"Frodi" <G...@i...pl> napisał(a):

[..]
> - Czy system Citi Online zlicza liczbe blednych logowac dziennie? Jesli tak
> to co sie dzieje dalej? Czy wlasciciel karty powiadamiany jest o tym? Czy
> bank radzi mu zmienic PIN? Niby powienien, ale przeciez to wzbudzi obawy u
> klienta banku, moze nawet rezygnacje z uslug. Czy bank bedzie wiec milczal?

Citi Online zlicza wszystkie błędne logowania, nie tylko dziennie, i
za trzecim błędnym podaniem PINu blokuje kartę, tak więc cały ten twój
długi wywód traci sens ;->

> - Jak czesto zmieniacie PIN do karty? Ja mam 5 kart i rzadko zmieniam kody,
> bo i tak trudno je zapamietac.
>
> Pozdrawiam
>
>
> F.
>
> PS. Prosze powyzsze potraktowac z przymrozeniem oka ;-)

inaczej się tego traktować nie da ...

do góry

On Thu, Jan 03, 2002 at 07:35:43AM +0100, Lukasz Bajoński wrote:

> Citi Online zlicza wszystkie błędne logowania, nie tylko dziennie, i
> za trzecim błędnym podaniem PINu blokuje kartę, tak więc cały ten twój
> długi wywód traci sens ;->

A myslales nad tym aby losowac numer karty a nie PIN? Tzn. nierzesz
sobie PIN (np. 1980 - na pewno komus sie dziecko wtedy urodzilo) i
przelatujesz po wszystkich numerach kart. Po tych numerach sensownych
- nie bedzie tego duzo wiecej niz samych numerow PIN.

I co wtedy? Dlaczego by mial blokowac karte i niby ktora?

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Dobek <d...@p...onet.pl> wrote:
> Witam,

> CitiD jest bardzo krytkowany za niskie bezpieczenstwo. Z drugiej strony
> otrzymal tytul bodaj najbezpieczniejszego bankowego produktu internetowego
> USA. Czy wynika to z tego, ze w USA jest to odmienny produkt, czy tez po
> prostu Polak musi ponarzekac?

W USA jest inny produkt.


> Czy te narzekania sprowadzaja sie tylko i
> wylacznie do krytyki sposobu logowania, tzn. weryfikacja nastepuje za pomoca
> numeru PIN, ktory mozna podejrzec i po skradzeniu karty wykonac transakcje i
> mozliwosci zapisania numeru karty na dysku (co prawda widoczne sa tylko 4
> ostatnie cyfry)? Czy tez krytyka ma jakies glebsze podloze, ktorego nie
> zauwazam?

Prawdopodobieństwo trafienia pinu wynosi 1/3000. Niedużo, prawda?
Tym bardziej, że mogę robić dwie próby i czekać powiedzmy 2 dni. W ciągu
2 dni użytkownik CD zaloguje się i skasuje licznik złych logowań. Czyli
mam jeden PIN dziennie do przetestowania. Czyli w ciągu roku szansa
rośnie do 1/100. Mając kilkadziesiąt numerów kart którąś trafię.
A numery kart moizna w dość prosty sposób wygenerować.

Czy teraz jasne?


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Lukasz Bajoński <l...@g...pl> wrote:

> Citi Online zlicza wszystkie błędne logowania, nie tylko dziennie, i
> za trzecim błędnym podaniem PINu blokuje kartę, tak więc cały ten twój
> długi wywód traci sens ;->


Którą klient odblokowuje.
Albo złodziej sprawdza dwa piny dziennie i czeka, aż się klient zaloguje
i skasuje licznik.


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

"Wojtek Piecek" <w...@p...waw.pl> wrote in message
news:20020102231106.E30426@diuna.pingwin.waw.pl...

