że Lukas tak ma, ale to wyjątek.

Lukas tak właśnie ma, trzeba podać login i swoje hasło plus
jednorazowy kod generowany przez token. Ale w praktyce jest
to średnio wygodne, wolałbym mieć możliwość szybkiego zalogowania
się, sprawdzenia salda i wylogowania bez wyciągania tokenu.

T.

do góry

Tomasz Finke wrote:

> Lukas tak właśnie ma, trzeba podać login i swoje hasło plus
> jednorazowy kod generowany przez token. Ale w praktyce jest
> to średnio wygodne, wolałbym mieć możliwość szybkiego zalogowania
> się, sprawdzenia salda i wylogowania bez wyciągania tokenu.

w lukasie szybkie sprawdzenie salda? wolne żarty :)
już pomijam token, bo pochłania on najmniej czasu, ale to odświeżanie!
jak kiedyś korzystałem z dialupu i chodziło mi o to, żeby nastukać jak
najmniej impulsów, to logowałem się do lukasa, klikałem 'odśwież',
rozłączałem się i wdzwaniałem ponownie za 10 min, bo 5 min to mogło być
za wcześnie.
a co do szybkiego sprawdzenia salda to polecam mbank - można sprawdzić
sms-sem, jak masz go w "wysłanych" to trwa sekundę.

pozdr
trainer

do góry

*Tomasz Finke* napisał(a):

> Lukas tak właśnie ma, trzeba podać login i swoje hasło plus
> jednorazowy kod generowany przez token. Ale w praktyce jest
> to średnio wygodne, wolałbym mieć możliwość szybkiego zalogowania
> się, sprawdzenia salda i wylogowania bez wyciągania tokenu.

Podejrzewam, że właśnie taka postawa klientów [1] jest jednym z powodów
dla których większość banków się jednak nie decyduje na takie rozwiązanie.

[1] Nie oceniam tej postawy. Dla mnie podstawą jest bezpieczeństwo
-- dla innych wygoda.

Pozdrawiam
--
Marek Szapajko .... http://www.szapajko.republika.pl .... Zażółć gęślą jaźń
GG: 208353 ....... OdROTuj email: echo f...@t...pbz | tr 'a-z' 'n-za-m'
Avoid using 'cat' whenever possible
(Taylor's Law of Programming #5)

do góry

> Mimo wszystko uważam, że banki powinny wykorzystywać hasła jednorazowe

a ja uwazam ze kazdy bank powiniem napisac specjalna przegladarke ktora
mozna tylko i wylacznie polaczyc sie z serwerem banku i operowac kontem.
problem dziur w jakims stopniu chyba by zniknol?

do góry

"HardwireD" <d...@d...sfgag> wrote in message
news:de392i$h53$1@inews.gazeta.pl...
>> Mimo wszystko uważam, że banki powinny wykorzystywać hasła jednorazowe
>
> a ja uwazam ze kazdy bank powiniem napisac specjalna przegladarke ktora
> mozna tylko i wylacznie polaczyc sie z serwerem banku i operowac kontem.
> problem dziur w jakims stopniu chyba by zniknol?
>
Alikacjami dedykowanymi posługują sie często banki. Jest to jedna z wielu
mozliwości, atrakcyjne w przypadku klienta stacjonarnego lub mobilnego, ale
posługującego się z w podróży własnym PDA. Czy to ma być przeglądarka? na
pewno nie. Po co ?
Jeszcze inna mozliwość to standaryzacja protokołów i struktur danych w celu
umozliwienia integracji np. Microsoft Money i innymi aplikacjami podobnymi
(również pod Linux, by dyskusja nie zaszła na boczny tor). ING miał taki
eksperyment, ale coś ostatnio nic nie słychać.
W tym układzie już mozna posługiwać się podpisanymi cyfrowymi dokumentami.
(Gdy bank sam dostarcza aplikacje bez mozliwosci stosowania innej, jest
wątpliwe, by zaszły warunki co do niezaprzeczalnosci transakcji ze strony
klienta, nawet gdy klient wydala w kierunku banku dokument podpisany
kwalifikowanym certyfikatem)

Vizvary Istvan
http://www.cryptigo.com

do góry

Użytkownik "HardwireD" <d...@d...sfgag> napisał w wiadomości
news:de392i$h53$1@inews.gazeta.pl...
>> Mimo wszystko uważam, że banki powinny wykorzystywać hasła jednorazowe
>
> a ja uwazam ze kazdy bank powiniem napisac specjalna przegladarke ktora
> mozna tylko i wylacznie polaczyc sie z serwerem banku i operowac kontem.
> problem dziur w jakims stopniu chyba by zniknol?

Łatwiej chyba podrobić przeglądarkę niż np zhackować stronę banku :)
Pomijam problem fishingu, bo na to żadna przeglądarka nie
pomoże.
Indywidualne przeglądarki to dodatkowa niedogodność dla klientów,
poza tym dochodzi problem dostarczenia ich klientom. Jak to
zrobić, żeby była pewność, że są oryginalne? Już bardziej
weryfikowalne jest www.

Pozdrawiam
Miroo

do góry

On Fri, 19 Aug 2005 02:28:00 +0200, "HardwireD"
<d...@d...sfgag> wrote:

>a ja uwazam ze kazdy bank powiniem napisac specjalna przegladarke ktora
>mozna tylko i wylacznie polaczyc sie z serwerem banku i operowac kontem.
>problem dziur w jakims stopniu chyba by zniknol?

taaa, a pamiętacie błąd Lukasa, gdy system pokazywał zlecenia innych
klientów?

Nie ma programów bezbłędnych, są tylko niedokładnie przetestowane.
--
Jarek Andrzejewski

do góry

Użytkownik "Jarek Andrzejewski" <j...@d...com.pl> napisał w wiadomości
news:mlqmg1dpnkl19ld65sg5jrvn8ig6r0uts5@4ax.com...
> taaa, a pamiętacie błąd Lukasa, gdy system pokazywał zlecenia innych
> klientów?
>
> Nie ma programów bezbłędnych, są tylko niedokładnie przetestowane.

Jakby nie patrzeć to bankowe serwisy www to też programy
i to nie małe.

Pozdrawiam
Miroo

do góry