Re: mBank - zablokowany dostęp - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › mBank - zablokowany dostęp › Re: mBank - zablokowany dostęp

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!3.eu.feeder.erj
e.net!feeder.erje.net!news.uzoreto.com!aioe.org!peer02.ams4!peer.am4.highwinds-
media.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-01.news.neostr
ada.pl!unt-spo-a-02.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: mBank - zablokowany dostęp
References: <rb2jmu$gsi$1$PiotrGalka@news.chmurka.net> <rbbkam$ha5$1@gioia.aioe.org>
<rbd72j$jke$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<1wgzmwc2p2rb2.1w4yqapb3eqlv$.dlg@40tude.net> <m...@p...waw.pl>
<rbleqn$r2f$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rblkij$ug5$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbnlha$6o1$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbocsu$kra$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbvi1k$vn6$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rc2pum$189$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rc7hf1$cb$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rc86jv$en8$1$PiotrGalka@news.chmurka.net>
Date: Tue, 16 Jun 2020 16:37:48 +0200
Message-ID: <m...@p...waw.pl>
Cancel-Lock: sha1:NoMmPxY9gUfLz7jhDupJqOd2OAk=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 96
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 195.187.100.13
X-Trace: 1592318269 unt-rea-a-02.news.neostrada.pl 559 195.187.100.13:11808
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 5967
X-Received-Body-CRC: 745178410
Xref: news-archive.icm.edu.pl pl.biznes.banki:651896
[ ukryj nagłówki ]

Piotr Gałka <p...@c...pl> writes:

> Tysiące zamówień z jednego konta - na pewno nie wyślą tylko nabiorą
> podejrzeń.

Myślałem o rozumnych próbach - może nie o jakichś bardzo inteligentnych,
ale w ogóle rozumnych :-)

> Tysiące nowych kont (do każdego inny mail) i zamówienie z każdego
> konta - też podejrzane.

Co w tym podejrzanego? Przecież dokładnie tak się normalnie robi.
Ale po co się tak męczyć - wiele (większość?) sklepów umożliwia zakupy
bez żadnych kont. Potrzebny jest tylko email.
Zastanów się - łatwiej założyć 1000 adresów email czy uzyskać dostęp
do 1000 zacryptowanych (choćby) haseł, złamać je itd.? I wszystko po to,
by zamówić jakąś lewiznę, która nam osobiście nic nie da, poza
ew. zaszkodzeniu konkurencji (czego jednak nie da się odkryć)?

> Nie wiem co to są systemy domowe, o których już chyba drugi raz
> piszesz. Nikt sobie w domu nie robi chyba systemu do którego mu się
> może masa ludzi logować.

Nikt sobie też w domu nie robi szyfrowania dysków, nie ustawia lokalnego
hasła dostępu do komputera? "Polimeryzowałbym".

> Ja nie mam takiej wiedzy, abym mógł cokolwiek w ciemno zakładać więc
> staram się nic nie zakładać.

Ale jednak cały czas zakładasz jakiś model (akurat) dostępu do serwisów
sieciowych, model teoretyczny, i nie rozumiesz, że to tak nigdy nie
działało, ani dlaczego nie działało. Ale powinno.
Musisz się zdecydować.

Ja akurat przypadkowo wiem jakie dane są przez co i jak przechowywane,
wiem jak mogą najprościej wycieknąć, i wiem które z nich są istotne
(a nawet to napisałem). I co? I nic. Bo w książce 20 lat temu Schneier
z jakimś drugim facetem, o którym chyba nie słyszałem (skąd wiemy kto
akurat był autorem tego fragmentu?), być może napisał to, co w sposób
ewidentny się jednak nie sprawdziło (od tamtego czasu upłynęło już sporo
czasu, więc naprawdę łatwo ocenić).

> Jeśli nawet ja (generalnie dosyć ostrożny) stosowałem to samo hasło do
> sklepów to nie ma podstaw, aby przyjąć, że wszyscy robią tak jak
> powinni. Wręcz podejrzewam, że nie tylko nie jestem wyjątkiem, ale
> wręcz jestem w większości.
> Czyli chcę powiedzieć: Masz rację, ale praktyka jest chyba inna.
> Zamiast kwestionować tę praktykę lepiej zrobić tak, aby była
> dopuszczalna (oczywiście jeśli jest to możliwe i nie kosztuje za
> wiele).

IOW, należy stosować różne hasła. No chyba że chcesz dostawać
niezamawiane przesyłki ze sklepów czy coś tam, to ja już nie wiem.

> W bezpiecznym miejscu to sobie mogę hasła napisać w dowolnym pliku
> tekstowym. Nie potrzebuję do tego specjalnego programu.

Ale to, że komputer stoi w bezpiecznym miejscu nie oznacza, że sam jest
bezpiecznym miejscem dla np. plików. Choć oczywiście może być też tak.

> Czyli notatnik haseł to urządzenie, a nie program - zmienia postać
> rzeczy. Ale podobno 'wyszlifowanie' danych z dowolnej pamięci
> potaniało już tak, że nie uważałbym przechowywanych tak
> niezaszyfrowanych haseł jako bezpiecznych. Urządzenie zawsze można
> zgubić lub mieć ukradzione.

Nigdy nie ma 100% bezpieczeństwa, to oczywiste. W kontekście logowania
do banków i sklepów takie urządzenia są jednak IMHO wystarczająco
bezpieczne, zwłaszcza jeśli się ich nie nosi przy sobie bez sensu.

> co nie jest do końca prawdą bo
> odczyt analogowy pozwala podobno stwierdzić ślad poprzedniego zapisu).

Chciałbym zobaczyć kogoś, kto to odczyta.
Takie rzeczy to dało się robić w czasach dysków MFM, owszem. Ale nie
teraz.

Owszem, da się np. rozpuścić obudowę scalaka i podsłuchać dane na jego
wewnętrznych szynach (nawet w scalakach, o których producent pisze, że
są przed tym zabezpieczone). Tak. Ale resztkowe ładunki we flashu -
nawet nie tylko takim przechowywanym w bezpiecznym miejscu - przesada.

> Czy ekranu nie widzimy, czy widzimy okienko logowania na którym w
> miejscu hasła pojawiają się gwiazdki to wychodzi na to samo.

Nie wychodzi w żaden sposób. Jeśli nie masz dostępu do okienka, to jak
wyciągniesz dane z używanej właśnie karty?
No chyba że jakoś zmusisz komputer, by zrobił coś innego niż powinien.

> Istotne
> jest czy dane są na jakimś etapie jawne i czy można się w to miejsce
> wciąć.

Co to są "dane jawne"? Jawne dla kogo?
--
Krzysztof Hałasa