> Rozumiem ze bank, mimo odpowiednich wpisow w regulaminie prowadzenia
> konta, na wszelki uznaje ze miales racje, tak?
>
> Dlaczego uwazasz ze bank nie bedzie uwazal za stosowne podporzadkowac
> sie swoim wlasnym regulaminom?

Ależ banki stosują się do własnych regulaminów.
Tylko że PINem wygląda to tak.
1/ bank jest odpowiedzialny wypłaty z konta dokonane przez osobę
nieuprawnioną.
2/ czyli jak bank wie, że PINem posłużyła się nieuprawniona osoba, to musi
uznać reklamację (a jak tego nie zrobi, to sąd go zmusi)
3/problem jest wtedy, gdy bank nie wie, że PINem posłużyła się nieuprawniona
osoba lub wiedzieć nie chce. Co wtedy?
Albo reklamacja albo droga sądowa. I tu zaczynają się schody. Żąda się
wówczas ustalenia stanu konta. I to na Banku spoczywa ciężar dowodu, że
wypłata dokonała uprawniona osoba. Bank wówczas stwierdza, że na pewno
wypłaciła osoba uprawniona, gdyż tylko ona zna PIN, gdyż bank posiada takie
procedury, które uniemożliwiają zapoznanie się z PINem przez osobę trzecią -
czyli to posiadacz karty musiał przez swoje niedbalstwo komuś PIN wyjawić,
więc bank nie odpowiada za straty. Więc w tym momencie to posiadacz karty,
musi udowadniać, że transakcję dokonała osoba nieuprawniona. Ale jak?
Przecież PIN to tylko kilka cyfr i nie ma możliwości ustalenia, kto je
wpisał w bankomacie. Chyba że byli jacyś świadkowie, albo posiadacz karty
był na drugim końcu kraju. Więc poza wypadkami ewidentnymi nie da się
praktycznie odzyskać forsy, chyba że bank sam pójdzie na ustępstwa.

Pozdr
AR

do góry

On Thu, Jan 03, 2002 at 12:20:28PM +0100, AR wrote:

> 2/ czyli jak bank wie, że PINem posłużyła się nieuprawniona osoba, to musi
> uznać reklamację (a jak tego nie zrobi, to sąd go zmusi)

A na Tobie spoczywa obowiazek nie udostepniania innym swojego kodu PIn.

> Albo reklamacja albo droga sądowa. I tu zaczynają się schody. Żąda się
> wówczas ustalenia stanu konta. I to na Banku spoczywa ciężar dowodu, że
> wypłata dokonała uprawniona osoba. Bank wówczas stwierdza, że na pewno
> wypłaciła osoba uprawniona, gdyż tylko ona zna PIN, gdyż bank posiada takie
> procedury, które uniemożliwiają zapoznanie się z PINem przez osobę trzecią -

Chyba zartujesz. Bank ma to udowadniac?

> czyli to posiadacz karty musiał przez swoje niedbalstwo komuś PIN wyjawić,
> więc bank nie odpowiada za straty. Więc w tym momencie to posiadacz karty,
> musi udowadniać, że transakcję dokonała osoba nieuprawniona. Ale jak?
> Przecież PIN to tylko kilka cyfr i nie ma możliwości ustalenia, kto je
> wpisał w bankomacie. Chyba że byli jacyś świadkowie, albo posiadacz karty
> był na drugim końcu kraju. Więc poza wypadkami ewidentnymi nie da się
> praktycznie odzyskać forsy, chyba że bank sam pójdzie na ustępstwa.

Przeciez Ci tlumacze, ze wlasnie dlatego podpis PINowy jest
zabezpieczeniem dla banku a nie dla Ciebie. A Ty mi wyjezdzasz z
tekstem ze ban ma udodownic ze to osoba upowazniona uzyla PINu.

