On Wed, 29 Oct 2003 10:54:34 +0100, "kriskel" <k...@p...onet.pl>
wrote:

>A przeważnie na grupie były głosy, że zabezpieczenia są niewystarczające.

ale to akurat "pseudo-zabezpieczenie" jest IMHO wyjątkowo bez sensu.
Przed czym zabezpieczać może to, że konto zablokuje się po np. dwóch
latach użytkowania (a w tym czasie 49 błędach) po jednokrotnym
"omsknięciu" się palców podczas wpisywania hasła?

--
Jarek Andrzejewski

do góry

Użytkownik "radarek" <dbuba@NOSPAM@softsystem.pl> napisał w wiadomości
news:bno4mg$6eq$1@atlantis.news.tpi.pl...
> Czy naprawde uwazasz, ze to bedzie w porzadku ze strony banku?
> Gdyby chociaz serwis internetowy ostrzegal, ze licznik bledow zbliza sie
do
> 50.

Przeczytałeś dokładnie mój post. Napisałem, że nie w porządku jest to, że
bank nie oddzwania natychmiast po takim zgłoszeniu. I to jest
najpoważniejszy mankament.

kriskel

do góry

Użytkownik "Jarek Andrzejewski" <j...@d...com.pl> napisał w wiadomości
news:rt9vpvo91pnuitha7ifurg06j5q13e2v9f@4ax.com...
>
> ale to akurat "pseudo-zabezpieczenie" jest IMHO wyjątkowo bez sensu.
> Przed czym zabezpieczać może to, że konto zablokuje się po np. dwóch
> latach użytkowania (a w tym czasie 49 błędach) po jednokrotnym
> "omsknięciu" się palców podczas wpisywania hasła?

Widzisz, może to nie jest tak bardzo pozbawione sensu. Np karta kredytowa
Lukasa jest blokowana po trzykrotnym błędnym wprowadzeniu PIN, ale w całym
okresie użytkowania karty. To znaczy nie musi nastąpić to w czasie jednego
posiedzenia karty w bankomacie. Czy to przesada? Chyba nie. Nieprawny
użytkownik po dwóch błędach wyjmuje kartę z bankomatu i wprowadza ją
spowrotem. Gdyby kasowało licznik, to teraz znów mógłby wprowadzić sobie
dwukrotnie błędny PIN i wyjąć kartę. Ale niestety zabezpieczenie pozwala
wprowadzić mu jeszcze tylko jeden raz zły PIN i koniec.
Podobnie z licznikiem mBanku. Ktoś wprowadza dwa razy zły kod i cofa stronę
albo otwiera ponownie przeglądarkę i znowu wprowadza kody. Żeby nie
zablokować może swobodnie wprowadzić kolejne dwa kody. I tak mógłby się
bawić w nieskończoność. A w przypadku kiedy po 50 nieudanych próbach
zostanie zablokowany dostęp, to masz sygnał, że ktoś próbował się włamać do
Twojego konta.
Czy to jest pozbawione sensu?

kriskel

do góry

Użytkownik "kriskel" <k...@p...onet.pl> napisał w wiadomości
news:bnoatg$ppr$1@news.onet.pl...

> użytkownik po dwóch błędach wyjmuje kartę z bankomatu i wprowadza ją
> spowrotem. Gdyby kasowało licznik, to teraz znów mógłby wprowadzić sobie
> dwukrotnie błędny PIN i wyjąć kartę. Ale niestety zabezpieczenie pozwala
> wprowadzić mu jeszcze tylko jeden raz zły PIN i koniec.

Mam wrażenie, że niebyt rozumiesz to, o czym piszesz. Licznik 'mały' jest
kasowany po wprowadzniu poprawnego kodu PIN. Wyjęcie karty nic nie da, bo
próby autoryzacji są logowane w centrum autoryzacji. CA nawet nie wie, że
karta jest wyjęta.

> Podobnie z licznikiem mBanku. Ktoś wprowadza dwa razy zły kod i cofa
stronę
> albo otwiera ponownie przeglądarkę i znowu wprowadza kody. Żeby nie

Nic mu to nie da - zastosuj logikę j/w

--
Pozdrawiam,

Wojciech Nawara

do góry

Tue, 28 Oct 2003 18:26:13 +0100, w <bnm8io$27uk$1@foka1.acn.pl>, "plusz"
<p...@i...usun_spam.pl> napisał(-a):

> a ja życzę, żeby pozostałe 499999 klientów było bardziej rozsądnych :)

Nie wiesz o co chodzi, to po co piszesz?

do góry

Wed, 29 Oct 2003 10:54:34 +0100, w <bno2ov$sl$1@news.onet.pl>, "kriskel"
<k...@p...onet.pl> napisał(-a):

> Teraz jak Ci się spieszy z przelewem, to twierdzisz, że za dużo
> zabezpieczeń.
> A przeważnie na grupie były głosy, że zabezpieczenia są niewystarczające.
>
> Ludziom ciężko dogodzić.

Boże, następny sprawny umysłowo inaczej.

do góry

kriskel wrote:
> [...] Podobnie z licznikiem mBanku. Ktoś wprowadza dwa razy zły kod i
> cofa stronę albo otwiera ponownie przeglądarkę i znowu wprowadza kody.
> Żeby nie zablokować może swobodnie wprowadzić kolejne dwa kody. I tak
> mógłby się bawić w nieskończoność. A w przypadku kiedy po 50 nieudanych
> próbach zostanie zablokowany dostęp, to masz sygnał, że ktoś próbował
> się włamać do Twojego konta.
> Czy to jest pozbawione sensu?

Nieresetowalny, niekonfigurowalny licznik do 50 bez żadnych zależności
czasowych działający bez ostrzeżenia jest bez sensu. W szczególności
można komuś zrobić DoS znając jedynie jego numer identyfikacyjny, który,
w przeciwieństwie do hasła nie brzmi "********" i w związku z tym jest
jakby mniej tajny.

Niepokoi mnie to, że nie jestem w stanie określić jego wartości (czy ktoś
próbował się od mLinki dowiedzieć tego?). Może to jest kilkanaście, może
ze 30 (w ciągu roku) i nie wiem, czy np. blokada mnie nie złapie gdzieś
za daleką granicą, gdzie różne proste rzeczy bywają nieco utrudnione.

Jeśli już licznik miałby być to jakoś konkretniej konfigurowalny i jawnie
pokazywany przy logowaniu, żeby można było zawczasu zareagować
przynajmniej na własne błędnie wpisywane hasła, bo na czyjąś ewentualną
złośliwość to się chyba łatwo nie da (chyba żeby jakiś token wprowadzić).

--
Pozdrówka,
Artur

do góry

Użytkownik "Wojciech Nawara" <n...@o...pl> napisał w wiadomości
news:bnobs3$11$1@news.onet.pl...
>
> Mam wrażenie, że niebyt rozumiesz to, o czym piszesz. Licznik 'mały' jest
> kasowany po wprowadzniu poprawnego kodu PIN. Wyjęcie karty nic nie da, bo
> próby autoryzacji są logowane w centrum autoryzacji. CA nawet nie wie, że
> karta jest wyjęta.

Przerobione na własnej skórze na VE. Włożenie karty, dwie błędne próby,
wyjęcie karty. Ponowne włożenie karty, dwie błędne próby, wyjęcie karty.
Ponowne włożenie karty, udana próba. Czyli za piątym razem się udało. Ani
blokady, ani zatrzymania karty.

Z dostępem do mBanku (internet) podobnie.

Może jednak wiem co piszę, tylko różne są systemy kontroli (dla kart).

kriskel

do góry

Użytkownik "Artur Gawryszczak" <g...@c...edu.pl._!_!_!_> napisał w
wiadomości news:1702493.jhaLKZLOW4@phoenix...
>
> Jeśli już licznik miałby być to jakoś konkretniej konfigurowalny i jawnie
> pokazywany przy logowaniu, żeby można było zawczasu zareagować
> przynajmniej na własne błędnie wpisywane hasła, bo na czyjąś ewentualną
> złośliwość to się chyba łatwo nie da (chyba żeby jakiś token wprowadzić).

O. I to jest rozsądne. Konkretne rozwiązanie. A nie: to jest złe i
zlikwidować.

Pozdrawiam
kriskel

do góry

Użytkownik "Radosław Popławski" <r...@a...net.pl> napisał w wiadomości
news:srcvpvcvfmorepvl9j8q2rrp2rnpnklogk@4ax.com...

> Boże, następny sprawny umysłowo inaczej.

Nie mów do mnie "Boże". I nie musisz na grupie rozpowiadać o Twoim
kalectwie.

kriskel

do góry