Witam,

CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po
prostu Polak musi ponarzekac? Czy te narzekania sprowadzaja sie tylko i
wylacznie do krytyki sposobu logowania, tzn. weryfikacja nastepuje za pomoca
numeru PIN, ktory mozna podejrzec i po skradzeniu karty wykonac transakcje i
mozliwosci zapisania numeru karty na dysku (co prawda widoczne sa tylko 4
ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
zauwazam?

do góry

Użytkownik "Dobek" <d...@p...onet.pl> napisał w wiadomości
news:a0vob8$efp$1@news.onet.pl...
> Witam,
>
> CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
> otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
> USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po
> prostu Polak musi ponarzekac? Czy te narzekania sprowadzaja sie tylko i
> wylacznie do krytyki sposobu logowania, tzn. weryfikacja nastepuje za
pomoca
> numeru PIN, ktory mozna podejrzec i po skradzeniu karty wykonac transakcje
i
> mozliwosci zapisania numeru karty na dysku (co prawda widoczne sa tylko 4
> ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
> zauwazam?
>

Witam,
CitiDirect dla KK pozwala tylko na ogladanie transakcji, wiec bezpieczenstwo
srodkow jest zapewnione. Utrata kontroli nad PINem ma znaczenie tylko w
przypadku utraty
samej karty KK. Reasumujac - pilnujesz PINu - jestes bezpieczny.
Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow innych
niz KK, wiec
tu nic nie potrafie skomentowac.

pozdrowienia

Rysiek

do góry

> Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow
innych
> niz KK, wiec
> tu nic nie potrafie skomentowac.

Jesli masz CD dla ROR, masz praktycznie pelna kontrole nad rachunkiem,
zarowno dla ROR jak i KK - poza zleceniem przelewu na konkretny termin.


dobek

do góry

Użytkownik "Dobek" <
> > Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow
> > innych niz KK, wiec tu nic nie potrafie skomentowac.
>
> Jesli masz CD dla ROR, masz praktycznie pelna kontrole nad rachunkiem,
> zarowno dla ROR jak i KK - poza zleceniem przelewu na konkretny termin.

kolego Dobek - pytasz o bezpieczenstwo CD, ktos ci odpowiada zebys sie nie
martwil bo "Utrata kontroli nad PINem ma znaczenie tylko w przypadku utraty
samej karty KK", a ty dobrze wiesz jak widac, ze oznacza to rowniez pelna
kontrole na ROR-em ;-))
Nie rozumiem ani ciebie, ani odpowiadającego "RZ". ktory mniej się zna
na temacie niż ty.
może znajdziesz demo jakiejs wersji innego kraju - spróbuj na
http://www.citibank.com/domain/index1.htm
- podobno w innych krajach jest bezpieczniejszy login
Sądząc jednak po ciągle żywe stronie http://www.shitibank.com/
to mająch podobne zdanie o tym sympatycznym banku jest więcej ;-)))
*** blad ***

do góry

Dobek wrote:
>
> CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
> otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
> USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po

Citi w różnych krajach i dla różnych klientów
oferuje różny poziom bezpieczeństwa, np. w Czechach
jest odrębne hasło, i dłuższe niż 4 cyfry,
w Polsce dla firm jest token

na pewno takiej nagrody nie dostała by obecna
wersja Citidirect dla klientów ind. w Polsce,
niebawem zmieni się również poziom bezpieczeństwa
w Polsce - świadczą o tym zapisy w nowym regulaminie
czytaj na
http://www.ebanki.pl/w2001-12.html#Citidirect

> ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
> zauwazam?

dokładnie, ma głębsze podłoże
chodzi też o to, że pewnym zabezpieczeniem dla klienta
są też inne regulaminy w stanach, klient nie odpowiada
całkowicie za "zgubienie czy kradzież" jego PINu/hasła

MJ

/===================================================
=======\
Mariusz A. Jasiński Portal eBanki.pl
m...@p...onet.pl http://www.ebanki.pl
http://www.mja.w.pl
\===================================================
=======/

do góry

> kolego Dobek - pytasz o bezpieczenstwo CD, ktos ci odpowiada zebys sie nie
> martwil bo "Utrata kontroli nad PINem ma znaczenie tylko w przypadku
utraty
> samej karty KK", a ty dobrze wiesz jak widac, ze oznacza to rowniez pelna
> kontrole na ROR-em ;-))

kolego Blad, odwiedzilem w miedzyczasie strone polecona przez ciebie, i nie
zauwazylem jakichs wiekszych roznic w zabezpieczeniach (byc moze zrobilem to
zbyt pobieznie). Dlatego wlasnie nie rozumiem, skad ten tytul
najbepieczniejszego produktu??? Mialem na mysli wlasnie ta kwestie -
chociazby z tego wzgledu, ze jak slusznie zauwazyles, nie znam sie na tym
zbyt dobrze (o ile dobrze zrozumialem ;-)))). Pomijam tu opinie na temat
polityki banku wobec klienta - z samych wypowiedzi na pbb mozna by zlozyc
calkiem pokazna ksiege.

> Sądząc jednak po ciągle żywe stronie http://www.shitibank.com/
> to mająch podobne zdanie o tym sympatycznym banku jest więcej ;-)))

widze, ze mam troche czytania na dzisiejsza noc ;-)))) dzieki

dobek

do góry

A mnie ciekawi taki scenariusz:

- PIN sklada sie z 4 cyfr 1..9 (zera chyba nie ma)

- Daje to 9 ^ 4 kombinacji czyli 6561

- Zlodziej zaprasza do wspolpracy 3 kolegow

- Kazdy z przestepcow podglada nr karty u 3 znanych mu osob

- Dla kazdej karty maja do sprawdzenia ~1640 kombinacji

- Kazdy z przestepcow drukuje sobie swoje kombinacje i wykresla te, ktore
uzna za malo prawdopodobne. Zakladam - i chyba slusznie - ze ludzie
niechetnie beda uzywac pinow postaci "1111" albo "1234" albo "1112"
chociazby dlatego, ze latwo takie piny podejrzec w POSach przy kasie. Jesli
wciskam na klawiaturce "1111" to widac, ze nie przemieszczam palca i jesli w
sklepie stoi za mna zlodziej i to zobaczy to pojdzie za mna i mi zabierze
karte. Podobnie przestepcy moga zalozyc, ze malo prawdopodobne sa kombinacje
latwe do podejrzenia jak np "2223" etc.

- Po wyeliminowaniu tych "mniej prawdopodobnych" kombinacji kazdy z
przestepcow sprawdza dziennie 3 kombinacje dla kazdej karty. W szczegolnosci
kazdy ze zlodziei moze starac sie podejrzec sposob w jaki wklepuje pinkod
ofiara w sklepie. Jest to dodatkowe ulatwienie.

- Zalozmy, ze zlodziejom udalo sie ograniczyc swoje listy do 1000 kombinacji
na kazdej liscie dla kazdej z kart powyzszymi metodami

- Kazdy z nich sprawdza codziennie 3 kombinacje dla swoich 3 kart w
kafejkach internetowych, dzwoniac z modemu etc. czyli wykonuje 9 sprawdzen
dziennie

- Zalozmy pesymistycznie dla przestepcow, ze zlamali kod raczej pod koniec
niz na poczatku, czyli po 300 dniach dzialalnosci. Kazdy z czterech
przestepcow poswiecal pol godziny na swoje 9 kombinacji dziennie. Pracowali
oni w sumie 4 * 300 * 0.5 = 600 godzin.

- Jesli wyciagna z kazdej karty z bankomatu 1000 zl i dodatkowo zrobia
zakupy za 1000 zl - nie pamietam limitow w Citi - to maja 12 * 2000 zl = 24
000 zl

- Daje to za godzine zlodziejskiej pracy 40 zlotych na reke. Jesli zlamia
pinkod pozniej to oczywiscie maja mniej za godzine. Jesli wczesniej to maja
wiecej.

