Michal Jankowski <m...@f...edu.pl> writes:

> W dniu 11.12.2020 o 12:32, Alf/red/ pisze:
>> W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:
>>>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>>>> kocham nie wiem.
>>>
>>> Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
>>> o potrzebne do przejęcia konta". No to jak przejął wszystko, to
>>> przejmie konto.
>> Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także
>> w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze
>> aplikacja na innym telefonie?
>> Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki,
>> system oddzwania głosowo, trzeba podać 6 cyfr z systemu
>> transakcyjnego oraz 6 cyfr z SMS (to jest BOŚ, kto by się
>> spodziewał), takie tam.
>> Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS,
>> wiadomością w ST, wiadomością w starej apce (bo w takim Milku można
>> mieć kilka apek jednocześnie).
>>
>
> No i fajn, znaczy uzyskanie klona karty sim i przejęcie
> przeglądarki/przeglądarkowego hasła do banku wystarcza do:
>
> 1. Wykonania przelewu, jeśli był zatwierdzany sms-em.
> 2. Zainstalowania nowej apki i ...
>

W tym momencie mając apkę na innym urządzeniu prawie na pewno dostajesz push i masz
szansę zareagować zanim

> ...wykonania przelewu, jeśli był zatwierdzany apką.
>

> Ergo, zatwierdzanie apką nie jest bezpieczniejsze od zatwierdzania sms-em.

Mylisz sie.

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/

do góry

W dniu 11.12.2020 o 12:43, Kamil Jońca pisze:
> _Master_ <M...@...pl> writes:
>
>> W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:
>>
>>> Masz aplikację na telefonie, której używasz do uwierzytelniania.
>>> Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
>>> drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
>>> aplikacji.
>>
>> Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
>> życie klientowi (robi wszystko w jednym miejscu RAZ)
> Nie. System WWW nie zrobi ci "push" o aktywacji aplikacji. A telefon
> może.

Telefon jest dead, bo złodziej sklonował kartę sim. :)

No owszem, jeśli apka jest na wifi, a jeszcze do tego najlepiej w
telefonie bez karty sim, to może jest bezpieczniej. Ale wtedy to nie
jest telefon, tylko drugi komputer, tyle że kieszonkowy.

A i nie zawsze jesteś w zasięgu wifi.

MJ

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> W dniu 11.12.2020 o 12:43, Kamil Jońca pisze:
>> _Master_ <M...@...pl> writes:
>>
>>> W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:
>>>
>>>> Masz aplikację na telefonie, której używasz do uwierzytelniania.
>>>> Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
>>>> drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
>>>> aplikacji.
>>>
>>> Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
>>> życie klientowi (robi wszystko w jednym miejscu RAZ)
>> Nie. System WWW nie zrobi ci "push" o aktywacji aplikacji. A telefon
>> może.
>
> Telefon jest dead, bo złodziej sklonował kartę sim. :)
Serio? A mi się wydaje, że nie możesz co najwyżej zadzwonić po gsm.
Ale apka będzie działać po wifi.
Więc znowu się mylisz.
>
> No owszem, jeśli apka jest na wifi, a jeszcze do tego najlepiej w
> telefonie bez karty sim, to może jest bezpieczniej. Ale wtedy to nie
> jest telefon, tylko drugi komputer, tyle że kieszonkowy.
>
Przemyśl może jeszcze te scenariusze, pamiętając że:
1. sim w telefonie jest potrzebny do zalogowania się do sieci operatora
i wykonywania połaczeń
2. aplikacje na telefonie potrzebuje raczej dostępu do Internetu, ale nie
koniecznie po gsm, wifi mu wystarczy.
3. wifi nie musi być od operatora.

> A i nie zawsze jesteś w zasięgu wifi.
Oczywiście. Ja nigdzie nie twierdzę, że aplilkacja jest 100%
bezpieczna. Ja twierdze, ze jest bezpieczniejsza niż tylko sms.


KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

do góry

W dniu 11.12.2020 o 13:11, Kamil Jońca pisze:
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> W dniu 11.12.2020 o 12:32, Alf/red/ pisze:
>>> W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:
>>>>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>>>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>>>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>>>>> kocham nie wiem.
>>>>
>>>> Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
>>>> o potrzebne do przejęcia konta". No to jak przejął wszystko, to
>>>> przejmie konto.
>>> Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także
>>> w sensie karty sim), i przejął hasło do konta, to po co mu jeszcze
>>> aplikacja na innym telefonie?
>>> Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki,
>>> system oddzwania głosowo, trzeba podać 6 cyfr z systemu
>>> transakcyjnego oraz 6 cyfr z SMS (to jest BOŚ, kto by się
>>> spodziewał), takie tam.
>>> Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS,
>>> wiadomością w ST, wiadomością w starej apce (bo w takim Milku można
>>> mieć kilka apek jednocześnie).
>>>
>>
>> No i fajn, znaczy uzyskanie klona karty sim i przejęcie
>> przeglądarki/przeglądarkowego hasła do banku wystarcza do:
>>
>> 1. Wykonania przelewu, jeśli był zatwierdzany sms-em.
>> 2. Zainstalowania nowej apki i ...
>>
>
> W tym momencie mając apkę na innym urządzeniu prawie na pewno dostajesz push

Jeśli masz telefon podłączony do wifi i jesteś w zasięgu, tak. I jeśli
śpisz z telefonem...

> i masz
> szansę zareagować zanim

Czy aby na pewno "zanim"?

MJ

do góry

W dniu 10.12.2020 o 18:46, r...@k...pl pisze:
> Pytanie: mając tam konto bez karty będę płacił

Które konto? Bo nie dla wszystkich rodzajów jest opłata "za niemanie apki".

--
Alf/red/

do góry

On 2020-12-11, Alf/red/ <a...@u...waw.pl> wrote:

[...]

>>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>>> kocham nie wiem.
>>
>> Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
>> o potrzebne do przejęcia konta". No to jak przejął wszystko, to
>> przejmie konto.
>
> Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także w
> sensie karty sim), i przejął hasło do konta, to po co mu jeszcze
> aplikacja na innym telefonie?

Zakładam (może niesłusznie) że omawiamy typowy ostatnio atak typu
"klon karty SIM", a nie przejęcie smartfona metodą rozboju.
Wtedy aplikacja stanowi dodatkową warstwę zabezpieczenia,
a SMS nie.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 11.12.2020 o 14:04, Alf/red/ pisze:
> W dniu 10.12.2020 o 18:46, r...@k...pl pisze:
>> Pytanie: mając tam konto bez karty będę płacił
>
> Które konto? Bo nie dla wszystkich rodzajów jest opłata "za niemanie apki".
>

A jak ktoś ma konto od praktycznie samego początku istnienia mbanku
(chyba się to "ekonto" nazywało/nazywa, wyboru zasadniczo nie było,
istniało coś o nazwie "emax", ale "nie dotyczy"), nigdy niczego nie
zmieniał i nigdy nie nie miał karty - to będą go czymś obciążać czy nie?

MJ

do góry

On 2020-12-11, Michal Jankowski <m...@f...edu.pl> wrote:

[...]

>> ale wymaga
>> znajomości danych o osobie, więc tak też można.
>
> Ale jakich danych? PESEL/imię ojca czy tam coś? To złodziej pewnie już
> zna, skoro udało mu się uzyskać klona karty sim, to coś temu operatorowi
> telefonicznemu chyba podał?

No generalnie te pytania zaczynają też być odn. np posiadanych
produktów. U operatora spotykam się też z pytaniem np. o kwotę
ostatniej faktury.

Jak umiesz odpowiedzieć na wszystkie pytania i wiesz wszystko
o danym kliencie, to generalnie niezależnie od tego jakie będzie
miał zabezpieczenia, to nic nie pomoże.

Ale im więcej tych procedur jest, i im więcej tych danych
musisz zgromadzić tym chyba trudniej, nie?

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 11.12.2020 o 14:25, Michal Jankowski pisze:
> nigdy niczego nie zmieniał i nigdy nie nie miał karty - to będą go czymś
> obciążać czy nie?

I jeszcze nigdy transakcji nie robił, powiesz...
No to pewnie będą.
Na mLinię zadzwoń, tam Ci powiedzą. Bo tych kont/taryf jest dużo. I
jakby nie zmieniają się automatem, mój syn wciąż z izzy chodzi, choć już
płaci PIT ;-)

--
Alf/red/

do góry

Alf/red/ <a...@u...waw.pl> writes:

> W dniu 11.12.2020 o 14:25, Michal Jankowski pisze:
>> nigdy niczego nie zmieniał i nigdy nie nie miał karty - to będą go
>> czymś obciążać czy nie?
>
> I jeszcze nigdy transakcji nie robił, powiesz...
> No to pewnie będą.
> Na mLinię zadzwoń, tam Ci powiedzą. Bo tych kont/taryf jest dużo. I
> jakby nie zmieniają się automatem, mój syn wciąż z izzy chodzi, choć
> już płaci PIT ;-)
IMO, jeśli nie ma karty, to jego zmiany nie dotyczą.

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry