| Data: 2019-07-29 15:30:16 | |
| Autor: Robert Sierant | |
| PSD2 mBank i pewnie nie tylko... | |
|
jak w temacie,
właśnie otrzymałem list z banku, że od 14.09.2019 r. przy logowaniu do bankowości internetowej będzie trzeba podać kod sms lub zaakceptować "operację" w apce mobilnej od razu zapytałem na czacie co jeżeli nie będę miał komórki pod ręką? - nie zaloguje się pan... nie sądzicie, że to już lekka przesada? zapytałem też co z tymi co komórek nie mają (znam osoby, które korzystają tylko z tel. stacjonarnego), tutaj już mi nie potrafili wyjaśnić jak to będzie... -- pozdrawiam RobertS https://finansowewariacje.wordpress.com/ |
|
| Data: 2019-07-29 15:42:36 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Robert Sierant" napisał w wiadomości grup dyskusyjnych:5d3ef4e4$0$500$65785112@news.neostrada.pl...
jak w temacie, od razu zapytałem na czacie co jeżeli nie będę miał komórki pod ręką? nie sądzicie, że to już lekka przesada? sadzimy .. zapytałem też co z tymi co komórek nie mają (znam osoby, które korzystają tylko z tel. stacjonarnego), tutaj już mi nie potrafili wyjaśnić jak to będzie... a) przeciez sa sms na stacjonarne ... tylko ciekawe czy mbank je wysyla, bo to drogie jest :-) b) przeciez te osoby nie maja konta w mbanku ... no, chyba ze zachomikowaly troche list hasel przed podwyzka. Trzeba miec smartfona ... bo hasla SMS tez odchodza do lamusa. J. |
|
| Data: 2019-07-29 15:53:19 | |
| Autor: Robert Sierant | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-29 o 15:42, J.F. pisze:
zapytałem też co z tymi co komórek nie mają (znam osoby, które korzystają tylko z tel. stacjonarnego), tutaj już mi nie potrafili wyjaśnić jak to będzie... no właśnie, ciekawe czy takie będą wysyłać klient może mieć wszelkie zdefiniowane przelewy np. przy wykorzystaniu kart kodów, infolinii i teraz się tylko loguje, płaci i po sprawie ale od 14.09 już się nie zaloguje -- pozdrawiam RobertS https://finansowewariacje.wordpress.com/ |
|
| Data: 2019-07-29 16:23:32 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Robert Sierant" napisał w wiadomości grup dyskusyjnych:5d3efa4f$0$534$65785112@news.neostrada.pl...
W dniu 2019-07-29 o 15:42, J.F. pisze: b) przeciez te osoby nie maja konta w mbanku ... no, chyba ze zachomikowaly troche list hasel przed podwyzka. Zostal ostrzezony - niech sp* :-) Zreszta przechodzenie na sms trwa od dawna ... Tylko czemu ja sie ciagle zastanawiam co bedzie, jak mi smartfona gdzies na wakacjach ukradna, zgubie, wypadnie do wody, zespuje sie, rozladuje ... A jak inne banki ? Bedzie tak samo ? Bo ciekawe ... skoro z PSD2, logowanie przez inne podmioty wypadaloby jakos potwierdzac ... moze slusznie mbank czyni ? J. |
|
| Data: 2019-07-29 20:13:57 | |
| Autor: Robert Sierant | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-29 o 16:23, J.F. pisze:
Zostal ostrzezony - niech sp* :-) na właśnie, co zrobią inne banki? bo jak wszystkie podejdą do tematu tak samo to nie będzie dokąd spi***alac -- pozdrawiam RobertS https://finansowewariacje.wordpress.com/ |
|
| Data: 2019-07-29 21:45:09 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Mon, 29 Jul 2019 20:13:57 +0200, Robert Sierant napisał(a):
W dniu 2019-07-29 o 16:23, J.F. pisze: Na Ukraine, ich unijna regulacja nie dotyczy :-) Stop, co ja glupi gadam ... przeciez wiadomo ze bezpieczne banki to w Szwajcarii :-) J. |
|
| Data: 2019-07-30 15:38:12 | |
| Autor: Poldek | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-29 o 16:23, J.F. pisze:
Użytkownik "Robert Sierant" napisał w wiadomości grup dyskusyjnych:5d3efa4f$0$534$65785112@news.neostrada.pl... Na SMS przeszli ci, którzy sobie tego życzyli. Ci, którzy sobie nie życzyli używali haseł jednorazowych. W przypadku chęci wykonania operacji w miejscu, gdzie jest internet (w szczególności jest to np. internet stacjonarny), a nie ma zasięgu GSM, to autoryzacja przez SMS była niemożliwa, a hasłem jednorazowym normalnie - tak. |
|
| Data: 2019-07-30 15:58:22 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Poldek" napisał w wiadomości grup dyskusyjnych:qhph85$14rf$2@gioia.aioe.org...
W dniu 2019-07-29 o 16:23, J.F. pisze: Trzeba miec smartfona ... bo hasla SMS tez odchodza do lamusa.klient może mieć wszelkie zdefiniowane przelewy np. przy wykorzystaniu kart kodów, infolinii i teraz się tylko loguje, płaci i po sprawie Na SMS przeszli ci, którzy sobie tego życzyli. Ci, którzy sobie nie życzyli używali haseł jednorazowych. W przypadku chęci wykonania Przy 19 zl za liste ? operacji w miejscu, gdzie jest internet (w szczególności jest to np. internet stacjonarny), a nie ma zasięgu GSM, to autoryzacja przez SMS była niemożliwa, a hasłem jednorazowym normalnie - tak. Piwnica jakas ? Fakt, szpital nowy ... widac mocno metalowy, bo zasieg kiepski. J. |
|
| Data: 2019-07-30 19:00:52 | |
| Autor: Imka | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 30 Jul 2019 15:58:22 +0200, J.F. napisał(a):
Użytkownik "Poldek" napisał w wiadomości grup dyskusyjnych:qhph85$14rf$2@gioia.aioe.org... Na SMS przeszli ci, którzy sobie tego życzyli. Ci, którzy sobie nie życzyli używali haseł jednorazowych. W przypadku chęci wykonania Nie, wystarczy niewielka wioska niedaleko lasu, raptem 10 km od byłego miasta wojewódzkiego i wszystkiego z 90 km od Warszawy. Internet jest po kablu tepecyjnym, a zasięg GSM dopiero jak się wyjdzie "z obejścia" na drogę i przejdzie ze 150 m. I w tym miejscu jest tak z zasięgiem GSM mniej więcej od 15-20 lat, więc nie ma co liczyć na to że "naprawią". -- Imka |
|
| Data: 2019-07-30 19:52:45 | |
| Autor: Michal Jankowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 30.07.2019 o 19:00, Imka pisze:
Dnia Tue, 30 Jul 2019 15:58:22 +0200, J.F. napisał(a): Pod Ciechanowem takich miejsc pełno. Inna sprawa, że z internetem stacjonarnym też niejaki problem... MJ |
|
| Data: 2019-08-04 00:37:32 | |
| Autor: WAM | |
| PSD2 mBank i pewnie nie tylko... | |
|
On Tue, 30 Jul 2019 19:00:52 +0200, Imka <spamtrapimki@gazeta.pl>
wrote: I w tym miejscu jest tak z zasięgiem GSM mniej więcej od 15-20 lat, więcAle zgłaszałaś operatorowi/om? WAM -- www.nawakacje.pl ? pokoje w górach www.wpolskichgorach.pl pokoje na Mazurach www.spanienamazurach.pl pokoje nad morzem www.nadmorze.pl |
|
| Data: 2019-07-31 10:48:28 | |
| Autor: Poldek | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-30 o 15:58, J.F. pisze:
Użytkownik "Poldek" napisał w wiadomości grup dyskusyjnych:qhph85$14rf$2@gioia.aioe.org... Tak. Są ludzie, dla których 19 zł to niewielkie pieniądze :-) operacji w miejscu, gdzie jest internet (w szczególności jest to np. internet stacjonarny), a nie ma zasięgu GSM, to autoryzacja przez SMS była niemożliwa, a hasłem jednorazowym normalnie - tak. Rejon w górach. Fakt, szpital nowy ... widac mocno metalowy, bo zasieg kiepski. Czy dobrze zgaduję, że to miało być coś złośliwego? |
|
| Data: 2019-07-31 11:16:52 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Poldek" napisał w wiadomości grup dyskusyjnych:qhrkku$f50$1@gioia.aioe.org...
