dan (dj74) said the following On 2005-06-08 12:20:
> Kamil Jońca wrote:...
>
>> Załozenie jest takie, ze _klucz_ karty nie opuszcza. problemem jest, czy
>
> klucz karty nie opuści, ale karta z kluczem może opuścić właściciela :-(
>
Czym to sie różni od "zgubienia" tokena ? (Chybam, że taki jak w BZWBK)
KJ

--
Siłownie, sprzęt sportowy http://strony.aster.pl/kjonca/aster.xhtml#f4y
Kontakt JID: k...@j...aster.pl
Stop MAFII patentowej: http://www.nosoftwarepatents.com/

do góry

Dnia Wed, 08 Jun 2005 12:51:18 +0200, Kamil Jońca napisał(a):
> dan (dj74) said the following On 2005-06-08 12:20:
>> Kamil Jońca wrote:...

>>> Załozenie jest takie, ze _klucz_ karty nie opuszcza. problemem jest, czy
>> klucz karty nie opuści, ale karta z kluczem może opuścić właściciela :-(

> Czym to sie różni od "zgubienia" tokena ? (Chybam, że taki jak w BZWBK)

Nie wiem jaki jest w BZWBK. Prawdziwy porządny token (taki jak w BGŻ lub
kiedyś w telepekao24) ma klawiaturkę i nie działa bez wpisania PINu...
Jest to jedyna akceptowalna forma tokena - bo coś co wyświetla ot tak sobie
cyfry każdemu kto weźmie zabawkę do łapy... jest właśnie zabawką a nie tokenem
:)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Jacek Osiecki napisał(a):
> Cóż z tego, skoro oni to olewają? Mojej daaaaaawnej sugestii, by w
> informacji o logowaniu podawany był numer IP (w końcu żaden problem) nawet
> nie skomentowali...

Jest to podane, wprawdzienie w powiadomieniu, ale w historii logowań w
sez@mie.

> Usunęli powiadomienia dla kart kredytowych - i tyle je widzieliśmy :)
> O niemożności sprawdzenia blokad na KK szkoda w ogóle mówic...

Karty to osobna sprawa, funkcjonalność delikatnie mówiąc "tak sobie" :)

p.
--
Marcin Nowakowski
MCR@IRC, ICQ UIN: 53375070, GG: 1824096, GSM: +48 504 583105,
mcr[at]wroclaw[dot]net[dot]pl
GCM/O d- s-:- a-- C++ L P- L+ E---- W+ N++ K- PS+ X++ R- tv b D+ h z+

do góry

Rafał Krupiński napisał(a):
> Jacek Osiecki wrote:
>
>> - debilizmem było zrezygnowanie z hasła maskowanego - bardzo proste i
>> skuteczne narzędzie przeciwko keyloggerom
>
>
> a w jaki sposób maskowanie hasła zabezpiecza przed keyloggerem??
>
> maskowanie to tylko przed podejrzeniem hasła, w sensie optycznym :)

To hasło maskowane, o którym pisze Jacek to nie to co myślisz. Nie
chodzi o gwiazdki wpisywane zamiast literek.
Chodzi o to, że przy logowaniu system prosi nie o całe hasło, tylko o
wybrane z niego losowo znaki. Tak jest np. przy potwierdzaniu transakcji
w systemie bankowości telefonicznej BPH. I w ING też chyba tak jest.
Natomiast zgadzam się z Jackiem. Rezygnacja z hasła maskowanego to nie
był najszczęśliwszy pomysł. Najlepiej, żeby hasło maskowane pojawiło się
również przy podpisywaniu dyspozycji kluczem.

Jak zostało zauważone, jest to proste a zarazem skuteczne.

Pozdrawiam

PshemeK

do góry

Użytkownik PshemeK napisał:

> To hasło maskowane, o którym pisze Jacek to nie to co myślisz. Nie
> chodzi o gwiazdki wpisywane zamiast literek.
> Chodzi o to, że przy logowaniu system prosi nie o całe hasło, tylko o
> wybrane z niego losowo znaki. Tak jest np. przy potwierdzaniu transakcji
> w systemie bankowości telefonicznej BPH. I w ING też chyba tak jest.