Rozumiem ze przy podpisach cyfrowych tez bedziesz wymagal od jakiegos
urzedu zeby sprawdzil (np. poprzez wezwanie do siebie obywatela i
okazanie dowodu osobistego) ze podpis elektroniczny jest jego
podpisem.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

"Wojtek Piecek" <w...@p...waw.pl> wrote in message
news:20020103130201.N30426@diuna.pingwin.waw.pl...
> On Thu, Jan 03, 2002 at 12:20:28PM +0100, AR wrote:

> > Albo reklamacja albo droga sądowa. I tu zaczynają się schody. Żąda się
> > wówczas ustalenia stanu konta. I to na Banku spoczywa ciężar dowodu, że
> > wypłata dokonała uprawniona osoba. Bank wówczas stwierdza, że na pewno
> > wypłaciła osoba uprawniona, gdyż tylko ona zna PIN, gdyż bank posiada
takie
> > procedury, które uniemożliwiają zapoznanie się z PINem przez osobę
trzecią -
>
> Chyba zartujesz. Bank ma to udowadniac?

Nie, nie żartuję. Bank dokonując potrącenia z konta, musi mieć ku temu
podstawę. I to właśnie bank musi tą podstawę wykazać.


> Przeciez Ci tlumacze, ze wlasnie dlatego podpis PINowy jest
> zabezpieczeniem dla banku a nie dla Ciebie. A Ty mi wyjezdzasz z
> tekstem ze ban ma udodownic ze to osoba upowazniona uzyla PINu.

Wcale nie napisałem, że bank ma udowadniać, że uprawniona osoba użyła PINu.
Napisałem, że bank musi udowodnić, że wypłaty dokonała osoba uprawniona. A
to jest zasadnicza różnica.

> Rozumiem ze przy podpisach cyfrowych tez bedziesz wymagal od jakiegos
> urzedu zeby sprawdzil (np. poprzez wezwanie do siebie obywatela i
> okazanie dowodu osobistego) ze podpis elektroniczny jest jego
> podpisem.

:-)

Pozdro
AR

do góry

On Thu, Jan 03, 2002 at 02:01:35PM +0100, AR wrote:

> Nie, nie żartuję. Bank dokonując potrącenia z konta, musi mieć ku temu
> podstawę. I to właśnie bank musi tą podstawę wykazać.

Bank przekazal Tobie poufny kod. Kodu tego masz nikomu nie
udostepniac.

Dlaczego bank ma udowodnic ze nie udostepniles?

> Wcale nie napisałem, że bank ma udowadniać, że uprawniona osoba użyła PINu.
> Napisałem, że bank musi udowodnić, że wypłaty dokonała osoba uprawniona. A
> to jest zasadnicza różnica.

Nie, to jest tylko semantyka.

Ja nie mowie o przypadku kiedy staruszka wklepie swoj PIN a ktos jej
kase z bankomatu buchnie (bo to jest Twoj przyklad).

Karta podobnie jak i PIN zostaja przekazane osobie upowaznionej
(posiadaczowie karty czy inaczej card holderowi) i on ma sie nimi
poslugiwac.

> > Rozumiem ze przy podpisach cyfrowych tez bedziesz wymagal od jakiegos
> > urzedu zeby sprawdzil (np. poprzez wezwanie do siebie obywatela i
> > okazanie dowodu osobistego) ze podpis elektroniczny jest jego
> > podpisem.
>
> :-)

No ale nie ma sie z czego smiac - to jest tylko sprowadzone do absurdu
to co sam piszesz.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

"Wojtek Piecek" <w...@p...waw.pl> wrote in message
news:20020103140611.P30426@diuna.pingwin.waw.pl...
>
> On Thu, Jan 03, 2002 at 02:01:35PM +0100, AR wrote:
>
> > Nie, nie żartuję. Bank dokonując potrącenia z konta, musi mieć ku temu
> > podstawę. I to właśnie bank musi tą podstawę wykazać.
>
> Bank przekazal Tobie poufny kod. Kodu tego masz nikomu nie
> udostepniac.
>
> Dlaczego bank ma udowodnic ze nie udostepniles?