- 300 dni to calkiem pesymistyczny wariant. Dla niektorych kart moze im sie
udac znacznie wczesniej, np po 30 dniach.

- Czy system Citi Online zlicza liczbe blednych logowac dziennie? Jesli tak
to co sie dzieje dalej? Czy wlasciciel karty powiadamiany jest o tym? Czy
bank radzi mu zmienic PIN? Niby powienien, ale przeciez to wzbudzi obawy u
klienta banku, moze nawet rezygnacje z uslug. Czy bank bedzie wiec milczal?

- Jak czesto zmieniacie PIN do karty? Ja mam 5 kart i rzadko zmieniam kody,
bo i tak trudno je zapamietac.

Pozdrawiam


F.

PS. Prosze powyzsze potraktowac z przymrozeniem oka ;-)

do góry

"Dobek" <d...@p...onet.pl> wrote in message
news:a0vob8$efp$1@news.onet.pl...
> Witam,
>
> CitiD jest bardzo krytkowany za niskie bezpieczenstwo.

To jest problem całego CITI w Polsce. Miałem tam założyć konto, ale
zrezygnowałem - właśnie ze względu na niskie bezpieczeństwo. I nie chodzi
mi tu bynajmniej o CitiD.

Problem tkwi w CItiCard.
Jak mnie poinformowano w oddziale:
1/ do CitiCard wydawany jest PIN.
2/ CitiCard to system Maestro - czyli do zapłaty w sklepie musisz podać PIN
3/ Za pomocą Citicard z użyciem PINu można wykonać przelewy w bankomacie i
dokonać wypłaty :-)


Wnioski:

Wystarczy jeden nieuczciwy sprzedawca, a konto zostanie całkowicie
opróżnione. Nie jest obecnie problemem skopiowanie karty i podglądnięcie
pinu - wystarczy mała przeróbka POSu, której klient nie jest w stanie
zauważyć.
A bank nie uwzględnia reklamacji dokonanych z użyciem Pinu przed
zastrzeżeniem. Czyli po pieniądzach.

Pozdro
AR

PS: Z tymi zastrzeżeniami co do nieuwzględniania reklamacji z użyciem PINu
to tak do końca nie jest. Zgodnie z prawem można taką transakcję reklamować
i to skutecznie. Problem jest "tylko" z przeprowadzeniem dowodu. Czyli na
dzień dzisiejszy reklamacje są w sferze science fiction.

do góry

On Wed, Jan 02, 2002 at 10:07:43PM +0100, AR wrote:

> PS: Z tymi zastrzeżeniami co do nieuwzględniania reklamacji z użyciem PINu
> to tak do końca nie jest. Zgodnie z prawem można taką transakcję reklamować
> i to skutecznie. Problem jest "tylko" z przeprowadzeniem dowodu. Czyli na
> dzień dzisiejszy reklamacje są w sferze science fiction.

Rozumiem ze bank, mimo odpowiednich wpisow w regulaminie prowadzenia
konta, na wszelki uznaje ze miales racje, tak?

Dlaczego uwazasz ze bank nie bedzie uwazal za stosowne podporzadkowac
sie swoim wlasnym regulaminom?

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

"Dobek" <d...@p...onet.pl> napisał(a):

>
> > Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow
> innych
> > niz KK, wiec
> > tu nic nie potrafie skomentowac.
>
> Jesli masz CD dla ROR, masz praktycznie pelna kontrole nad rachunkiem,
> zarowno dla ROR jak i KK - poza zleceniem przelewu na konkretny termin.

Jak najbardziej możesz realizować przelewy na konkretny termin, tylko
musisz do tego użyć stałych zleceń a nie przelewów jednorazowych.
Jeśli chcesz żeby zlecenie poszło tylko raz to dajesz datę wygaśnięcia
na następny dzień po realizacji i wszystko jest OK.

> dobek
>

do góry