W dniu 2019-07-30 o 15:58, J.F. pisze: Użytkownik "Poldek" napisał w wiadomości grup W dniu 2019-07-29 o 16:23, J.F. pisze: Tak. Są ludzie, dla których 19 zł to niewielkie pieniądze :-) Niby niewielkie, ale po co przeplacac :-) No fakt, mnie taka lista na dlugo starcza, a jak ktos zamowil kilka przed podwyzka, to ma na dlugo. operacji w miejscu, gdzie jest internet (w szczególności jest to np. internet stacjonarny), a nie ma zasięgu GSM, to autoryzacja przez SMS była niemożliwa, a hasłem jednorazowym normalnie - tak. Rejon w górach. Fakt, szpital nowy ... widac mocno metalowy, bo zasieg kiepski.Czy dobrze zgaduję, że to miało być coś złośliwego? Nie, niedawne doswiadczenia. Nowy szpital ... i problemy z zasiegiem. W poczekalni gdzies w glebi budynku nie dziwne, ale w pokoju na II pietrze tez rwie. Szpital nawet wi-fi udostepnia, ale wymaga rejestracji i haslo na sms przysyla. I trzeba wyjsc, zeby odebrac :-) Wiec faktycznie moga sie zdarzyc takie sytuacje. J. |
|
| Data: 2019-07-31 11:51:58 | |
| Autor: Pete | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-31 o 11:16, J.F. pisze:
Użytkownik "Poldek" napisał w wiadomości grup dyskusyjnych:qhrkku$f50$1@gioia.aioe.org... E-e "Dzień dobry, od 14 września br. wycofujemy listy haseł jednorazowych, a nasi klienci będą potwierdzać operacje bankowe hasłami SMS lub mobilną autoryzacją. Dlatego prosimy, zarejestruj jak najszybciej swój numer telefonu komórkowego. Zmienisz go na mLinii 801 300 800 lub w naszej placówce. Będziesz potrzebował dowodu osobistego oraz numeru aktywnej karty jaką masz w mBanku. Jeśli tego nie zrobisz, od 14 września nie zalogujesz się do serwisu transakcyjnego. Sprawy związane z rachunkiem załatwisz tylko na mLinii lub w placówce. ...." -- Pete |
|
| Data: 2019-07-31 13:03:03 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Pete" napisał w wiadomości grup dyskusyjnych:5d4164bf$0$519$65785112@news.neostrada.pl...
W dniu 2019-07-31 o 11:16, J.F. pisze: Zostal ostrzezony - niech sp* :-) E-e Ale to teraz - 19 zl wprowadzili juz ... lata temu. Jak widac niektorym starczylo. J. |
|
| Data: 2019-07-31 13:26:04 | |
| Autor: Pete | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-31 o 13:03, J.F. pisze:
Użytkownik "Pete" napisał w wiadomości grup dyskusyjnych:5d4164bf$0$519$65785112@news.neostrada.pl... Ja tylko w kwestii formalnej. Powinieneś napisać .... a jak ktos zamowil kilka przed podwyzka, to *miał* na dlugo. -- Pete |
|
| Data: 2019-08-12 11:11:03 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
W znanych mi szpitalnych wifi i podobnych jest problem z protokołami SSL, czasem nawet poczta nie idzie.
-- -- - Szpital nawet wi-fi udostepnia |
|
| Data: 2019-07-31 15:02:42 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-07-30, Poldek <pugilares@interia.eu> wrote:
[...] operacji w miejscu, gdzie jest internet (w szczególności jest to np. internet stacjonarny), a nie ma zasięgu GSM, to autoryzacja przez SMS była niemożliwa, a hasłem jednorazowym normalnie - tak. E tam. "WIFI Calling" to już parę lat ma. A czytałem, że listy papierowe po prostu zostaną wycofane. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-11 03:38:10 | |
| Autor: Poldek | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-31 o 15:02, Wojciech Bancer pisze:
On 2019-07-30, Poldek <pugilares@interia.eu> wrote: WiFi calling nie działa u ludzi, którzy nie posiadają telefonu komórkowego, a posiadają komputer z dostępem do internetu i konto z dostępem przez WWW. |
|
| Data: 2019-08-11 09:44:52 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-11, Poldek <pugilares@interia.eu> wrote:
[...] operacji w miejscu, gdzie jest internet (w szczególności jest to np. Życie. Jak chcą wygodnie, to muszą ją kupić. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-07-31 07:07:20 | |
| Autor: dantes | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Mon, 29 Jul 2019 16:23:32 +0200, J.F. napisał(a):
Użytkownik "Robert Sierant" napisał w wiadomości grup dyskusyjnych:5d3efa4f$0$534$65785112@news.neostrada.pl...Jeśli do odbierania SMS-ów używasz tego samego smartfona co do logowania do banku, to nie muszą Ci kraść smartfona. |
|
| Data: 2019-07-31 07:36:26 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Wed, 31 Jul 2019 07:07:20 +0200, dantes napisał(a):
Dnia Mon, 29 Jul 2019 16:23:32 +0200, J.F. napisał(a): A to osobny problem. Ja sie boje, ze pieniadze na kontach beda, ale niedostepne I problem warty do rozwazenia na urlopie ... tylko co tu zrobic - trzy telefony nosic? Bo jeden sluzbowy ... J. |
|
| Data: 2019-07-31 08:52:10 | |
| Autor: dantes | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Wed, 31 Jul 2019 07:36:26 +0200, J.F. napisał(a):
Dnia Wed, 31 Jul 2019 07:07:20 +0200, dantes napisał(a): Służbowy w dual-sim'ie z prywatnym. |
|
| Data: 2019-08-02 12:16:38 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Wed, 31 Jul 2019 08:52:10 +0200, dantes napisał(a):
Dnia Wed, 31 Jul 2019 07:36:26 +0200, J.F. napisał(a): Jest to jakis pomysl, ale bateria szybciej pada :-) J. |
|
| Data: 2019-07-30 15:35:09 | |
| Autor: Poldek | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-07-29 o 15:42, J.F. pisze:
Są/byli tacy, którzy korzystali z list haseł jednorazowych po podwyżce. Kto bogatemu zabroni? |
|
| Data: 2019-08-10 21:45:12 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
Owszem, ale zwykle czytane paszczą, spróbuj zapamiętać.
-- -- - a) przeciez sa sms na stacjonarne |
|
| Data: 2019-08-11 20:30:27 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Sat, 10 Aug 2019 21:45:12 +0200, ąćęłńóśźż napisał(a):
Owszem, ale zwykle czytane paszczą, spróbuj zapamiętać. Z banku o tyle dobrze, ze wiadomo kiedy przyjdzie, no i dyktafon mozna przygotowac. J.
|
|
| Data: 2019-07-29 16:17:19 | |
| Autor: jureq | |
| PSD2 mBank i pewnie nie tylko... | |
|
Potrafię wymyślić ciekawszą sytuację.
Żeby zainstalować apkę trzeba ją zaakceptować w serwisie. Jeśli dobrze pamiętam, to po kilku błędnych logowaniach do apki konieczne jest jej powtórne zainstalowanie (a może tylko powtórne aktywowanie, ale skutek taki sam). Tylko jak to zrobić, nie mogąc potwierdzić logowania do systemu apką? |
|
| Data: 2019-07-29 11:12:55 | |
| Autor: Dawid Rutkowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Jak kogoś to trafi i się poskarży, to może dorobią w takiej sytuacji zmianę na SMS.
|
|
| Data: 2019-07-30 22:22:11 | |
| Autor: Arek | |
| PSD2 mBank i pewnie nie tylko... | |
|
Robert Sierant napisał(a) w wiadomości: <5d3ef4e4$0$500$65785112@news.neostrada.pl>...
jak w temacie, Bardzo ciężka przesada. Nawet jeszcze cięższa. Chyba na bankierze.pl przesłuchano kilka banków na tę okoliczność - niektóre twierdziły, że tylko raz na kilka logowań zażądają SMS-a. Inne po "zarejestrowaniu" urządzenia jako zaufanego podobnie. zapytałem też co z tymi co komórek nie mają (znam osoby, które Co to obchodzi eurourzędasa i innych wymyślaczy W dyrektywie jest chyba o podwójnym "uwiarygodnieniu", nie są podane konkretne metody. Może więc ten sam eurourzędas (tzn. w tym samym fotelu bo właśnie rozdają posady po eurowyborach...) nakaże przywrócenie innych metod dla bezkomórkowców? Pomarzyć... Arek |
|
| Data: 2019-07-31 07:05:40 | |
| Autor: jureq | |
| PSD2 mBank i pewnie nie tylko... | |
|
Po zapoznaniu się ze szczegółami na stronie https://www.mbank.pl/mbank-news/co-nowego/od-14-wrzesnia-duzo-zmian-w-banku-nie-daj-sie-zaskoczyc.html wygląda na to, że w większości wypadków będą istniały ułatwienia np. komputer zaufany.
Prawdopodobnie jednak nie będzie to idealnie działąć w 100% sytuacji. |
|
| Data: 2019-08-04 20:08:11 | |
| Autor: Marek | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 31 Jul 2019 07:05:40 GMT, jureq <jureq@nowhere.no> wrote:
Po zapoznaniu się ze szczegółami na stronie https://www.mbank.pl/mbank-news/co-nowego/od-14-wrzesnia-duzo-zmian-w-banku-nie-daj-sie-zaskoczyc.html wygląda na to, że w większości wypadków będą istniały ułatwienia np. komputer zaufany. Niby jak, certyfikat po stronie klienta? -- Marek |
|
| Data: 2019-08-02 12:14:16 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Mon, 29 Jul 2019 15:30:16 +0200, Robert Sierant napisał(a):
jak w temacie, https://www.mbank.pl/mbank-news/co-nowego/od-14-wrzesnia-duzo-zmian-w-banku-nie-daj-sie-zaskoczyc.html no i jeszcze ciekawostka 4. Inaczej połączysz Twoją aplikację mobilną z kontem Instalujesz aplikację pierwszy raz? A może chcesz korzystać z aplikacji na innym urządzeniu? W każdym z tych przypadków aktywacja i łączenie aplikacji z kontem, będzie wyglądać nieco inaczej. Może wymagać np. kodu PIN do ostatnio zainstalowanej aplikacji mobilnej, lub hasła do serwisu transakcyjnego oraz wybranych cyfr z numeru karty płatniczej. Taaa ... trzeba miec zapasowy smartfon z aplikacja, na wypadek awarii pierwszego ? A moze po prostu chca sie pozbyc klientow detalicznych ? :-) 5. Z mobilnej autoryzacji skorzystasz na więcej niż jednym, Twoim urządzeniu Korzystasz z mobilnej autoryzacji? Mamy dobrą wiadomość - od 14 września możemy wysyłać Ci dane operacji w powiadomieniu na każde urządzenie, na którym masz aktywną aplikację mobilną. Co zyskujesz? -wygodę - jeśli zapomnisz wziąć z domu telefonu, rozładuje Ci się bateria, możesz skorzystać z mobilnej autoryzacji na innym urządzeniu, -bezpieczeństwo - jeśli ktoś np. ukradnie Twój telefon, zobaczysz powiadomienie autoryzacyjne także na innym urządzeniu, które masz przy sobie. Bez problemu anulujesz operację. Taa, zapomne telefonu, ale drugiego nie zapomne. A na komputerze nie moge miec takiej autoryzacji ? J. |
|
| Data: 2019-08-02 22:46:40 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-02, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] 4. Inaczej połączysz Twoją aplikację mobilną z kontem Z którego konkretnie fragmentu to wywioskowałeś? A na komputerze nie moge miec takiej autoryzacji ? Zostań przy SMSach i albo skonfiguruj sobie forward na komputer (da się), albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy "czymbądź". https://support.skype.com/pl/faq/FA34884/jak-otrzymac-wiadomosci-sms-w-programie-skype -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-02 23:00:57 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Fri, 2 Aug 2019 22:46:40 +0200, Wojciech Bancer napisał(a):
On 2019-08-02, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Hm, moze i faktycznie przeinaczylem, ale autoryzacje spychaja do apki, a jak apki nagle zabraknie ? A na komputerze nie moge miec takiej autoryzacji ?Zostań przy SMSach i albo skonfiguruj sobie forward na komputer (da się), Ciekawe ... ale robia apke tokena, to czemu nie na peceta ? J. |
|
| Data: 2019-08-03 00:12:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-02, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Taaa ... trzeba miec zapasowy smartfon z aplikacja, na wypadek awariiZ którego konkretnie fragmentu to wywioskowałeś? Nie wypychają, aczkolwiek aplikacje mają 2 zalety: a) są bezpieczniejsze b) są tańsze (za SMSy w dalszym ciągu coś się płaci) a jak apki nagle zabraknie ? Nie rozumiem. A na komputerze nie moge miec takiej autoryzacji ?Zostań przy SMSach i albo skonfiguruj sobie forward na komputer (da się), Przychodzą mi do głowy co najmniej 3 powody: 1) smartfon jest urządzeniem o wiele bardziej osobistym 2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer 3) aplikacje na telefonach mają swoje zaufane źródło pobierania (Google Play, App Store), a same systemy uruchamiają aplikacje w swoistych wyizolowanych kontenerach, więc potencjalny włam, czy manipulacja jest jest mimo wszystko trudniejsza z każdą wersją systemu (Android) lub praktycznie niemożliwa (iOS). -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-03 15:19:04 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
3) aplikacje na telefonach mają swoje zaufane źródło pobierania Jak to mówią, wiara czyni cuda. W rzeczywistości jednak, istnieje zasadnicza zaleta z rozdzielenia komputera, który jest używany do operacji bankowych, i urządzenia, na którym otrzymujemy informacje autoryzujące. To, że być może chwilowo złodzieje nie używają furtki w postaci wspólnego urządzenia, nie oznacza że jutro nie zaczną. Wystarczy że wyschnie źródełko w postaci "zawirusowanych" pecetów z kodami papierowymi. -- Krzysztof Hałasa |
|
| Data: 2019-08-03 16:39:43 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-03, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] 3) aplikacje na telefonach mają swoje zaufane źródło pobierania To czysto teoretycznie: jaki widzisz możliwy wektor ataku w przypadku iOS? Oczywiście inny niż "przywalenie klientowi w głowę i zabranie odblokowanego telefonu" :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-04 00:33:49 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
To czysto teoretycznie: jaki widzisz możliwy wektor ataku w przypadku iOS? Oczywiście inny niż "przywalenie klientowi w głowę i zabranie odblokowanego telefonu" :) Taki jak zwykle - wysłanie owemu klientowi treści, które nie zostaną prawidłowo "obsłużone" przez urządzenie. A tak swoją drogą - nie używam ich sprzętu, to nie wiem - myślisz, że w ich "sklepie" nie można umieścić trefnego oprogramowania, albo że może ich system jest na to oprogramowanie odporny? -- Krzysztof Hałasa |
|
| Data: 2019-08-04 11:22:52 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-03, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <wojciech.bancer@gmail.com> writes: Ale jak chciałbyś je wysłać? Mailem? Aplikacja mailowa nie wie co z taką treścią zrobić. SMS? To samo. A aplikacja bankowa nie przyjmuje treści drogą mailową, czy SMS. A tak swoją drogą - nie używam ich sprzętu, to nie wiem - myślisz, że Jeśli wykluczymy potencjalne błędy systemu, to owszem, nie można. Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich fukcji dostępu do systemu operacyjnego, ma bardzo ograniczony i wydzielony zestaw instrukcji (opisany jako SDK). I takie rzeczy jak próba skorzystania z niedozwolonych funkcji są wykrywane przez automaty na etapie wrzucania do AppStore. A bez dostępu do takich funkcji nie uda Ci się napisać żadnej złośliwej aplikacji. Model działania aplikacji mobilnej w iOS, w przeciwieństwie do aplikacji na komputerze zakłada uruchomienie jej z minimalym zestawem pozwoleń i pozwalaniu na rozszerzenie tych pozwoleń przez użytkownika, w bardzo ograniczony sposób (i przez czytelnyne komunikaty). A mówiąc prościej: na początku aplikacja może operować wyłącznie w swoim środowisku, potencjalnie może Cię poprosić o zgodę na np. odbieranie notyfikacji (ale tylko własnych), ale już nie może Cię poprosić o "daj mi roota" jak na komputerach, bo system takich mechanizmów nie udostępnia. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-04 11:49:25 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
Ale jak chciałbyś je wysłać? Mailem? Aplikacja mailowa nie wie co Tzn. nie ma żadnych aplikacji, które wiedzą, co się robi z treścią? Iphony w ogóle nie otrzymują treści z zewnątrz? Wiem, że są problemy z byle przesłaniem im pliku przez BT, ale chyba bez przesady. Jeśli wykluczymy potencjalne błędy systemu, to owszem, nie można. No ale (nie tyle potencjalne, co raczej rzeczywiste, choć być może jeszcze nieznane) błędy różnych części systemu to właśnie podstawowy wektor ataku. W każdym systemie tak jest. Zagrożenie trojanami to sprawa drugorzędna, ponieważ można go w praktyce uniknąć po prostu nie instalując trojanów. Na nieznaną dziurę, którą można wykorzystać np. odpowiednio spreparowanym SMSem, pakietem radiowym, stroną WWW nie ma prostej rady. Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich A nie może być tak, że aplikacja zacznie używać owych funkcji dopiero podczas ataku? Albo że będzie używać funkcji (teoretycznie "nieszkodliwych"), które są błędnie obsługiwane przez system? A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko? Tak teoretycznie, to wiele współczesnych systemów jest całkowicie odpornych na wszelkie ataki (pomijając te związane z fizycznym dostępem do sprzętu). W szczególności dotyczy to masowo używanych systemów. Oczywiście pod pewnymi warunkach, takimi jak ustawienie silnych haseł (ale nie mam tu na myśli żadnych aktualizacji, bo takie teoretycznie nie byłyby potrzebne). -- Krzysztof Hałasa |
|
| Data: 2019-08-04 14:14:34 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-04 o 11:49, Krzysztof Halasa pisze:
Iphony w ogóle nie otrzymują treści z zewnątrz? Otrzymują. Można przez wifi chociażby wrzucić pliki na urządzenie. Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich Fałszywe aplikacje w appstore się pojawiają. Tutaj przykład takowej: https://niebezpiecznik.pl/post/zlosliwa-aplikacja-apple-appstore/ Oczywiście jakaś tam ingerencja użytkownika też musi być. O ile jednak użytkownicy Windowsa są zazwyczaj czujni, o tyle przekonanie (już od dość dawna nieaktualne), iż na Maca nie ma wirusów, bezpieczny sprzęt, nie zawiesza się itp. itd. bywa bardzo złudne. Tak teoretycznie, to wiele współczesnych systemów jest całkowicie Wydaje mi się, że jednak "błąd ludzki" to podstawa ataków. W szczególności dotyczy to masowo używanych systemów. Oczywiście pod pewnymi warunkach, takimi jak ustawienie Sposobem na atak mogłyby być aktualizacje. Taka "fałszywa aktualizacja" mogłaby dokonać niezbędnych hakerowi zmian w systemie. Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często automatycznie je akceptują lub instalują w tle. |
|
| Data: 2019-08-04 16:18:48 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-04, Szymon <z@wp.pl> wrote:
[...] A nie może być tak, że aplikacja zacznie używać owych funkcji dopiero Cytat z artykułu: "Aplikacja, którą zaraz opiszemy, nie była "złośliwa" w sensie bycia "trojanem"; nie wykradała treści SMS-ów, kontaktów czy zdjęć użytkowników, co notorycznie robią aplikacje ze sklepy Google Play, nawet te ze znaczkiem "Verified by Play Protect", które właśnie odkrył Lukas Stefanko. "Nasza" aplikacja była po prostu "cwana" i stosując tzw. "black pattern" starała się naciągnąć posiadaczy iPhonów na spore koszty. Co więcej, w przeciwieństwie do aplikacji ze sklepu Google Play, które potrafią okradać użytkowników Androida długimi (tygo)dniami, żywot tej aplikacji iPhonowej był niezwykle krótki." Oczywiście jakaś tam ingerencja użytkownika też musi być. O ile jednak użytkownicy Windowsa są zazwyczaj czujni, o tyle przekonanie (już od dość dawna nieaktualne), iż na Maca nie ma wirusów, bezpieczny sprzęt, nie zawiesza się itp. itd. bywa bardzo złudne. Nie mówimy o macu, tylko o iOS. W szczególności dotyczy to masowo używanych Nie da się takiej aktualizacji przeprowadzić w iOS. Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często automatycznie je akceptują lub instalują w tle. Aktualizacje praktycznie tylko idą w tle, ale jedynie z platformy App Store. Nie ma możliwości aktualizowania aplikacji "skąd bądź". A ta z App Store przechodzi ten sam proces review, co wcześniejsze wersje. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-04 16:59:14 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-04 o 16:18, Wojciech Bancer pisze:
Fałszywe aplikacje w appstore się pojawiają. Tutaj przykład takowej: Nie twierdzę, że system X jest bezpieczniejszy od Y. Wydaje mi się jedynie, iż systemów nie do ruszenia - nie ma. Nie mówimy o macu, tylko o iOS. Porównałem komputery, ale nie ma to większego znaczenia. Chodzi o pewien mechanizm działania. Możesz przyjrzeć się macowi, możesz iPhone'owi czy iPadowi... Zawsze najsłabszym ogniwem jest człowiek. Także w przypadku Windowsa/Androida. Sposobem na atak mogłyby być aktualizacje. Taka "fałszywa aktualizacja" Być może. Zdarzało się jednak, iż po aktualizacji "legalnej" system gorzej działał niż przed. Jednocześnie nie do końca wiadomo co one dają. Bardzo niewielu użytkowników jest w stanie wskazać "co się zmieniło?" po aktualizacji. Atak w tym kierunku byłby zatem skuteczny. "Nie da się" - odważna teza. Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często Jednak jak widać po wpisaniu "fałszywe aplikacje w Appstore" coraz więcej tego. Z kolejnego artykułu: Każda aplikacja dla systemu iOS przed pojawieniem się w App Store jest wcześniej poddawana procesowi weryfikacji, który ma odsiać programy naruszające regulamin sklepu. Niestety, mimo to deweloperom czasami udaje się przemycić tam szkodliwe oprogramowanie. Jak na razie nie wiadomo, jak duże szkody wyrządziła fałszywa aplikacja MyEtherWallet. Jej opis sugerował, że wszystkie dane podawane przez użytkowników zapisywane były wyłącznie w pamięci ich urządzeń, jednak nie wiadomo, czy była to prawda. Teoretycznie twórcy aplikacji mogli za jej pomocą zyskać dostęp do prywatnych kluczy użytkowników, a tym samym do środków zgromadzonych w ich wirtualnych portfelach. -- -- -- -- -- -- -- -- -- -- Zgadzam się z Twoją tezą z poprzedniego postu, iż ataki są w tej chwili skierowane przede wszystkim na użytkownika. To najtańszy i najskuteczniejszy sposób. Wydaje mi się, iż w tym momencie nie ma znaczenia z jakiego sprzętu czy systemu się korzysta. Zatem twierdzenie, że ten bardziej, a tamten mniej bezpieczny nie jest uprawnione. |
|
| Data: 2019-08-04 17:58:00 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-04, Szymon <z@wp.pl> wrote:
[...] Cytat z artykułu: Nie musi być. Osiągnięcie odpowiedniego poziomu trudności złamania jest bardzo często czynnikiem wystarczającym. Nie mówimy o macu, tylko o iOS. No właśnie ma. Chyba nie do końca prześledziłeś o czym jest dyskusja. Wyszła ona od tego "dlaczego" banki przechodzą na aplikacje. A przechodzą, bo są one tańsze i bezpieczniejsze. Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku iOS i obecnego modelu działania nie dość, że nikt się pod tą apkę nie podszyje (co jest łatwe w przypadku SMS), to jeszcze będziesz od razu widział jak na dłoni próbę wyłudzenia wysyłane tradycyjnym SMSem. Chodzi o pewien mechanizm działania. Możesz przyjrzeć się macowi, możesz iPhone'owi czy iPadowi... Zawsze najsłabszym ogniwem jest człowiek. Także w przypadku Windowsa/Androida. Mechanizmy działania tych systemów są kompletnie inne. Nie da się takiej aktualizacji przeprowadzić w iOS. App Store obecnie ma ok. 2 mln aplikacji i tego rodzaju sytuacja się nie zdarzyła. Przyjęty model dystrybucji uniemożliwia tego rodzaju atak. Chyba że twierdzisz iż w celu shackowania posiadaczy mBanku ktoś znajdzie środki i wiedzę by przełamać zabezpieczenia firmy Apple a przy tym pozostanie niewykryty. Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często Ale Ty piszesz o zupełnie innych aplikacjach i tylko wrzucasz je do tego samego worka. ŻADNA aplikacja nie będzie się w stanie podszyć pod inną przez "aktualizację". Z kolejnego artykułu: Każda aplikacja dla systemu iOS przed pojawieniem się w App Store jest wcześniej poddawana procesowi weryfikacji, który ma odsiać programy naruszające regulamin sklepu. Niestety, mimo to deweloperom czasami udaje się przemycić tam szkodliwe oprogramowanie. I nadal nie ma tu mechanizmu o którym tu rozmawiamy. [...] Zgadzam się z Twoją tezą z poprzedniego postu, iż ataki są w tej chwili skierowane przede wszystkim na użytkownika. To najtańszy i najskuteczniejszy sposób. Wydaje mi się, iż w tym momencie nie ma znaczenia z jakiego sprzętu czy systemu się korzysta. Zatem twierdzenie, że ten bardziej, a tamten mniej bezpieczny nie jest uprawnione. Oczywiście że *jest* bardziej bezpieczny i sam to udowadniasz szukając statystyk. Na 2 mln aplikacji znalazłeś ich zaledwie kilka (i teraz to już poszukałeś aplikacji sprzed 2 lat, która się utrzymała kilka dni). A i nadal nie były to aplikacje które mogłyby podszyć się pod aplikację mBaku i zamiast niej wysłać żądanie autoryzacyjne (ponownie wrócę do tematu otwierającego wątek, czyli bezpieczeństwo autoryzacji SMS vs już istniejąca, oficjalna aplikacja). -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-04 19:25:00 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-04 o 17:58, Wojciech Bancer pisze:
Osiągnięcie odpowiedniego poziomu trudności złamania jest bardzo Jeśli jednak przyjmiesz, iż to człowiek jest najsłabszym ogniwem to system przestaje mieć znaczenie. Chyba nie do końca prześledziłeś o czym jest dyskusja. Wyszła ona od tego Wydaje mi się, że jednym z pierwszych udostępniających aplikację do autoryzacji był EB. Bardzo promował swój token GSM. Mam wrażenie jednak, iż bardzo trudno było przebić się do świadomości klienta. Osobiście korzystałem z tokena sprzętowego. W moim przekonaniu to optymalna metoda autoryzacji. Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku Wydaje się jednak, iż byłbym wówczas zmuszony do korzystania z urządzeń Apple'a. Wysoka cena. Mam służbowego iPada. Jest zarządzany przez administratora i niezwykle bezpieczny - na tyle, iż nie jestem w stanie sam nic zainstalować. Czasami mam wrażenie, że w kwestiach bezpieczeństwa trzeba szukać rozsądnego kompromisu między użytecznością urządzenia a jego zabezpieczeniem. |
|
| Data: 2019-08-04 20:12:35 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-04, Szymon <z@wp.pl> wrote:
[...] Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku Aplikacje na Androidzie nadal są bezpieczniejsze niż SMSy. Chociażby dlatego, że komunikacja jest szyfrowana i nie tak łatwa do podrobienia jak SMSy, chociaż Android sam w sobie pozwala na więcej, stąd obecność złośliwych aplikacji w GP. Chociaż Google mimo wszystko aktywnie je zwalcza. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2021-02-26 13:56:11 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
Mnie to zawsze ciekawi, że admini z pensjami po jednak kilka tysi (netto) mogą więcej niż pracownicy z pensjami po kilkanaście tysi + premie.
Kto ma większą pokusę coś nabroić? -- -- - Jest zarządzany przez administratora i niezwykle bezpieczny - na tyle, iż nie jestem w stanie sam nic zainstalować. |
|
| Data: 2019-08-04 16:13:56 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-04, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Ale jak chciałbyś je wysłać? Mailem? Aplikacja mailowa nie wie co Otrzymują. Aplikacja od SMSów dostanie SMSa, aplikacja od poczty dostanie maila. I co dalej? Bo ani aplikacja od SMSów, ani aplikacja od poczty nie mają dostępu do danych aplikacji bankowej. Jeśli wykluczymy potencjalne błędy systemu, to owszem, nie można. Absolutnie nie. Podstawowym wektorem ataku jest człowiek i próba jego zmianipulowania. Wykorzystywanie błędów systemu to jest promil promila przypadków. I teraz rzecz w tym, że komputery pozwalają zmanipulowanemu człowiekowi działać o wiele dalej i głębiej niż smartfony. Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich Nie może. Kod aplikacji jest przeglądany a etapie jego wrzucenia, więc jeśli ślad takiego wywołania się pojawi w kodzie, to zostanie ona odrzucona. Albo że będzie używać funkcji (teoretycznie "nieszkodliwych"), które są błędnie obsługiwane przez system? Jak na razie praktyka pokazuje, że to jest nie do zrobienia na masową skalę, przez co jest to problem jedynie teoretyczny lub też problem bardzo bogatych osób w które celuje ktoś personalnie. A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor Teoretyznie nie. Ale praktycznie tak. Ataki z wykorzystaniem tego rodzaju błędów są nieopłacalne. Tak teoretycznie, to wiele współczesnych systemów jest całkowicie Znaczna większość ataków to manipulacja człowiekiem, a nie błędami sprzętu. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-05 22:31:25 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
Absolutnie nie. Podstawowym wektorem ataku jest człowiek i próba jego Obecnie. Ale te problemy można wyeliminować stosunkowo łatwo (jeśli jeszcze występują) - problemów ze sprzętem i systemem nie da się skutecznie wyeliminować w sensownym czasie, zresztą ich liczba wydaje się rosnąć. Jak na razie praktyka pokazuje, że to jest nie do zrobienia na masową Praktyka niczego takiego nie może pokazać. Praktyka może pokazać, że obecnie wysiłki złodziei są skierowane w listy papierowe itp. - ponieważ są najłatwiejsze do pokonania (wystarczy nieświadomy user). Ale jeśli to źródło wyschnie, to złodzieje podepną się do innego. Tak było zawsze i nie ma powodu by teraz nagle miało się to zmienić. A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor Skąd taki pomysł? Mówimy o włamaniach bankowych, pojedyncze włamanie to mogą być setki tysięcy "zysku". Ludzie robią takie rzeczy dla nauki. W żadnym przypadku nie można uznać, że to może być nieopłacalne. Jedynie bardziej opłacalne metody mogą spowodować, że te nie będą wykorzystywane. -- Krzysztof Hałasa |
|
| Data: 2019-08-06 09:39:25 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-05, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Absolutnie nie. Podstawowym wektorem ataku jest człowiek i próba jego Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie z oprogramowaniem. A i nie są istotne "wszystkie" błędy, tylko błędy które można wykorzystać przez złośliwy atak. Nie wystarczy "dziura w sprzęcie". Większość błędów sprzętowo-systemowych może być wykorzystana jedynie "lokalnie" i przy bardzo dużej wiedzy o docelowym systemie ofiary, więc są nie do wykorzystania na masową skalę. [...] Praktyka niczego takiego nie może pokazać. Praktyka może pokazać, że Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre, na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$, zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$, to się to nie opłaca. Przy takich kosztach to się już wybiera ofiary świadomie (np. targetuje się osoby mające duże portfele BTC). Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić bardziej zaawansowane ataki. A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka, który ten błąd odkryje (bo raczej na te odkryte to już nic nie wymyślisz), zatrudnić ludzi którzy zbiorą informacje o celu, odkryją słabe punktu (potencjalnie przekupstwo). Tak na dzień dobry to ja widzę, że setki tysięcy to masz na dzień dobry "kosztów". Jak nie więcej. Pamiętaj że sam błąd nie wystarczy, musisz jeszcze mieć spełnione warunki do jego wykorzystania (np. dostęp lokalny do konkretnej maszyy i dużo czasu). Jak Twój jedyny dostęp to interfejs www, to błędu sprzętowego nie wykorzystasz. Życie to nie film, gdzie Tom Cruise sobie przepełznie wentylacją i wisząc 20 cm nad ziemią, efektownie wsadzi pendrive w komputer, który zacznie mu sam ochoczo przesyłać wszystko co sobie tamten zażyczył. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 15:28:25 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte w szkle, tylko ze względu na liczbę powstających błędów. Faktem jest, stosunek liczby błędów do wielkości softu jest coraz korzystniejszy (co jest zasługą edukacji programistów, oraz m.in. automatów testujących), ale wielkość softu rośnie szybciej. A i nie są istotne "wszystkie" błędy, tylko Akurat w realiach telefonicznych, to wiedza o sprzęcie ofiary jest bardzo dobra. Kwestia prawdopodobieństwa * liczba użytkowników chociażby. Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre, Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota), uda mu się przez miesiąc okraść 200 kosób średnio na $300 (i to też są realne wartości), to nie wiem jak to się może nie opłacać. Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę. Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka, Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych telefonów. Takich, które można załatwić zdalnie błędem znanym od lat. Pamiętaj że sam błąd nie wystarczy, musisz jeszcze mieć spełnione Daj spokój. Dostęp lokalny do maszyny w ogóle dyskwalifikuje taką sytuację. -- Krzysztof Hałasa |
|
| Data: 2019-08-06 17:14:05 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie Ale mówiłeś o tym że się tego "nie da załatać". Oprogramowanie da się załatać i jest łatane. Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre, Nierealna kwota. Tyle zarabia przeciętny dev na legalu, a Ty chcesz specjalistę z wiedzą niskopoziomową o systemie. Dodaj zero na końcu. uda mu się przez miesiąc okraść 200 kosób średnio na $300 (i to też są realne wartości), to nie wiem jak to się może No to się nie zgadzamy co do kwot. Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą Jasne. Tylko oni moga legalnie zarobić więcej niż podałeś wyżej. Jak pisałem: o ile nie są to służby wywiadowcze, szpiegostwo lub atak personalizowany na jakiegoś milionera, to takie eksploity pozostają poza zasięgiem cenowym przeciętnych grup przestępczych. Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka, Na Androidzie na pewno. Na iPhone iOS12 był w lutym na ponad 80% urządzeniach. https://www.cultofmac.com/608798/ios-12-adoption-80-percent/ A iOS 10 (ostatnia wersja 10.3.4 wyszła 22.07.2019) i 11 też jest aktualizowany w zakresie security. Tego rodzaju małe poprawki się instalują najczęściej same, jak podłączasz telefon do ładownia (często nie wymagają nawet restartu). -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 22:38:02 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
Ale mówiłeś o tym że się tego "nie da załatać". Ale nie jest załatane. Nie da się załatać, bo szybkość łatania jest mniejsza niż szybkość tworzenia dziur. Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota), Przez pół roku, rok, albo dwa (zależy gdzie). Optymistycznie rzecz biorąc. Proponuję powrót marketing -> rzeczywistość. -- Krzysztof Hałasa |
|
| Data: 2019-08-06 22:46:31 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Ale mówiłeś o tym że się tego "nie da załatać". Istotnych dziur? Niespecjalnie. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-05 12:13:04 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqk9dad.12mt.wojciech.bancer@pl-test.org...
On 2019-08-02, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Taaa ... trzeba miec zapasowy smartfon z aplikacja, na wypadek awariiZ którego konkretnie fragmentu to wywioskowałeś? Nie wypychają, aczkolwiek aplikacje mają 2 zalety: Nie przecze. a jak apki nagle zabraknie ?Nie rozumiem. No telefon wpadnie do kibla. Albo ukradli. Kupujesz nowy, trzeba apke zainstalowac, autoryzowac ... a tu narzedzie autoryzacji splynelo do kanalu ... A na komputerze nie moge miec takiej autoryzacji ?Zostań przy SMSach i albo skonfiguruj sobie forward na komputer (da się), Przychodzą mi do głowy co najmniej 3 powody: Owszem, ale czesto komputer tez jest osobisty. 2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer chyba jednak klient wlasnie pokazal, ze chce uzyc komputera. Szczegolnie ze funkcjonalnosc nie jest ta sama. 3) aplikacje na telefonach mają swoje zaufane źródło pobierania Byc moze ... ale apka powinna sie jakos zabezpieczac. Fakt, ze to kiepskie zabezpieczenia, i pod windows chyba nie byloby klopotu ze zlamaniem/obejsciem. Ale czy aby na pewno na Androidzie/iOS nie ma ? J. |
|
| Data: 2019-08-05 12:44:17 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-05 o 12:13, J.F. pisze:
a jak apki nagle zabraknie ?Nie rozumiem. Z dziś: Równie niepokojące dane przedstawia nowy raport Instytutu Kościuszki - "Wyzwania w cyberprzestrzeni". Z zebranych przez jego autorów danych wynika, że już co 13 e-mail zawiera złośliwe oprogramowanie, którego celem jest zainfekowanie komputera, systemów komputerowych, sieci czy urządzeń mobilnych. Dość przerażające. A gdyby tak oddzielić system autoryzacyjny od domowego komputera? Wydaje się, że np. wojsko czy policja mają swoje sieci, bez punktów styku z powszechną - Internetem - a zatem włam nie jest możliwy lub przynajmniej bardzo utrudniony. Zainteresowała mnie ta teza: Phishing działa przede wszystkim dlatego, że domagamy się od zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w najbardziej zaawansowanych technologicznie krajach świata pokazują, że tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili odróżniać fałszywe treści od prawdziwych. - tłumaczy Michał Jarski, ekspert ds. cyberbezpieczeństwa. Wydaje mi się, że coś w tym jest. Zamiast domagać się znajomości certyfikatów, stron, rozpoznawania maili, SMS-ów etc. może warto byłoby pomyśleć o rozwiązaniach bardziej odpornych na błędy użytkownika. Przychodzą mi do głowy co najmniej 3 powody: Co więcej - telefon zazwyczaj klient ma przy sobie - komputer dużo rzadziej. A noszenie przy sobie narzędzia autoryzacyjnego chyba nie jest dobrym pomysłem. Szczególnie, iż Kowalski może go potrzebować powiedzmy raz na miesiąc (ot, przelewy za mieszkanie, media itd.). 2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer Zdecydowanie. Dziś przeczytałem: Tak jest w przypadku autentykacji biometrycznej, która umożliwia konsumentom potwierdzenie tożsamości przez zwykłe dotknięcie palcem własnego telefonu czy zrobienie zdjęcia swojej twarzy. W ciągu najbliższych kilku lat biometria stanie się nowym standardem potwierdzania tożsamości, wypierając tym samym kody czy hasła. Biometria zapewnia jeszcze wyższy poziom bezpieczeństwa, dzięki czemu pomaga bankom i internetowym sprzedawcom spełnić wymagania nowych przepisów, związanych m.in. z silnym uwierzytelnieniem - komentuje ekspert. Mimo przeciwników biometrii - jak widać są też jej zwolennicy. Często mówią o telefonach, bowiem czytnik linii jest tam już niemal standardem. A na pewno za kilka lat będzie. W komputerach do rzadkość, aczkolwiek coraz więcej laptopów już ma. Wydaje się zatem, iż nie tylko z punktu widzenia bankowości, ale też ochrony danych szerzej rozumianej biometria ma przyszłość. Byc moze ... ale apka powinna sie jakos zabezpieczac. Błąd ludzki jest tu kluczowy. Jakoś nie mam wrażenia, że poszkodowani korzystali jedynie z Windowsa lub Androida. |
|
| Data: 2019-08-05 22:43:53 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Szymon <z@wp.pl> writes:
Wydaje się, że np. wojsko czy policja mają swoje Absolutnie nie należy tego zakładać. BTW zgodnie z "powszechną wiedzą", większość ataków jest dokonywanych z wewnątrz (sieci, instytucji itd). Phishing działa przede wszystkim dlatego, że domagamy się od Treści prawdziwe także mogą być szkodliwe. Co to w ogóle są "treści prawdziwe"? Istotne jest raczej kto ma prawo wykonywać oprogramowanie (i jakie) - trzeba odróżniać autorów, nie treści. Wydaje mi się, że coś w tym jest. Zamiast domagać się znajomości Owszem. Zresztą systemy "telefoniczne" to robią. Można oczywiście zainstalować fałszywą aplikację (w szczególności w Androidzie), ale domyślnie ta możliwość jest wyłączona - samo się to nie zrobi raczej. Co więcej - telefon zazwyczaj klient ma przy sobie - komputer dużo No niestety. Zwłaszcza jeśli to jest jedyne narzędzie, które jest potrzebne do wykonania operacji bankowych. Tak jest w przypadku autentykacji biometrycznej, która umożliwia Niestety znane mi opracowania (poważne) wskazują, że to nie jest prawda. Zdjęcie twarzy, zdaje się, udało się obejść bardzo prosto i efektownie? Zakładam że można wymagać określonych akcji od użytkownika (by nie dało się pokazać kamerze zdjęcia), ale symulowany model także może dokładnie takie same akcje wykonywać - to obecnie domowa technologia. Odciski palców również można zdjąć i podrobić. W przypadku czytników komputerowych powinno to być nawet łatwiejsze niż w tradycyjnej metodzie. -- Krzysztof Hałasa |
|
| Data: 2019-08-05 23:19:18 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-05 o 22:43, Krzysztof Halasa pisze:
Wydaje się, że np. wojsko czy policja mają swoje A nie wydaje Ci się, iż ilość ataków może się przełożyć na ich skuteczność? Przy takim założeniu niewątpliwie komputer w Internecie jest bardziej zagrożony niż w LAN. Phishing działa przede wszystkim dlatego, że domagamy się od Prawdziwa strona banku/fałszywa. Prawdziwy email/SMS - fałszywka. Odciski palców również można zdjąć i podrobić. W przypadku czytników Mam wrażenie, iż w znakomitej większości przestępstw komputerowych nie dochodzi do bezpośredniego kontaktu przestępca-ofiara. Jeśli chcesz "zdejmować" odciski palców to taki kontakt wydaje się być niezbędnym. Jeśli nawet nie osobisty to na pewno wymagający pojawienia się w bezpośrednim otoczeniu ofiary. A zatem byłby to atak raczej na konkretną osobę, nie zaś phishing, który z definicji jest masowy. |
|
| Data: 2019-08-06 15:14:13 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Szymon <z@wp.pl> writes:
Absolutnie nie należy tego zakładać. Skuteczność ataków z wewnątrz jest znacznie większa, oczywiście. Miałem na myśli skuteczne ataki, bo ataki w ogóle jakiekolwiek - na dowolny komputer w publicznej sieci - przeprowadzane są cały czas. -- Krzysztof Hałasa |
|
| Data: 2019-08-06 09:53:42 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-05, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Zdjęcie twarzy, zdaje się, udało się obejść bardzo prosto i efektownie? Jeśli masz na myśli "zdjęcie" to nie FaceID od Apple nie da się oszukać zdjęciem. A przygotowanie maski może i jest tanie, ale wymaga dania ofiarze obuchem w czerep, żeby móc ją spokojnie pomierzyć. Raczej mało skuteczna praktyka w atakach masowych. Zakładam że można wymagać określonych akcji od użytkownika (by nie dało Zdjęcie nie wystarczy. Odciski palców również można zdjąć i podrobić. W przypadku czytników Ale znowu wyklucza zastosowanie na masową skalę jak to jest w przypadku fałszywych SMS/email. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 10:52:53 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 6 Aug 2019 09:53:42 +0200, Wojciech Bancer napisał(a):
On 2019-08-05, Krzysztof Halasa <khc@pm.waw.pl> wrote: Policja sie wlasnie chwali aresztowaniem grupy, ktora 330 ton pigulek gwaltu mogla przemycic. Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy. A w sumie czemu zwykle zdjecie nie dziala ? Odciski palców również można zdjąć i podrobić. W przypadku czytników Ale odciski zostawiasz masowo :-) J. |
|
