eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPekao24 i bezpieczenstwo - glupota czy ignorancja › Pekao24 i bezpieczenstwo - glupota czy ignorancja
następny post »
  • Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
    sgate.onet.pl!niusy.onet.pl
    From: p...@W...pl
    Newsgroups: pl.biznes.banki
    Subject: Pekao24 i bezpieczenstwo - glupota czy ignorancja
    Date: 31 Oct 2003 10:54:55 +0100
    Organization: Onet.pl SA
    Lines: 46
    Message-ID: <5...@n...onet.pl>
    NNTP-Posting-Host: newsgate.test.onet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset="iso-8859-2"
    Content-Transfer-Encoding: 8bit
    X-Trace: newsgate.onet.pl 1067594095 15494 192.168.240.245 (31 Oct 2003 09:54:55 GMT)
    X-Complaints-To: a...@o...pl
    NNTP-Posting-Date: 31 Oct 2003 09:54:55 GMT
    Content-Disposition: inline
    X-Mailer: http://niusy.onet.pl
    X-Forwarded-For: 172.28.191.212, 62.89.113.66, 192.168.243.42
    X-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:266416
    [ ukryj nagłówki ]

    Witam grupe

    Niedawno mialem okazje porownac pod wzgledem bezpieczenstwa dostepu przez
    Internet Pekao24 i mBank. Zdziwila mnie przy tym calkowita bezmyslnosc osob
    odpowiedzialnych za stworzenie interfejsu w Pekao24.

    W obu przypadkach (Pekao24 i mBank) zeby sie dostac do interfejsu internetowego
    trzeba podac numer klienta i haslo (mBank) lub PIN (Pekao24). I tu sie
    zaczynaja schody, bo:

    PIN w Pekao24 jest 4-cyfrowy, ustalany przez bank i niemozliwy do zmiany przez
    uzytkownika. To rodzi niebezpieczenstwa:
    - PIN jest trudniejszy do zapamietania niz haslo
    - niemozliwosc zmiany PIN i jego dlugosc powoduja, ze latwiej moze sie on
    dostac w niepowolane rece niz haslo.

    W mBanku zamiast PINu mamy haslo, ktorego dlugosc jest wieksza niz w przypadku
    PINu i ktore moze byc zmieniane przez uzytkownika.


    Druga sprawa: w obu przypadkach wykonywanie niestandardowych operacji wymaga
    podania kodu z karty kodow jednorazowych. W mBanku system pyta o podanie
    kolejnych kodow z aktywnej karty. Umozliwia to zapisanie sobie gdzies
    niewielkiej ilosci niewykorzystanych kodow i wpakowanie calej karty kodow do
    sejfu. Tym samym straty w przypadku ujawnienia tylko kilku nastepnych kodow
    moga byc mniejsze niz w przypadku ujawnienia calej karty. Nie mozna tez
    zapominac, ze kilka kodow moge miec zapisane gdziekolwiek, natomiast cala karta
    kodow wyglada bezsprzecznie jak karta kodow.


    Tymczasem w Pekao ktos "pomyslal" i ten system pyta o losowe kody z karty
    kodow. Nie wiem po co to jest, ale zmusza to uzytkownika do taszczenia ze soba
    wszedzie calej karty kodow (no bo nigdy nie wie, o ktory kod system go zapyta).


    W tym wszystkim najbardziej zdumiewa mnie jedna rzecz: gdy Pekao24 zostalo
    uruchomione mBank funkcjonowal juz od dawna.

    Prawde mowiac, dziwi mnie, ze specjalisci z Pekao24 nie potrafia sie uczyc z
    rynku. A moze po prostu oni maja problemy z mysleniem jesli chodzi o
    bezpieczenstwo klienta? Ciekawi mnie, co myslicie na ten temat? Czy to ja
    jestem skrzywiony i mam jakies wygorowane oczekiwania, czy tez swiat jest pelen
    ignorantow, ktorzy robia cos po prostu zeby zrobic cokolwiek?

    --
    Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy