No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
funkcjonalności - np. modyfikacja numeru dokumentu, adresu
korespondencyjnego, ale nie da się tego zmodyfikować za pomocą haseł
jednorazowych, wolno tylko hasłem SMS. Więc aby to zrobić, trzeba sie trochę
niepotrzebnie natrudzić - najpierw zmienić na hasła SMS, dokonać modyfikacji
danych, a potem powrócić do haseł jednorazowych. BO HASŁOM SMS MÓWIMY
STANOWCZE NIE!


"Operacja wykonana niepoprawnie
EFT0804: Potwierdzenie tej operacji jest możliwe tylko przy pomocy haseł
smsowych. Aby aktywować usługę przejdź do sekcji Hasła jednorazowe i SMS lub
skontaktuj się z operatorem mLinii"



--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
news:g5cdt0$ajh$1@inews.gazeta.pl...
> No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
> funkcjonalności - np. modyfikacja numeru dokumentu, adresu
> korespondencyjnego, ale nie da się tego zmodyfikować za pomocą haseł
> jednorazowych, wolno tylko hasłem SMS. Więc aby to zrobić, trzeba sie
> trochę
> niepotrzebnie natrudzić - najpierw zmienić na hasła SMS, dokonać
> modyfikacji
> danych, a potem powrócić do haseł jednorazowych. BO HASŁOM SMS MÓWIMY
> STANOWCZE NIE!

co za glupota! a jak ktos przebywa w afryce gdzie smsy dochodza po 5
godzinach, to jak prosze? zastanawiam sie czasem kto projektuje te systemy!

do góry

info <p...@w...pl> napisał(a):

> co za glupota! a jak ktos przebywa w afryce gdzie smsy dochodza po 5
> godzinach, to jak prosze? zastanawiam sie czasem kto projektuje te systemy!

Wystarczy, że mieszka gdzieś, gdzie jest słaby zasięg, albo korzysta z
internetu w kafejce, która jest w piwnicy.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
news:g5d10b$586$1@inews.gazeta.pl...

> Wystarczy, że mieszka gdzieś, gdzie jest słaby zasięg, albo korzysta z
> internetu w kafejce, która jest w piwnicy.

I zobaczcie co może spowodować zgubienie lub zepsucie się ładowarki na
jakimś zadupiu. Trzeba by kartę przekładać do innego telefonu, o ile taki w
pobliżu będzie istniał. Telefon stacjonarny albo kafejka internetowa już nie
rozwiążą problemu. A jak to zadupie jest wm ogóle gdzieś na Antarktydzie to
co wtedy?

marekz

do góry

MarekZ pisze:
> Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
> news:g5d10b$586$1@inews.gazeta.pl...
>
>> Wystarczy, że mieszka gdzieś, gdzie jest słaby zasięg, albo korzysta z
>> internetu w kafejce, która jest w piwnicy.
>
> I zobaczcie co może spowodować zgubienie lub zepsucie się ładowarki na
> jakimś zadupiu. Trzeba by kartę przekładać do innego telefonu, o ile
> taki w pobliżu będzie istniał. Telefon stacjonarny albo kafejka
> internetowa już nie rozwiążą problemu. A jak to zadupie jest wm ogóle
> gdzieś na Antarktydzie to co wtedy?

Ale to nawet nie o to chodzi. Ciągle kładą do głowy, że hasła SMS są
bezpieczniejsze od TAN.

A IMO różnica może być łatwości ukradzenia telefonu vs łatwość poznania
haseł na liście.
I tu wcale nie widzę jakichś wielkich przewag jednego czy drugiego
rozwiązania (przy założeniu, oczywiście, zachowania jakiej takiej
ostrożności, bo jeśli ktoś zostawia na publicznie dostępnym biurku swoją
listę haseł ....)

KJ

PS. można oczywiście przyjąć, że się czepiamy, bo w końcu tych adresów
jakoś często się nie zmienia, ale teraz adresy, za chwilę przelewy ...

do góry

info pisze:
> Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
> news:g5cdt0$ajh$1@inews.gazeta.pl...
>> No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
>> funkcjonalności - np. modyfikacja numeru dokumentu, adresu
>> korespondencyjnego, ale nie da się tego zmodyfikować za pomocą haseł
>> jednorazowych, wolno tylko hasłem SMS. Więc aby to zrobić, trzeba sie
>> trochę
>> niepotrzebnie natrudzić - najpierw zmienić na hasła SMS, dokonać
>> modyfikacji
>> danych, a potem powrócić do haseł jednorazowych. BO HASŁOM SMS MÓWIMY
>> STANOWCZE NIE!
>
> co za glupota! a jak ktos przebywa w afryce gdzie smsy dochodza po 5
> godzinach, to jak prosze? zastanawiam sie czasem kto projektuje te systemy!
a jak ci się skończy karta kodów - a kończy się nagle i z zaskoczenia ;)
to nowa dojdzie po 5 tygodniach

do góry

W artykule news:487a3104$0$29656$f69f905@mamut2.aster.pl,
niejaki(a): Ra z adresu <w@stopce> napisał(a):

> info pisze:
>> Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w
>> wiadomości news:g5cdt0$ajh$1@inews.gazeta.pl...
>>> No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
>>> funkcjonalności - np. modyfikacja numeru dokumentu, adresu
>>> korespondencyjnego, ale nie da się tego zmodyfikować za
>>> pomocą haseł jednorazowych, wolno tylko hasłem SMS. Więc aby
>>> to zrobić, trzeba sie trochę
>>> niepotrzebnie natrudzić - najpierw zmienić na hasła SMS,
>>> dokonać modyfikacji
>>> danych, a potem powrócić do haseł jednorazowych. BO HASŁOM
>>> SMS MÓWIMY STANOWCZE NIE!
>>
>> co za glupota! a jak ktos przebywa w afryce gdzie smsy
>> dochodza po 5 godzinach, to jak prosze? zastanawiam sie czasem
>> kto projektuje te systemy!
> a jak ci się skończy karta kodów - a kończy się nagle i z
> zaskoczenia ;) to nowa dojdzie po 5 tygodniach

mistrzu, zwracam dyskretnie uwagę że można mieć jedną kartę
kodów aktywną i.. cztery do dyspozycji, zamówione uprzednio,
co daje po wyrobieniu pierwszej zapas.. 200 (4x50) kodów. To
mało?

--
Zastrzeżenie: Nie zgadzam się na wysyłanie NIE ZAMÓWIONYCH ofert
na adres użyty do/podczas wysłania tej wiadomości.

do góry

gollum pisze:
> http://www.mbank.pl/blog/artykul.html?id=176
> 1. Wydruk historii operacji

no i po zmianach, uwagi:

skaszaniony jest format .csv, wystarczy porównać to co generuje mBank
online z tym, co przysyła jako wyciąg pocztą

andy_nek

do góry

Dnia Sun, 13 Jul 2008 17:26:35 +0200, Kamil Jońca napisał(a):
> MarekZ pisze:

>> I zobaczcie co może spowodować zgubienie lub zepsucie się ładowarki na
>> jakimś zadupiu. Trzeba by kartę przekładać do innego telefonu, o ile
>> taki w pobliżu będzie istniał. Telefon stacjonarny albo kafejka

> Ale to nawet nie o to chodzi. Ciągle kładą do głowy, że hasła SMS są
> bezpieczniejsze od TAN.
> A IMO różnica może być łatwości ukradzenia telefonu vs łatwość poznania
> haseł na liście.

Fakt, że można po prostu nie brać ze sobą karty z kodami jednorazowymi
i nie obawiać się o bezpieczeństwo środków. Ale jeśli ktoś nosi przy sobie
zarówno komórkę i kartę kodów, to już moim zdaniem wielkiej różnicy nie ma.

Ja np. dużo szybciej zauważę że ktoś mi zwinął komórkę niż że nie mam przy
sobie portfela - po prostu tego pierwszego używam dużo częściej i pilnuję
żeby mieć go przy sobie :)

> I tu wcale nie widzę jakichś wielkich przewag jednego czy drugiego
> rozwiązania (przy założeniu, oczywiście, zachowania jakiej takiej
> ostrożności, bo jeśli ktoś zostawia na publicznie dostępnym biurku swoją
> listę haseł ....)

Co by nie mówić, to przy zachowaniu odpowiedniej ostrożności hasła SMSowe
zawierające podstawowe informacje o autoryzowanej operacji są odporne na
sprytne ataki MITM.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki <j...@c...pl> writes:

> Co by nie mówić, to przy zachowaniu odpowiedniej ostrożności hasła SMSowe
> zawierające podstawowe informacje o autoryzowanej operacji są odporne na
> sprytne ataki MITM.

O odpornosci na MITM mozna mowic wtedy, gdy dzialanie prawdziwego
klienta jest potrzebne do zatwierdzenia operacji. W przypadku SMSow
klient wraz z jego komorka moga spac, a i tak taki atak jest mozliwy
do przeprowadzenia.

Pomysl chwile, powiedzmy ze jestes operatorem telekomunikacyjnym
swiadczacym uslugi dostepu do Internetu oraz uslugi GSM (lub tylko
np. udostepniasz swoje lacza szkieletowe dla takich zastosowan, to
moze nawet lepiej). Powiedzmy ze dzialasz tylko na niewielkim
terenie, albo po prostu dorobiles sobie klucz do studzienki :-)

Widzisz jakis problem w zleceniu dowolnych operacji na kontach ludzi,
ktorzy akurat sa obslugiwani przez Twoja czesc infrastruktury?

a) SSL pokonujesz metoda lewego certyfikatu (poza przypadkami
"paranoicznymi", ktore maja puste lub prawie puste listy CA
w przegladarkach). Przy odpowiednim wysilku - nie widze problemu
w uzyskaniu takiego certyfikatu (spojrz na typowa liste CA).
To oczywiscie inna sprawa i nie bede wnikal, z zalozenia SSL nie
jest wystarczajaca ochrona, bo gdyby byl, nie byloby hasel
jednorazowych (choc oczywiscie poprawnie skonfigurowany SSL moze
byc ochrona nie do zlamania nawet bez jakichkolwiek hasel...
w znikomej czesci przypadkow).

b) korzystajac z MITM SSL podsluchujesz loginy i hasla

c) czekasz do 3 w nocy, logujesz sie do bankow, te wysylaja SMSy do
potwierdzenia przelewow itp.

d) tresc SMSow dostajesz jak na tacy od operatora GSM (albo sam nim
jestes), potwierdzasz, userzy oczywiscie wcale nie musza tych SMSow
dostac.

Trudne? Wymaga troche przygotowan, ale mozliwe do zrobienia.

Mozna oczywiscie napisac, ze listonosz tez moze przeczytac hasla, ale
one maja jedna krytyczna zalete - sa przesylane przy uzyciu innego
agenta, nie ma pojedynczego punktu, ktory mozna wykorzystac,
i znacznie trudniej jest nie pozostawic sladow.
--
Krzysztof Halasa

do góry