-
1. Data: 2002-01-02 19:50:24
Temat: citidirect - bezpieczenstwo
Od: "Dobek" <d...@p...onet.pl>
Witam,
CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po
prostu Polak musi ponarzekac? Czy te narzekania sprowadzaja sie tylko i
wylacznie do krytyki sposobu logowania, tzn. weryfikacja nastepuje za pomoca
numeru PIN, ktory mozna podejrzec i po skradzeniu karty wykonac transakcje i
mozliwosci zapisania numeru karty na dysku (co prawda widoczne sa tylko 4
ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
zauwazam?
-
2. Data: 2002-01-02 19:56:56
Temat: Re: citidirect - bezpieczenstwo
Od: "RZ" <r...@h...pl>
Użytkownik "Dobek" <d...@p...onet.pl> napisał w wiadomości
news:a0vob8$efp$1@news.onet.pl...
> Witam,
>
> CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
> otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
> USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po
> prostu Polak musi ponarzekac? Czy te narzekania sprowadzaja sie tylko i
> wylacznie do krytyki sposobu logowania, tzn. weryfikacja nastepuje za
pomoca
> numeru PIN, ktory mozna podejrzec i po skradzeniu karty wykonac transakcje
i
> mozliwosci zapisania numeru karty na dysku (co prawda widoczne sa tylko 4
> ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
> zauwazam?
>
Witam,
CitiDirect dla KK pozwala tylko na ogladanie transakcji, wiec bezpieczenstwo
srodkow jest zapewnione. Utrata kontroli nad PINem ma znaczenie tylko w
przypadku utraty
samej karty KK. Reasumujac - pilnujesz PINu - jestes bezpieczny.
Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow innych
niz KK, wiec
tu nic nie potrafie skomentowac.
pozdrowienia
Rysiek
-
3. Data: 2002-01-02 19:59:36
Temat: Odp: citidirect - bezpieczenstwo
Od: "Dobek" <d...@p...onet.pl>
> Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow
innych
> niz KK, wiec
> tu nic nie potrafie skomentowac.
Jesli masz CD dla ROR, masz praktycznie pelna kontrole nad rachunkiem,
zarowno dla ROR jak i KK - poza zleceniem przelewu na konkretny termin.
dobek
-
4. Data: 2002-01-02 20:23:06
Temat: Re: citidirect - bezpieczenstwo
Od: "blad" <b...@i...net.pl>
Użytkownik "Dobek" <
> > Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow
> > innych niz KK, wiec tu nic nie potrafie skomentowac.
>
> Jesli masz CD dla ROR, masz praktycznie pelna kontrole nad rachunkiem,
> zarowno dla ROR jak i KK - poza zleceniem przelewu na konkretny termin.
kolego Dobek - pytasz o bezpieczenstwo CD, ktos ci odpowiada zebys sie nie
martwil bo "Utrata kontroli nad PINem ma znaczenie tylko w przypadku utraty
samej karty KK", a ty dobrze wiesz jak widac, ze oznacza to rowniez pelna
kontrole na ROR-em ;-))
Nie rozumiem ani ciebie, ani odpowiadającego "RZ". ktory mniej się zna
na temacie niż ty.
może znajdziesz demo jakiejs wersji innego kraju - spróbuj na
http://www.citibank.com/domain/index1.htm
- podobno w innych krajach jest bezpieczniejszy login
Sądząc jednak po ciągle żywe stronie http://www.shitibank.com/
to mająch podobne zdanie o tym sympatycznym banku jest więcej ;-)))
*** blad ***
-
5. Data: 2002-01-02 20:39:13
Temat: Re: citidirect - bezpieczenstwo
Od: Mariusz A. Jasiński <m...@p...onet.pl>
Dobek wrote:
>
> CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
> otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
> USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po
Citi w różnych krajach i dla różnych klientów
oferuje różny poziom bezpieczeństwa, np. w Czechach
jest odrębne hasło, i dłuższe niż 4 cyfry,
w Polsce dla firm jest token
na pewno takiej nagrody nie dostała by obecna
wersja Citidirect dla klientów ind. w Polsce,
niebawem zmieni się również poziom bezpieczeństwa
w Polsce - świadczą o tym zapisy w nowym regulaminie
czytaj na
http://www.ebanki.pl/w2001-12.html#Citidirect
> ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
> zauwazam?
dokładnie, ma głębsze podłoże
chodzi też o to, że pewnym zabezpieczeniem dla klienta
są też inne regulaminy w stanach, klient nie odpowiada
całkowicie za "zgubienie czy kradzież" jego PINu/hasła
MJ
/===================================================
=======\
Mariusz A. Jasiński Portal eBanki.pl
m...@p...onet.pl http://www.ebanki.pl
http://www.mja.w.pl
\===================================================
=======/
-
6. Data: 2002-01-02 20:49:30
Temat: Odp: citidirect - bezpieczenstwo
Od: "Dobek" <d...@p...onet.pl>
> kolego Dobek - pytasz o bezpieczenstwo CD, ktos ci odpowiada zebys sie nie
> martwil bo "Utrata kontroli nad PINem ma znaczenie tylko w przypadku
utraty
> samej karty KK", a ty dobrze wiesz jak widac, ze oznacza to rowniez pelna
> kontrole na ROR-em ;-))
kolego Blad, odwiedzilem w miedzyczasie strone polecona przez ciebie, i nie
zauwazylem jakichs wiekszych roznic w zabezpieczeniach (byc moze zrobilem to
zbyt pobieznie). Dlatego wlasnie nie rozumiem, skad ten tytul
najbepieczniejszego produktu??? Mialem na mysli wlasnie ta kwestie -
chociazby z tego wzgledu, ze jak slusznie zauwazyles, nie znam sie na tym
zbyt dobrze (o ile dobrze zrozumialem ;-)))). Pomijam tu opinie na temat
polityki banku wobec klienta - z samych wypowiedzi na pbb mozna by zlozyc
calkiem pokazna ksiege.
> Sądząc jednak po ciągle żywe stronie http://www.shitibank.com/
> to mająch podobne zdanie o tym sympatycznym banku jest więcej ;-)))
widze, ze mam troche czytania na dzisiejsza noc ;-)))) dzieki
dobek
-
7. Data: 2002-01-02 21:00:40
Temat: Re: citidirect - bezpieczenstwo
Od: "Frodi" <G...@i...pl>
A mnie ciekawi taki scenariusz:
- PIN sklada sie z 4 cyfr 1..9 (zera chyba nie ma)
- Daje to 9 ^ 4 kombinacji czyli 6561
- Zlodziej zaprasza do wspolpracy 3 kolegow
- Kazdy z przestepcow podglada nr karty u 3 znanych mu osob
- Dla kazdej karty maja do sprawdzenia ~1640 kombinacji
- Kazdy z przestepcow drukuje sobie swoje kombinacje i wykresla te, ktore
uzna za malo prawdopodobne. Zakladam - i chyba slusznie - ze ludzie
niechetnie beda uzywac pinow postaci "1111" albo "1234" albo "1112"
chociazby dlatego, ze latwo takie piny podejrzec w POSach przy kasie. Jesli
wciskam na klawiaturce "1111" to widac, ze nie przemieszczam palca i jesli w
sklepie stoi za mna zlodziej i to zobaczy to pojdzie za mna i mi zabierze
karte. Podobnie przestepcy moga zalozyc, ze malo prawdopodobne sa kombinacje
latwe do podejrzenia jak np "2223" etc.
- Po wyeliminowaniu tych "mniej prawdopodobnych" kombinacji kazdy z
przestepcow sprawdza dziennie 3 kombinacje dla kazdej karty. W szczegolnosci
kazdy ze zlodziei moze starac sie podejrzec sposob w jaki wklepuje pinkod
ofiara w sklepie. Jest to dodatkowe ulatwienie.
- Zalozmy, ze zlodziejom udalo sie ograniczyc swoje listy do 1000 kombinacji
na kazdej liscie dla kazdej z kart powyzszymi metodami
- Kazdy z nich sprawdza codziennie 3 kombinacje dla swoich 3 kart w
kafejkach internetowych, dzwoniac z modemu etc. czyli wykonuje 9 sprawdzen
dziennie
- Zalozmy pesymistycznie dla przestepcow, ze zlamali kod raczej pod koniec
niz na poczatku, czyli po 300 dniach dzialalnosci. Kazdy z czterech
przestepcow poswiecal pol godziny na swoje 9 kombinacji dziennie. Pracowali
oni w sumie 4 * 300 * 0.5 = 600 godzin.
- Jesli wyciagna z kazdej karty z bankomatu 1000 zl i dodatkowo zrobia
zakupy za 1000 zl - nie pamietam limitow w Citi - to maja 12 * 2000 zl = 24
000 zl
- Daje to za godzine zlodziejskiej pracy 40 zlotych na reke. Jesli zlamia
pinkod pozniej to oczywiscie maja mniej za godzine. Jesli wczesniej to maja
wiecej.
- 300 dni to calkiem pesymistyczny wariant. Dla niektorych kart moze im sie
udac znacznie wczesniej, np po 30 dniach.
- Czy system Citi Online zlicza liczbe blednych logowac dziennie? Jesli tak
to co sie dzieje dalej? Czy wlasciciel karty powiadamiany jest o tym? Czy
bank radzi mu zmienic PIN? Niby powienien, ale przeciez to wzbudzi obawy u
klienta banku, moze nawet rezygnacje z uslug. Czy bank bedzie wiec milczal?
- Jak czesto zmieniacie PIN do karty? Ja mam 5 kart i rzadko zmieniam kody,
bo i tak trudno je zapamietac.
Pozdrawiam
F.
PS. Prosze powyzsze potraktowac z przymrozeniem oka ;-)
-
8. Data: 2002-01-02 21:07:43
Temat: Re: citidirect - bezpieczenstwo
Od: "AR" <ar_ar(nospam)@poland.com>
"Dobek" <d...@p...onet.pl> wrote in message
news:a0vob8$efp$1@news.onet.pl...
> Witam,
>
> CitiD jest bardzo krytkowany za niskie bezpieczenstwo.
To jest problem całego CITI w Polsce. Miałem tam założyć konto, ale
zrezygnowałem - właśnie ze względu na niskie bezpieczeństwo. I nie chodzi
mi tu bynajmniej o CitiD.
Problem tkwi w CItiCard.
Jak mnie poinformowano w oddziale:
1/ do CitiCard wydawany jest PIN.
2/ CitiCard to system Maestro - czyli do zapłaty w sklepie musisz podać PIN
3/ Za pomocą Citicard z użyciem PINu można wykonać przelewy w bankomacie i
dokonać wypłaty :-)
Wnioski:
Wystarczy jeden nieuczciwy sprzedawca, a konto zostanie całkowicie
opróżnione. Nie jest obecnie problemem skopiowanie karty i podglądnięcie
pinu - wystarczy mała przeróbka POSu, której klient nie jest w stanie
zauważyć.
A bank nie uwzględnia reklamacji dokonanych z użyciem Pinu przed
zastrzeżeniem. Czyli po pieniądzach.
Pozdro
AR
PS: Z tymi zastrzeżeniami co do nieuwzględniania reklamacji z użyciem PINu
to tak do końca nie jest. Zgodnie z prawem można taką transakcję reklamować
i to skutecznie. Problem jest "tylko" z przeprowadzeniem dowodu. Czyli na
dzień dzisiejszy reklamacje są w sferze science fiction.
-
9. Data: 2002-01-02 22:11:25
Temat: Re: citidirect - bezpieczenstwo
Od: w...@p...waw.pl (Wojtek Piecek)
On Wed, Jan 02, 2002 at 10:07:43PM +0100, AR wrote:
> PS: Z tymi zastrzeżeniami co do nieuwzględniania reklamacji z użyciem PINu
> to tak do końca nie jest. Zgodnie z prawem można taką transakcję reklamować
> i to skutecznie. Problem jest "tylko" z przeprowadzeniem dowodu. Czyli na
> dzień dzisiejszy reklamacje są w sferze science fiction.
Rozumiem ze bank, mimo odpowiednich wpisow w regulaminie prowadzenia
konta, na wszelki uznaje ze miales racje, tak?
Dlaczego uwazasz ze bank nie bedzie uwazal za stosowne podporzadkowac
sie swoim wlasnym regulaminom?
--
--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki
-
10. Data: 2002-01-02 23:30:02
Temat: Re: citidirect - bezpieczenstwo
Od: Lukasz Bajoński <l...@g...pl>
"Dobek" <d...@p...onet.pl> napisał(a):
>
> > Nie znam procedur dotyczacych korzystania z CitiDirect dla rachunkow
> innych
> > niz KK, wiec
> > tu nic nie potrafie skomentowac.
>
> Jesli masz CD dla ROR, masz praktycznie pelna kontrole nad rachunkiem,
> zarowno dla ROR jak i KK - poza zleceniem przelewu na konkretny termin.
Jak najbardziej możesz realizować przelewy na konkretny termin, tylko
musisz do tego użyć stałych zleceń a nie przelewów jednorazowych.
Jeśli chcesz żeby zlecenie poszło tylko raz to dajesz datę wygaśnięcia
na następny dzień po realizacji i wszystko jest OK.
> dobek
>