Tego bank nie musi udowadniać. Gdzie to wyczytałeś w moich postach??? Ja
przecież nic takiego nie napisałem!


> > Wcale nie napisałem, że bank ma udowadniać, że uprawniona osoba użyła
PINu.
> > Napisałem, że bank musi udowodnić, że wypłaty dokonała osoba uprawniona.
A
> > to jest zasadnicza różnica.
>
> Nie, to jest tylko semantyka.

Nie, to nie semantyka. Jak nie widzisz różnicy, to Ci ją objaśnię.
Udowodnienie przez bank, że wypłaty dokonała osoba uprawniona sprowadza się
do tego, że użyto PINu, a bank zastosował takie procedury, że bez woli osoby
dla której PIN został wydany, nikt nie mógł PINu poznać.

I nie ma to nic wspólnego z udowadnianiem przez bank, że PIN użyła osoba
uprawniona - to jest całkiem inne zagadnienie.


Widzisz już różnicę???

>
> Ja nie mowie o przypadku kiedy staruszka wklepie swoj PIN a ktos jej
> kase z bankomatu buchnie (bo to jest Twoj przyklad).

To jest mój przykład? Czy chociaż przeczytałeś mój poprzedni post
(2002-01-02, 22:07). Wyraźnie tam napisałem, że chodzi o przypadek
odpowiedniego przerobienia POSu i skopiowania karty.
J
ak widzisz, przykład ze staruszką nie jest mój, tylko Twój.


> Karta podobnie jak i PIN zostają przekazane osobie upowaznionej
> (posiadaczowie karty czy inaczej card holderowi) i on ma sie nimi
> poslugiwac.
>
> > > Rozumiem ze przy podpisach cyfrowych tez bedziesz wymagal od jakiegos
> > > urzedu zeby sprawdzil (np. poprzez wezwanie do siebie obywatela i
> > > okazanie dowodu osobistego) ze podpis elektroniczny jest jego
> > > podpisem.
> >
> > :-)
>
> No ale nie ma sie z czego smiac - to jest tylko sprowadzone do absurdu
> to co sam piszesz.

Najpierw przeczytaj to co wcześniej napisałem, a dopiero później mów o
sprowadzaniu do absurdu. Chyba że nie rozumiesz tego co czytasz.

AR

do góry

On Thu, Jan 03, 2002 at 02:33:26PM +0100, AR wrote:

> Nie, to nie semantyka. Jak nie widzisz różnicy, to Ci ją objaśnię.
> Udowodnienie przez bank, że wypłaty dokonała osoba uprawniona sprowadza się
> do tego, że użyto PINu, a bank zastosował takie procedury, że bez woli osoby
> dla której PIN został wydany, nikt nie mógł PINu poznać.
>
> I nie ma to nic wspólnego z udowadnianiem przez bank, że PIN użyła osoba
> uprawniona - to jest całkiem inne zagadnienie.
>
>
> Widzisz już różnicę???

Przeciez to sa zupelnie inne przypadki!

Co ma "zastosowanie przez bank odpowiednich procedur aby ..."
wspolnego z uzyciem przeze mnie karty w miejscu (poza bankiem ktory mi
karte wydal) gdzie ktos filmuje moja reke i wpisywany kod? Bez woli
osoby dla ktorej pin byl wydany!

> Najpierw przeczytaj to co wcześniej napisałem, a dopiero później mów o
> sprowadzaniu do absurdu.

Chyba sie sam nie spodziewasz ze bedziemy stosowac Twoje rozumowanie
tylko tam gdzie jest wygodnie. Staram sie pokazac sytuacje idiotyczne,
ale podchodzace pod Twoje warunki (bardzo skrajnie).

> Chyba że nie rozumiesz tego co czytasz.

Alez sie musisz meczyc czytaniem moich listow. Przy okazji - nie
musisz tego robic.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry