Użytkownik "P.I.T.E.R." <p...@p...onet.pl> napisał w wiadomości
news:e7tfit.og.1@grafx.studio.net...
> sumi napisał(a):
>> "Radek B" wrote in message
>>
>>> 400 tysięcy "wyparowało" z mBanku
>>
>> no i news też chyba wyparował :-)
>
> Rzeczywiście ciekawa sprawa. News zniknął ze strony ale zostały do niego
> komentarze, sic!

W Onecie i WP panuje cenzura i czesto jakies ciekawe artykuly znikaja
szybko, poniewaz sa niewygodne dla pewnych ugrupowan/lobby i co tam jeszcze.

Mirek

do góry

MarcinF <m...@i...pl> napisał(a):


> to moze haslo + kod z sms + token + kod jednorazowy ze zdrapki + telefon
> potwierdzajacy z banku ?
> to bylby niezly system dla tych co korzystaja z interfejsu
> transakcyjnego raz w roku...

Odpusc sobie przesadzanie. Logowanie przy pomocy pelnego hasla do systemu
bankowego nie jest bezpieczne.

> dodatkowa autoryzacja logowania przy uzyciu sms wprowadzilaby wiecej
> klopotu niz korzysci, nie nalezy zapominac ze usluga bankowa ma
> byc dla klienta wygodna

Trzymajac pieniadze w banku, chce aby byly bezpieczne - nawet kosztem wygody.
Jesli bankowi nie chce sie bawic w SMSy to niech rozda tokeny, albo chociaz
nie wymaga calego hasla tylko np. 3 cyfr z telekodu + 4 znakow z hasla.

--
Robert

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Thu, 29 Jun 2006 16:18:28 +0000 (UTC), Marek Szapajko <f...@t...pbz>
wklepał(-a):

>Strasznie enigmatyczne są te Twoje wypowiedzi :)
>
>Mógłbyś jaśniej? Dlaczego takie rozwiązanie jest złe?

Dlatego, że ktoś mógłby przechwycić kod i pokazać komunikat "błędny kod,
wprowadź jeszcze raz" (nawet kilkukrotnie), realizując tymczasem przelew na
podstawione konto.

--
Sławomir Szyszło mailto:s...@p...onet.pl
FAQ pl.comp.bazy-danych http://www.dbf.pl/faq/
FAQ pl.comp.www.nowe-strony http://www.faq-nowe-strony.prv.pl/

do góry

Thu, 29 Jun 2006 01:20:59 +0200, w <4...@i...pl>, MarcinF
<m...@i...pl> napisał(-a):

> r...@W...gazeta.pl wrote:
>
> > To ja bym jeszcze poprosil, aby w koncu BRE w mbanku i multi zmienilo sposob
> > logowania na cos rozsadniejszego bez koniecznosci podawania pelnego hasla, np
> > 4 znaki hasla + kod z SMSa.
>
> to moze haslo + kod z sms + token + kod jednorazowy ze zdrapki + telefon
> potwierdzajacy z banku ?

A co z kluczem przechowywanym na dyskietce / pendrive? Bez tego takie
zabezpieczenie byłoby niepełne...

do góry

" - Robert -" <r...@W...gazeta.pl> writes:

> Odpusc sobie przesadzanie. Logowanie przy pomocy pelnego hasla do systemu
> bankowego nie jest bezpieczne.

Zapewnia bezpieczenstwo tej samej klasy co logowanie czescia hasla:
- oba rozwiazania wymagaja bezpiecznego komputera
- oba rozwiazania nie wymagaja bezpiecznego polaczenia w sieci
- oba rozwiazania nie zabezpieczaja przed szkodliwym dzialaniem banku.

> Trzymajac pieniadze w banku, chce aby byly bezpieczne - nawet kosztem wygody.

Nie ma czegos takiego jak absolutne bezpieczenstwo. A przynajmniej nie
za takie pieniadze.

> Jesli bankowi nie chce sie bawic w SMSy

SMSy wcale nie sa takie bezpieczne - wprowadzaja dodatkowe wektory
ataku, np. kradziez (itp) telefonu, przechwycenie SMSa przez
np. operatora GSM itd.

> to niech rozda tokeny,

Tokeny nie roznia sie od zwyklych lub czesciowych hasel jesli chodzi
o cechy, ktore wymienilem na poczatku, choc oczywiscie w ogole sie
roznia.

Napisz w jakich warunkach token zwiekszalby bezpieczenstwo logowania.

> albo chociaz
> nie wymaga calego hasla tylko np. 3 cyfr z telekodu + 4 znakow z hasla.

Telekod to jakies dodatkowe haslo? Co za roznica?


W przypadku polaczen telefonicznych (glosowych), gdzie nie dysponujemy
bezpiecznym kanalem lacznosci, takie rzeczy maja znaczenie, ale nie
w sieci.
--
Krzysztof Halasa

do góry

On Thu, 29 Jun 2006 21:43:13 +0200, Sławomir Szyszło wrote:

> Dnia Thu, 29 Jun 2006 16:18:28 +0000 (UTC), Marek Szapajko <f...@t...pbz>
> wklepał(-a):
>
>>Strasznie enigmatyczne są te Twoje wypowiedzi :)
>>
>>Mógłbyś jaśniej? Dlaczego takie rozwiązanie jest złe?
>
> Dlatego, że ktoś mógłby przechwycić kod i pokazać komunikat "błędny kod,
> wprowadź jeszcze raz" (nawet kilkukrotnie), realizując tymczasem przelew na
> podstawione konto.

Nic z tego. SMS kod jest generowany dla jednej konkretnej operacji - nie
użyjesz danego kodu dla potwierdzenia czegoś innego niż to, dla czego
został wygenerowany.

Michał

do góry

On Thu, 29 Jun 2006 22:55:10 +0200, Krzysztof Halasa wrote:

> SMSy wcale nie sa takie bezpieczne - wprowadzaja dodatkowe wektory
> ataku, np. kradziez (itp) telefonu, przechwycenie SMSa przez
> np. operatora GSM itd.

Akurat przechwycenie SMS-a nie stanowi żadnego zagrożenia. Jedyne, co ktoś
może z takim SMS-em zrobić to zatwierdzenie tej jednej operacji, którą sam
przed chwilą zleciłeś i dla której kod został wygenerowany.

M

do góry

Przeglądam pl.biznes.banki
a tam użytkownik *Magdalena* pisze:

> Opisywana przez Dziennik Łódzki sytuacja, tak, jak było to wskazane w artykule,
> nie jest związana z bezpieczeństwem systemu bankowego, a z nieuczciwym
> postępowaniem pracownika banku.
>
> mBank wyjaśnił sprawę z Klientem, który na żadnym etapie sprawy nie poniósł
> szkody, i którego Bank stale informuje o sytuacji.

Nie zgodzę się z powyższym stwierdzeniem. Z analizy stanowiska mBanku,
przedstawionego wyżej cytowanym Pani piśmie wynika, iż Państwa pracownik
popełnił przestępstwo w wyniku czego szkodę poniósł Klient. Nie można
mówić, że "na żadnym etapie sprawy (Klient) nie poniósł szkody", gdyż nie
ulega wątpliwości, że szkodę taką poniósł.

Inną jest kwestią, że szkoda została prawdopodobnie przez mBank naprawiona.

--
"(...) aby uzyskać pełnię wolności, ( . '">
trzeba żyć tak, jakby twoje ciało ) L_
było już martwe" ( /[__
(c)Yamamoto Tsunetomo "Hagakure" <^ |mj

do góry

Michal <s...@j...be> writes:

> Akurat przechwycenie SMS-a nie stanowi żadnego zagrożenia. Jedyne, co ktoś
> może z takim SMS-em zrobić to zatwierdzenie tej jednej operacji, którą sam
> przed chwilą zleciłeś i dla której kod został wygenerowany.

Problem w tym, ze nie wiadomo kto ta operacje zlecil. Jesli mam liste
hasel jednorazowych albo inny token, to pracownikowi operatora GSM
moze byc trudno wymyslic kod.

Sensem istnienia dodatkowych potwierdzen (poza haslem sluzacym do
logowania) jest to, by nikt poza wlascicielem konta nie mogl ich
wykonac. W przypadku SMS to dziala dosc slabo.
--
Krzysztof Halasa

do góry

Fri, 30 Jun 2006 09:37:20 +0200, w
<z2qqvq3un5tl$.1ryrsh6x7bvjl$.dlg@40tude.net>, Michal <s...@j...be>
napisał(-a):

> > Dlatego, że ktoś mógłby przechwycić kod i pokazać komunikat "błędny kod,
> > wprowadź jeszcze raz" (nawet kilkukrotnie), realizując tymczasem przelew na
> > podstawione konto.
>
> Nic z tego. SMS kod jest generowany dla jednej konkretnej operacji - nie
> użyjesz danego kodu dla potwierdzenia czegoś innego niż to, dla czego
> został wygenerowany.

Nie rozumiesz idei :)

do góry