Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Jest, chyba nawet lepsza, bo BZ cos pisal, ze nie znalazl dowodu w
>> bazie - na oko potrzebny nr dowodu, data wydania i moze
>> imie i nazwisko.

>Miałem na myśli taką bazę, do której "wszyscy" wprowadzają
>informacje,

Wystarczy, ze beda wprowadzaly urzedy wydajace dowody.

>i w której (naprawdę) wszyscy mogą je sprawdzić (tzn. nie wyciągać
>dane,
>ale sprawdzić, czy dany dowód nie jest unieważniony).

To juz jest
https://obywatel.gov.pl/dokumenty-i-dane-osobowe/spr
awdz-czy-dowod-jest-uniewazniony

Tylko
"Dlatego jeśli otrzymasz odpowiedź, że dokument nie został
unieważniony, może to oznaczać, że:
-jest ważny,
-nigdy nie został wydany przez polskiego urzędnika"

Ale BZ mnie zaskoczyl i pokazal cos w stylu "Dokument nie zostal
znaleziony w rejestrze wydanych dokumentow".
Faktycznie - zle wpisalem date wydania.

>> Ale to juz nie te czasy, gdy Jasnie Pana wszyscy w banku znaja.
>> Bank ma tysiace czy miliony klientow, niektorzy nigdy w banku nie
>> byli.
>> A i techniki produkcji masek coraz lepsze.

>Stąd zabezpieczenia dowodu. Posiadając dowód i "pasującą" twarz można
>przecież złożyć dowolne oświadczenie woli potwierdzone przez
>notariusza.

A dla banku ... podpis ?

J.

do góry

On 2/15/2018 10:48 AM, Kris wrote:
>>> Podpis bezpieczniejszy od PINu
>> Dla kogo?
> Przy ew fraudzie z Twojego konta łatwiej będzie Tobie udowodnić ze to nie Twój
podpis

Wymaga to grafologa i głebokiej wiary w jego zdolności.

> na slipie czy że nie udostępniałeś nikomu PINu

To zależy zaś głównie ode mnie wiec jest tak bezpieczne jak ja jestem
przezorny. Zaryzykuje że dobrze podrobić podpis na umowie kredytowej
potrafi przeciętny Kowalski po kilkudziesięciu próbach. Podejrzeć moj
pin jest troche trudniej.

> a zły tylko zły człowiek pin podejrzał i transakcję potwierdził?

Zasłaniam pin reką od 20 lat. Jedyne co mnie może przeskoczyć to trojan
w terminalu (co już się trafiało na świecie) lub imbecyl programista w
banku (co trafia się nadspodziewanie często). Dlatego z chęcia powitam
(znowu) karty ktore aktywuje wpisując w nie pin a nie w terminal. Ale
suweren woli "latwiej" to i ma.

do góry

"J.F." <j...@p...onet.pl> writes:

>> Miałem na myśli taką bazę, do której "wszyscy" wprowadzają
>> informacje,
>
> Wystarczy, ze beda wprowadzaly urzedy wydajace dowody.

Niezupełnie, bo jeśli ktoś nie wyrobi nowego dowodu, to stary nie
zostanie wpisany.
Powinny to wpisywać także m.in. banki, policja, albo np. inne ambasady
itp.

>> i w której (naprawdę) wszyscy mogą je sprawdzić (tzn. nie wyciągać
>> dane,
>>ale sprawdzić, czy dany dowód nie jest unieważniony).
>
> To juz jest
> https://obywatel.gov.pl/dokumenty-i-dane-osobowe/spr
awdz-czy-dowod-jest-uniewazniony

Tak sobie chyba. Trzeba to zrobić przez Internet, trzeba posiadać
"profil zaufany" - bez sensu. Jeśli mam dowód w ręce, to chyba bez tych
kombinacji powinienem móc sprawdzić (nawet nie będąc w Polsce, nie będąc
polskim obywatelem itp) czy ten dowód jest ważny.

Trzeba byłoby to zrobić tak, by nie dało się z tego wyciągać danych.
No i odpowiedni interface: klient przychodzi np. do banku, i baza jest
w mgnieniu oka sprawdzana.

Dodatkowo powinna być możliwość sprawdzenia, czy zdjęcie nie zostało
przerobione - niestety proste sposoby czegoś takiego wymagają procesora
w dowodzie, lub istnieje możliwość wyciągania zdjęć z systemu.

> "Dlatego jeśli otrzymasz odpowiedź, że dokument nie został
> unieważniony, może to oznaczać, że:
> -jest ważny,
> -nigdy nie został wydany przez polskiego urzędnika"

A to także jakiś bezsens.

>>Stąd zabezpieczenia dowodu. Posiadając dowód i "pasującą" twarz można
>> przecież złożyć dowolne oświadczenie woli potwierdzone przez
>> notariusza.
>
> A dla banku ... podpis ?

No ale co podpis. Jeśli możemy złożyć oświadczenie przed notariuszem, to
równie dobrze możemy załatwić w banku co chcemy.
--
Krzysztof Hałasa

do góry

I co z zasłaniania, jeśli hacker np. zamontuje mikrofon (każdy klawisz ma minimalnie
inny dźwięk)?


-----
> Zasłaniam pin reką

do góry

ń <ń@ń.ń> writes:

> I co z zasłaniania, jeśli hacker np. zamontuje mikrofon (każdy klawisz ma
minimalnie inny dźwięk)?

Zapomnij, musiałbyś naciskać każdy klawisz 1000 razy, to może coś by się
dało statystycznie wyciągnąć (wątpię). Poziom dźwięku za mały.

Można nagrać kamerą termowizyjną, ale dzwięki - takie rzeczy tylko
w studiu, i to także niepewne.
--
Krzysztof Hałasa

do góry

W dniu 2018-02-18 o 00:03, Krzysztof Halasa pisze:
> ń <ń@ń.ń> writes:
>
>> I co z zasłaniania, jeśli hacker np. zamontuje mikrofon (każdy klawisz ma
minimalnie inny dźwięk)?
>
> Zapomnij, musiałbyś naciskać każdy klawisz 1000 razy, to może coś by się
> dało statystycznie wyciągnąć (wątpię). Poziom dźwięku za mały.
>
> Można nagrać kamerą termowizyjną, ale dzwięki - takie rzeczy tylko
> w studiu, i to także niepewne.

Ale, że co z poziomem dźwięku? Nie nagra się?
Skoro słychać, to się nagra. Czy różnice tonów zbyt małe?
Czy dźwięki się powtarzają?

do góry

cef <c...@i...pl> writes:

> Ale, że co z poziomem dźwięku? Nie nagra się?
> Skoro słychać, to się nagra. Czy różnice tonów zbyt małe?
> Czy dźwięki się powtarzają?

A w ogóle cokolwiek słychać? Klawiatura z gumą pod spodem, od góry
przyciskana paluchem, co tam ma rezonować?
Różnice tonów nie byłyby przypuszczalnie zbyt małe, gdyby coś się udało
nagrać. Powyżej poziomu szumów najlepiej.

No i mikrofon - (mocno) kierunkowy skierowany na klawiaturę?

To nie jest do zastosowania w praktyce. Wątpię, czy udałoby się
(realistycznie) w labie.

Poza tym istnieje jeszcze problem z motywacją: zasady rozliczeń
powodują, że sam PIN bez oryginalnej karty nie jest przydatny do
czegokolwiek (w odróżnieniu od np. interfejsu NFC (RFID) karty
z deaktywowaną funkcją płatności NFC). Złodziej musiałby kartę następnie
ukraść. Oczywiście nie jest to niemożliwe, ale zagrożenie jest IMHO
zaniedbywalne, zwłaszcza w porównaniu do typowych, istotnych w praktyce
przypadków.

BTW sam PIN nie powinien być traktowany przez nikogo inaczej niż tylko
jako "słabe, dodatkowe zabezpieczenie, zmniejszające ryzyko użycia karty
przez osobę obcą w stosunku do osoby uprawnionej".
To jest drugi z tych "what you have and what you know", ale nacisk
na bezpieczeństwo jest położony w znakomitej większości na pierwszy
element (pomijając nieszczęsne NFC).
--
Krzysztof Hałasa

do góry

W dniu 2018-02-18 o 12:07, Krzysztof Halasa pisze:
> cef <c...@i...pl> writes:
>
>> Ale, że co z poziomem dźwięku? Nie nagra się?
>> Skoro słychać, to się nagra. Czy różnice tonów zbyt małe?
>> Czy dźwięki się powtarzają?
>
> A w ogóle cokolwiek słychać? Klawiatura z gumą pod spodem, od góry
> przyciskana paluchem, co tam ma rezonować?
> Różnice tonów nie byłyby przypuszczalnie zbyt małe, gdyby coś się udało
> nagrać. Powyżej poziomu szumów najlepiej.
>
> No i mikrofon - (mocno) kierunkowy skierowany na klawiaturę?

Weź telefon z włączonym dyktafonem i podejdź do bankomatu.
Nagra się nawet jeśli telefon jest w kieszeni.
Pikanie słychać kilka metrów od bankomatu,
chyba, że myślisz o tych klawiaturach, które nie pikają,
bo i takie są.

> To nie jest do zastosowania w praktyce. Wątpię, czy udałoby się
> (realistycznie) w labie.

No przestań, może myślisz o czymś innym.

do góry

W dniu 2018-02-18 o 13:04, cef pisze:

> Weź telefon z włączonym dyktafonem i podejdź do bankomatu.
> Nagra się nawet jeśli telefon jest w kieszeni.
> Pikanie słychać kilka metrów od bankomatu,
> chyba, że myślisz o tych klawiaturach, które nie pikają,
> bo i takie są.


Przecież te piki są takie same dla każdego klawisza.

--
Liwiusz

do góry

W dniu 2018-02-18 o 13:13, Liwiusz pisze:
> W dniu 2018-02-18 o 13:04, cef pisze:
>
>> Weź telefon z włączonym dyktafonem i podejdź do bankomatu.
>> Nagra się nawet jeśli telefon jest w kieszeni.
>> Pikanie słychać kilka metrów od bankomatu,
>> chyba, że myślisz o tych klawiaturach, które nie pikają,
>> bo i takie są.
>
>
> Przecież te piki są takie same dla każdego klawisza.

Raczej nie, mój PIN wyraźnie wygrywa różne tony.
Może są klawiatury, które pikają jednakowo - nie testowałęm gdzie
indziej, ale tam gdzie wypłacam (jeden PKOBP i Euronet) to na pewno są
różne tony.

do góry