On 2020-12-10 19:05, Michal Jankowski wrote:
> Jak się robi aktywację nowej apki po zgubieniu/zniszczeniu starej

w neście dzwonisz na infolinię

do góry

W dniu 10.12.2020 o 23:38, Wojciech Bancer pisze:
> On 2020-12-10, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>>> Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
>>> swoim telefonie.
>>
>> No właśnie nie.
>>
>> Masz aplikację na telefonie, której używasz do uwierzytelniania.
>> Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
>> drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
>> aplikacji.
>
> No jest też tryb który nie wymaga do działania starej apki,

No właśnie. Musi być procedura wypadek "starej apki już nie mam, telefon
zgubiłem/zniszczyłem".

> ale wymaga
> znajomości danych o osobie, więc tak też można.

Ale jakich danych? PESEL/imię ojca czy tam coś? To złodziej pewnie już
zna, skoro udało mu się uzyskać klona karty sim, to coś temu operatorowi
telefonicznemu chyba podał?

MJ

do góry

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:
> On 2020-12-10, Michal Jankowski <m...@f...edu.pl> wrote:
>
> [...]
>
>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>> kocham nie wiem.
>
> Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
> o potrzebne do przejęcia konta". No to jak przejął wszystko, to
> przejmie konto.
>
> Aby np. aktywować apkę mBanku trzeba przy aktywacji podać trochę
> danych osobowych, więc złodziej musi je znać. Pewnie je będzie
> znał jak Ci podpieprzy dowód, więc to też przed niczym
> nie chroni.

No ale jest różnica pomiędzy "podpieprzy dowód" a "przepisze dane z dowodu".

Kiedyś było tak, że jednak fizyczna książeczka jakąś ochronę dawała.

MJ

do góry

W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:

> Masz aplikację na telefonie, której używasz do uwierzytelniania.
> Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
> drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
> aplikacji.

Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
życie klientowi (robi wszystko w jednym miejscu RAZ)

ORAZ zmniejsza koszty banku

Nie ma tu ŻADNEGO postępu/progresu/większego bezpieczeństwa

Jest tylko PROPAGANDA

do góry

W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:
>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>> kocham nie wiem.
>
> Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
> o potrzebne do przejęcia konta". No to jak przejął wszystko, to
> przejmie konto.

Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także w
sensie karty sim), i przejął hasło do konta, to po co mu jeszcze
aplikacja na innym telefonie?

Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki,
system oddzwania głosowo, trzeba podać 6 cyfr z systemu transakcyjnego
oraz 6 cyfr z SMS (to jest BOŚ, kto by się spodziewał), takie tam.
Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS,
wiadomością w ST, wiadomością w starej apce (bo w takim Milku można mieć
kilka apek jednocześnie).

--
Alf/red/

do góry

W dniu 10.12.2020 o 23:34, Wojciech Bancer pisze:
> [1] do końca nie wiem jak się zachowa push na urządzeniu z internetem,
> ale bez działajacej karty SIM

Normalnie. Ja tak działam.

--
Alf/red/

do góry

W dniu 2020-12-10 o 23:38, Wojciech Bancer pisze:
> Tym niemniej nie
> wystarczy przejąć samego SIMa i to jest chyba największa zaleta.

I to jest bezpieczniejsze od WWW+SMS?

Jest łatwiejsze do obsługi i stoi w sprzeczności w unijnymi wymogami
identyfikacji 2 etapowej.

I oczywiście zmniejsza koszty banku

Krótko mówiąc PROPAGANDA

do góry

W dniu 2020-12-10 o 23:34, Wojciech Bancer pisze:
> Jeśli przez apkę, to push autoryzacyjny albo nie wyjdzie,
> albo wyjdzie na oryginalne (stare) urządzenie [1], a nie na nowe.

Jak apka będzie ZHAKOWANA to WSZYSTKO WYJDZIE ;)

do góry

_Master_ <M...@...pl> writes:

> W dniu 2020-12-10 o 23:27, Kamil Jońca pisze:
>
>> Masz aplikację na telefonie, której używasz do uwierzytelniania.
>> Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
>> drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
>> aplikacji.
>
> Sokoro tak to nie jest to bezpieczniejsze niż WWW+SMS tylko ułatwia
> życie klientowi (robi wszystko w jednym miejscu RAZ)
Nie. System WWW nie zrobi ci "push" o aktywacji aplikacji. A telefon
może.
>
> ORAZ zmniejsza koszty banku
Owszem. To źle?

>
> Nie ma tu ŻADNEGO postępu/progresu/większego bezpieczeństwa

Owszem jest, jeśli tylko jest zrobione z głową.

Ja nie mam oporów, żeby się przesiąść na aplikację, ale:
1. dlaczego żadna aplikacja nie pozwala zarchiwizować tego co się
potwierdzało? (SMS-y mogę sobie jednak jakoś zachowac)
2. wcale nie jestem przekonany, że owe apllikacje mnie nie śledzą. Niby
nie mam nic do ukrycia, ale z bankiem umwawiałem się na operacje
finansowe, a nie bycie profilem reklamowym.

Z dlatego na razie jednak wolę smsy.

KJ


--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

W dniu 11.12.2020 o 12:32, Alf/red/ pisze:
> W dniu 10.12.2020 o 23:27, Wojciech Bancer pisze:
>>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>>> kocham nie wiem.
>>
>> Mam wrażenie, że sprowadzasz dyskusję do "złodziej przejął wszystko
>> o potrzebne do przejęcia konta". No to jak przejął wszystko, to
>> przejmie konto.
>
> Jak złodziej przejął telefon (zgaduję: w sensie smartfona, ale także w
> sensie karty sim), i przejął hasło do konta, to po co mu jeszcze
> aplikacja na innym telefonie?
>
> Aplikacje się aktywuje różnie: trzeba podać nazwisko rodowe matki,
> system oddzwania głosowo, trzeba podać 6 cyfr z systemu transakcyjnego
> oraz 6 cyfr z SMS (to jest BOŚ, kto by się spodziewał), takie tam.
> Chyba we wszystkich powiadamia jak tylko może: wiadomością SMS,
> wiadomością w ST, wiadomością w starej apce (bo w takim Milku można mieć
> kilka apek jednocześnie).
>

No i fajn, znaczy uzyskanie klona karty sim i przejęcie
przeglądarki/przeglądarkowego hasła do banku wystarcza do:

1. Wykonania przelewu, jeśli był zatwierdzany sms-em.
2. Zainstalowania nowej apki i wykonania przelewu, jeśli był
zatwierdzany apką.

Ergo, zatwierdzanie apką nie jest bezpieczniejsze od zatwierdzania sms-em.

Don't tell me, że "nazwisko rodowe matki" cokolwiek zabezpiecza.

MJ

do góry