Dla mnie to kompletny bezsens. Pamietam swoje hasla jako pewne ciagi i
podawanie ich na wyrywki mnie dobija. Szczegolnie przez telefon.

> Natomiast zgadzam się z Jackiem. Rezygnacja z hasła maskowanego to nie
> był najszczęśliwszy pomysł. Najlepiej, żeby hasło maskowane pojawiło się
> również przy podpisywaniu dyspozycji kluczem.

Nieszczesciem jest to, ze bank nie potrafi sie zdecydowac na proste,
bezpieczne i _wygodne_ tokeny lub hasla jednorazowe.

> Jak zostało zauważone, jest to proste a zarazem skuteczne.

Wcale nie jest proste (dla uzytkownika).

Bartol

do góry

W artykule <d87g2l$2fa$1@inews.gazeta.pl> Bartol Partol napisal(a):
> Nieszczesciem jest to, ze bank nie potrafi sie zdecydowac na proste,
> bezpieczne i _wygodne_ tokeny lub hasla jednorazowe.

Że zacytuję
"Marcin Nowakowski wrote:
> Czytałeś jakąś książke "jak zostać hakerem"? Jak nie, poczytaj archiwum
> grupy, było o hasłach jednorazowych."

a dodam że o tokenach też było.

No i co to za wygoda ja muszę wlec ze sobą klamota wielkości kalkulatora
lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
hasło jednorazowe nie chroni przez zmianą transakcji w locie.

Co do karty kryptograficznej to aby była bezpieczna
- wyświetlaczyk na którym pokaże konto docelowe i kwotę
- klawiaturę na sobie wstukanie pinu podpisaną tą jedną transakcję
wtedy można powiedziec że to jest bezpieczne, a przynajmniej ja nie widzę
możliwości tego oszukać

do góry

Użytkownik Jurek Zielinski napisał:

>>Nieszczesciem jest to, ze bank nie potrafi sie zdecydowac na proste,
>>bezpieczne i _wygodne_ tokeny lub hasla jednorazowe.
>
> Że zacytuję
> "Marcin Nowakowski wrote:
>
>>Czytałeś jakąś książke "jak zostać hakerem"? Jak nie, poczytaj archiwum
>>grupy, było o hasłach jednorazowych."
>
> a dodam że o tokenach też było.
>
> No i co to za wygoda ja muszę wlec ze sobą klamota wielkości kalkulatora
> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
> hasło jednorazowe nie chroni przez zmianą transakcji w locie.

Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.

Bartol

do góry

Bartol Partol napisał(a):
>
> Dla mnie to kompletny bezsens. Pamietam swoje hasla jako pewne ciagi i
> podawanie ich na wyrywki mnie dobija. Szczegolnie przez telefon.
>

Ciekawe ile razy jeszcze napiszę na tej grupie, że nie musisz podawać
nic na wyrywki, jak nie chcesz... Jest kupa innych banków, które oferują
takie zabezpieczenia, jakie uważasz za dobre. Prosta sprawa - zmień bank.

A idąc Twoim tokiem myślenia można powiedzieć tak : dobija mnie fakt
noszenia przy sobie jakiś zdrapek, kalkulatorów i innych gówien; dobija
mnie konieczność pamiętania kilku różnych haseł. Wolę mieć jedno hasło i
to jakieś proste. Najlepiej takie samo jak nazwa klucza, żeby łatwo było
zapamiętać. A dla bezpieczeństwa (żeby nie zapomnieć) zapisane mam
jeszcze w 3 plikach na dysku i na 4 kartkach (z czego jedna jest w
portfelu, a druga przy komórce).

A poza tym podałbyś CAŁE hasło przez telefon, jakby ktoś poprosił?

> Wcale nie jest proste (dla uzytkownika).
>

Jasne. Dla użytkownika najprostszy jest 4cyfrowy pin. I wcale nikt nie
musi wiedzieć, że to akurat data jego urodzin.

Idąc dalej : może niech bank stworzy system autoryzacji audiotele.

Czy kolor Twojego samochodu to :
A. Czerwony
B. Czarny
C. Zielony
D. Srebrny

... i można się pomylić tylko 5 razy ...

Wystarczająco proste ?

PshemeK

do góry

Użytkownik PshemeK napisał:

>> Dla mnie to kompletny bezsens. Pamietam swoje hasla jako pewne ciagi i
>> podawanie ich na wyrywki mnie dobija. Szczegolnie przez telefon.
>
> Ciekawe ile razy jeszcze napiszę na tej grupie, że nie musisz podawać
> nic na wyrywki, jak nie chcesz... Jest kupa innych banków, które oferują
> takie zabezpieczenia, jakie uważasz za dobre. Prosta sprawa - zmień bank.

No wiec nie uzywam bankow, gdzie trzeba podawac hasla na wyrywki. Zdaje
sie, ze w BePeHahahaha trzeba sie motac dzwoniac do nich, ale i tak nie
pamietam hasla telefonicznego, wiec nie mam problemu.

> A idąc Twoim tokiem myślenia można powiedzieć tak : dobija mnie fakt
> noszenia przy sobie jakiś zdrapek, kalkulatorów i innych gówien; dobija
> mnie konieczność pamiętania kilku różnych haseł. Wolę mieć jedno hasło i
> to jakieś proste. Najlepiej takie samo jak nazwa klucza, żeby łatwo było
> zapamiętać. A dla bezpieczeństwa (żeby nie zapomnieć) zapisane mam
> jeszcze w 3 plikach na dysku i na 4 kartkach (z czego jedna jest w
> portfelu, a druga przy komórce).

Jestes zupelnie niepotrzebnie napastliwy. Sa rozwiazania, ktore sa dla
mnie wygodniejsze i do tego duzo bezpieczniejsze. BePeHahaha mnie
irytuje, ale kazdy bank ma cos nie tak.

> A poza tym podałbyś CAŁE hasło przez telefon, jakby ktoś poprosił?

Jasne. W Inteligo podaje.

>> Wcale nie jest proste (dla uzytkownika).
>
> Jasne. Dla użytkownika najprostszy jest 4cyfrowy pin. I wcale nikt nie
> musi wiedzieć, że to akurat data jego urodzin.
>
> Idąc dalej : może niech bank stworzy system autoryzacji audiotele.
>
> Czy kolor Twojego samochodu to :
> A. Czerwony
> B. Czarny
> C. Zielony
> D. Srebrny
>
> ... i można się pomylić tylko 5 razy ...
>
> Wystarczająco proste ?

Wystarczajaco proste bym zrozumial, ze jestes agresywny i bym stracil
ochote na dyskusje z Toba.

Bartol

do góry

Bartol Partol napisał(a):

> Jestes zupelnie niepotrzebnie napastliwy. Sa rozwiazania, ktore sa dla
> mnie wygodniejsze i do tego duzo bezpieczniejsze. BePeHahaha mnie
> irytuje, ale kazdy bank ma cos nie tak.


Tak, pisałeś. Tokeny albo hasła jednorazowe.

A co jeśli zgubisz zdrapkę? Korzystasz z banków, które mają takie
zabezpieczenia. Jak długo trwa wydanie nowego?

>
>> A poza tym podałbyś CAŁE hasło przez telefon, jakby ktoś poprosił?
>
>
> Jasne. W Inteligo podaje.
>

Ale to jest hasło jednorazowe, tak? I wszędzie musisz nosić zdrapkę?


>>> Wcale nie jest proste (dla uzytkownika).
>>
>>
>> Jasne. Dla użytkownika najprostszy jest 4cyfrowy pin. I wcale nikt nie
>> musi wiedzieć, że to akurat data jego urodzin.
>>
>> Idąc dalej : może niech bank stworzy system autoryzacji audiotele.
>>
>> Czy kolor Twojego samochodu to :
>> A. Czerwony
>> B. Czarny
>> C. Zielony
>> D. Srebrny
>>
>> ... i można się pomylić tylko 5 razy ...
>>
>> Wystarczająco proste ?
>
>
> Wystarczajaco proste bym zrozumial, ze jestes agresywny i bym stracil
> ochote na dyskusje z Toba.
>

No dobra, może przesadziłem. Chciałem być tylko cyniczny.
Generalnie chodziło mi o to, że zabezpieczenia proste dla klientów są
rónież proste dla złodziei. Im łatwiej klientowi dostać się do swoich
środków, tym łatwiej złodziejowi je ukraść.

PshemeK

do góry