Karty kodów wyglądają elegancko, ładnie zamalowane, co ma uniemożliwić
podgląd kodów tam zapisanych przez kogokolwiek poza posiadaczem konta.
Brzmi dumnie :-)))
No ale okazuje się, że to jest totalna farsa !
Dlaczego ?
Otrzymałem automatycznie wysyłaną - kolejną, kartę kodów.
Nie była mi jeszcze potrzebna.
nie minął tydzień - patrzę - dostałem następną kartę kodów, może nic
dziwnego - gdyby nie fakt, że: TO BYŁ DOKŁADNY duplikat otrzymanej karty
kilka dni wcześniej ! DOKŁADNIE taka SAMA karta kodów - o tym samym numerze
kolejnym i o identycznych kodach pod malunkami !
Nie zdążyłem jeszcze ochłonąć z wrażenia - a tu dzwoni do mnie inteligowa
infolinistka i informuje mnie, że:
przez tzw: pomyłkę - pracownik wydrukował dla mnie ..:-)))) he he "dla mnie"
:-)) duplikat karty kodów.
No i prysł mit o tajnych kodach, malunkach i temu podobnych bzdetach, bo oto
okazuje się, że "byle szary' pracownik może sobie wydrukować dowolną kartę
kodów i zrobić z nią co mu się podoba.
Tajne kody nie są już takie tajne - bo bez żadnego problemu - "przez
pomyłkę" można sobie wydrukować dowolną kopię dowolnej katy kodów -
dowolnego użytkownika inteligo !
Zapytam tak przy okazji - komuś jeszcze przysłali "duplikat" ?? czy to tylko
na moje konto ktoś sobie ząbki ostrzył - a przez głupotę zamiast do siebie -
wysłał ją do mnie :-))))

do góry

Użytkownik "krab"
> Tajne kody nie są już takie tajne - bo bez żadnego problemu - "przez
> pomyłkę" można sobie wydrukować dowolną kopię dowolnej katy kodów -
> dowolnego użytkownika inteligo !
> Zapytam tak przy okazji - komuś jeszcze przysłali "duplikat" ?? czy to
tylko
> na moje konto ktoś sobie ząbki ostrzył - a przez głupotę zamiast do
siebie -
> wysłał ją do mnie :-))))

Na p.b.b. i w roznych "rankingach" jest dożo zwolenników hasel
jednorazowych.
Ja natomiast uważam, że hasla jednorazowe (drukowane lub generowane przez
token)
maja taką właśnie wadę, że pracownik banku (szczególnie informatyk) mogą
sobie taką
odpowiedż jednorazową wygenerować, bo komputer bankowy po prostu to umie.

Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
transakcji
nim nie podpisze ;-))
*** blad ***

do góry

Użytkownik "krab" <k...@h...pl_______> napisał w wiadomości
news:a8f0ov$clk$1@news.tpi.pl...
:
TO BYŁ DOKŁADNY duplikat otrzymanej karty
> kilka dni wcześniej ! DOKŁADNIE taka SAMA karta kodów - o tym samym
numerze
> kolejnym i o identycznych kodach pod malunkami !

O Boże - jakieś horrory tu wypisujesz, aż mnie się włosy na głowie zjeżyły !


> Nie zdążyłem jeszcze ochłonąć z wrażenia - a tu dzwoni do mnie inteligowa
> infolinistka i informuje mnie, że:
> przez tzw: pomyłkę - pracownik wydrukował dla mnie ..:-)))) he he "dla
mnie"
> :-)) duplikat karty kodów.

Jak to możliwe żeby można było wygenerowac taki duplikat ? Jeśli się mylę to
napiszcie jak to jest - bo chyba taka listę kodów mozna wygenerowac tylko
raz ??? Posiwieje zaraz jak Boga kocham .....

do góry

Wydrukuje sobie nawet i 1000 duplikatow i co z nimi zrobi? Chyba za
skrobaczke do szyb mu posluza.
Widziales KARTKI z mBanku?

A nie przeszkadza ci ze kazdy szary pracownik ma dostep do twojego konta?

Proponuje skarpete zakonto i to w roznych kolorach (dla utrudnienia, kolory
beda robic za karte kodow).

do góry

"minik" <m...@m...net> wrote in message news:a8f2m8$67h$1@news.onet.pl...
> Wydrukuje sobie nawet i 1000 duplikatow i co z nimi zrobi? Chyba za
> skrobaczke do szyb mu posluza.
> Widziales KARTKI z mBanku?

minik - nie pisz bzdur. Idea kodów wg mnie powinna być zgodna z ideą haseł
szyfrowanych. Czyli kody generuje się TYLKO i WYŁĄCZNIE raz. Kod można
sprawdzić ale NIE odtworzyć, dlatego że algorytm ma działać tylko w jedną
stronę. Łopatologinicze: możesz wpisywać i do skutku zgadywać kod aż Ci
system napisze "Kod OK" ale odtworzenie kodu NIE wchodzi w grę. Jeśli
rzeczywiście jest tak jak pisze przedmówca to jest to skandal jakiego chyba
na pbb nie było.

K. Kowalski

do góry

"blad" <b...@W...pl> wrote in message
news:a8f34b$4eo$1@news.tpi.pl...
> Na p.b.b. i w roznych "rankingach" jest dożo zwolenników hasel
> jednorazowych.
> Ja natomiast uważam, że hasla jednorazowe (drukowane lub generowane przez
> token)
> maja taką właśnie wadę, że pracownik banku (szczególnie informatyk) mogą
> sobie taką
> odpowiedż jednorazową wygenerować, bo komputer bankowy po prostu to umie.

Bo one nie powinny być tak skonstruowane. Powinny być szyfrowane bez
możliwości zdeszyfrowania (w rozsądnym czasie ;-)

K. Kowalski

do góry

> Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> transakcji nim nie podpisze ;-))

dokladnie!
nawet zus to zrozumial,
proste i eleganckie,
nie lubie ani tokenow ani list hasel jednorazowych

do góry

> minik - nie pisz bzdur. Idea kodów wg mnie powinna być zgodna z ideą haseł
> szyfrowanych. Czyli kody generuje się TYLKO i WYŁĄCZNIE raz. Kod można
> sprawdzić ale NIE odtworzyć, dlatego że algorytm ma działać tylko w jedną

proste, skuteczne, dawno odkryte,
stosowane od systemow operacyjnych, do byle website'ow,

jezeli inteligo naprawde tak tego nie rozwiazalo,
to jest to po prostu doszczetna kompromitacja

do góry

Użytkownik "Krzysztof Kowalski" <
> > odpowiedż jednorazową wygenerować, bo komputer bankowy po prostu to
umie.
>
> Bo one nie powinny być tak skonstruowane. Powinny być szyfrowane bez
> możliwości zdeszyfrowania (w rozsądnym czasie ;-)

a kto mowi o deszyfrowaniu - majac klucz symetryczny (ty w tokenie a bank w
komputerze) i algorytm (DES, 3*DES) masz komplet potrzebny na wejsciu.
Wrzucisz tam haslo "challange" i dostaniesz odpowiedz "response" - ty taka
sama w tokenie a komputer sobie to przeliczy.
Jak sie wam wynik zgodzi to jest OK.
Kazda lista hasel jednorazowych to lista ilus odpowiedzi po wrzuceniu
jakiegos ostatnio uzytego hasla i zeby ją powtorzyc wystarczy zapamietać to
ostatnio podane haslo. Jesli komputer bankowy nie umialby tej listy
odtworzyc to na jakiej podstawie swierdzalby ze twoja odpowiedz jest
poprawna ;-)))
*** blad ***

do góry

> minik - nie pisz bzdur. Idea kodów wg mnie powinna być zgodna z ideą haseł
> szyfrowanych. Czyli kody generuje się TYLKO i WYŁĄCZNIE raz. Kod można
> sprawdzić ale NIE odtworzyć, dlatego że algorytm ma działać tylko w jedną
> stronę. Łopatologinicze: możesz wpisywać i do skutku zgadywać kod aż Ci
> system napisze "Kod OK" ale odtworzenie kodu NIE wchodzi w grę. Jeśli
> rzeczywiście jest tak jak pisze przedmówca to jest to skandal jakiego
chyba
> na pbb nie było.

No ale przeciez one w bazie musza byc. Inaczej nie zalogowalbys sie na
konto.

do góry