| Data: 2019-08-06 12:50:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Jeśli masz na myśli "zdjęcie" to nie FaceID od Apple nie da się oszukać Nie widzę związku :) Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy. Skaner 3d w FaceId widzi głębię obrazu, poza tym skaner FaceId działa też w podczerwieni, a zdjęcie nie ma ciepłoty ludzkiej głowy. "The Face ID hardware consists of a sensor with three modules; one projects a grid of small infrared dots onto a user's face whose name is dot projector, the other module called the flood illuminator reads the resulting pattern and generates a 3D facial map, and the third one is the infrared camera which takes an infrared picture of the user" No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne do faceid / touchid są przechowywane wyłącznie na telefonie, w specjalnym chipie. A w sumie czemu zwykle zdjecie nie dziala ? Bo ktoś pomyślał jak to zabezpieczyć. Podobnie jak Touch Id nie zadziała jak komuś odetniesz dłoń i będziesz próbował posłużyć się martwym kikutem (jak w filmach), albo odciskiem palca na taśmie klejącej (też jak w filmach). Ale znowu wyklucza zastosowanie na masową skalę jak to jest w przypadku 99% z nich się nie nadaje, bo nie jest kompletna, czy nieuszkodzona. A urządzenie mam przy sobie. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 13:22:25 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 6 Aug 2019 12:50:26 +0200, Wojciech Bancer napisał(a):
On 2019-08-06, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: A ja widze :-) Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy. Ale to jakby osobne urzadzenie, czy mozna wstawic w telefon ? projects a grid of small infrared dots onto a user's face whose name is dot projector, the other module called the flood illuminator reads the resulting pattern and generates a 3D facial map, and the third one is the infrared camera which takes an infrared picture of the user" To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za problem podgrzac maske ? Tylko ... skoro to podczerwien, to nawet nie zauwazy jak mu taka fotke zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D. No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace telefon ? Ale nadal widze pare mozliwosci ataku: -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski, telefonu, tylko bank bedzie myslal, ze to dobre dane, -a apka z urzadzeniem jak polaczone ? Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ... J. |
|
| Data: 2019-08-06 15:37:00 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za Zwłaszcza biorąc pod uwagę rozdzielczość detektorów IR. No bo raczej nie wstawiają tam sprzętu za $$$$ o kosmicznej rozdzielczości 640x480? :-) Nie żeby to miało pomóc, temperatury m.in. twarzy nie są stałe przecież. Liczba możliwości w przypadku twarzy jest, wbrew pozorom, mocno ograniczona, brutalne przeszukiwanie da dobre efekty. Tak jak napisałem, to jest zabezpieczenie klasy podobnej co PIN. -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski, Z takimi scalakami jest większy problem, producenci w końcu się czegoś nauczyli (w N-tej interacji). Aczkolwiek ludzie wciąż trawią scalaki w kwasie azotowym, dotykają igłami do ścieżek (podobno miało to być wykrywane) itd. - ale to nie ta dziedzina. -- Krzysztof Hałasa |
|
| Data: 2019-08-06 16:49:38 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Nie żeby to miało pomóc, temperatury m.in. twarzy nie są stałe przecież. Apple twierdzi, że to zabezpieczenie jest trudniejsze do złamania niż touch id i jak na razie (2 lata od wypuszczenia tego na rynek) nic temu nie przeczy. Jeden "słynny" eksperyment z maską za $150 również potwierdza jego skuteczność, bo tam złamanie odbyło się w warunkach laboratoryjnych, co przyznali sami autorzy. Za wiki: https://en.wikipedia.org/wiki/Face_ID#Issues "Many people have attempted to fool Face ID with sophisticated masks, though most have failed.[22] In November 2017, Vietnamese security firm Bkav announced in a blog post that it had created a $150 mask that successfully unlocked Face ID, but WIRED noted that Bkav's technique was more of a "proof-of-concept" rather than active exploitation risk, with the technique requiring a detailed measurement or digital scan of the iPhone owner's face, putting the real risk of danger only to targets of espionage and world leaders" -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 16:29:43 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy. Mówimy o module wsadzonym w iPhone X oraz nowszych. projects a grid of small infrared dots onto a user's face whose name is dot projector, the other module called the flood illuminator reads the resulting pattern and generates a 3D facial map, and the third one is the infrared camera which takes an infrared picture of the user" Żaden. Ale maska to nie zdjęcie. No i to tylko jeden z elementów zabezpieczeń. Tylko ... skoro to podczerwien, to nawet nie zauwazy jak mu taka fotke No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :) No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne To są te dane z twarzy. Ale nadal widze pare mozliwosci ataku: iphone jest dość mocno zabezpieczony. Swego czasu było głosno o tym, że Apple aktualizacją zablokowało część telefonów. Okazało się, że wszystkie miały wymieniany ekran (a co za tym idzie przycisk touch id) w serwisach nieautoryzowanych. -a apka z urzadzeniem jak polaczone ? Przez wewnętrzne SDK. Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ... Nie masz dostępu do danych, tylko wynik autoryzacji. A wirusa jak chcesz zainstalować na iPhone? Bo procesu review nie przejdzie. :) Wiesz, teoretycznie to wszystko można, ale może się okazać, że łatwiej odstrzelić komarowi skrzydkła ze 100 metrów za pomocą kuli armatniej niż taką sytuację w praktyce wywołać. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 22:30:17 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być No właśnie był spektakularny przykład, że się udało. Pewnie z innym modułem, ale tu chodzi o zasadę działania - to, co widzi kamera (nawet najdoskonalsza), można skopiować i ją oszukać. A wirusa jak chcesz zainstalować na iPhone? Bo procesu A jak się rootowało androidy? Wykorzystując błędy. -- Krzysztof Hałasa |
|
| Data: 2019-08-06 22:44:17 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być Wskażesz? Bo z maską i owszem, ale zdjęciem niespecjalnie. Przy czym sami autorzy zastrzegli, że "udało się" w warunkach laboratoryjnych, a to nie to samo. Pewnie z innym modułem, ale tu chodzi o zasadę działania - to, co widzi kamera (nawet najdoskonalsza), można skopiować i ją oszukać. Nie, nie chodzi o zasadę działania, ale o statystykę. Powrócę do zasady: aby coś było *praktycznie* do złamania, musi być to a) opłacalne [1] b) względnie masowo możliwe. FaceID to może się opłacać łamać rządom, które targetują konkretne osoby, albo grupom wybierającym milionerów, a nie grupom targetującym ludzi masowo. [1] to nie tylko cena komponentów, ale i wiedza fachowców A wirusa jak chcesz zainstalować na iPhone? Bo procesu Androidy, tak jak i iPhone rootuje się podmieniając oryginalne flashe na takie przerobione (chociaż mało kto chyba rootuje już iPhone, to było bardziej popularne w czasach iP4). Nie słyszałem o przypadku zrootoowania urządzenia przez bład. Wskażesz linka? Bo to że aplikacje sobie proszą o nadmiarowe uprawnienia, a użytkownicy je dają, to nie jest błąd systemu. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 23:14:47 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
[...]
TERAZ, to chyba producenci już nie próbują walczyć z wiatrakami i pozwalają "legalnie" dostać roota, lub uwolnić bootloader, ale jeszcze +- 4 lata temu robiło się to właśnie przez błedy. Przychodzi mi do głowy tylko towel root czy kingroot, ale pewnie było tego więcej. KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html I generally avoid temptation unless I can't resist it. -- Mae West |
|
| Data: 2019-08-07 13:02:22 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Kamil Jońca <kjonca@poczta.onet.pl> wrote:
Wojciech Bancer <wojciech.bancer@gmail.com> writes: Ja się w Androida bawiłem gdzieś 2013-2015 roku i wtedy się rootowało za pomocą kabelka, trybu serwisowego i podmiany flasha (sam tak robiłem z HTC). I tak, traciło się gwarancje. Ale faktycznie sprawdziłem był krótki okres, kiedy pojawił się bug, który to umożliwiał łatwego roota na Androidzie (z racji błędu w kernelu linuksa). A zapewne część systemów pozostała niezałatana, bo producenci mieli to gdzieś. No cóż. Polityka google, która przerzuca "łatanie" na producentów telefonów ma swoje konsekwencje, ale to tylko kolejny props do stosowania iPhone (Apple wypuszcza łatki security bardzo długo i nie ma problemu z ich wgraniem). W tym roku wypuścili łatki security na iOS 9+, a przecież lada dzień wychodzi wersja 13 systemu. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-09 20:22:31 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
On 2019-08-06, Krzysztof Halasa <khc@pm.waw.pl> wrote: Czy to: https://niebezpiecznik.pl/post/tasma-i-okularami-oszukali-skaner-twarzy-iphonea/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+niebezpiecznik+%28Niebezpiecznik.pl+-+wszystko%29 jest wysterczająco proste i tanie? KJ -- http://wolnelektury.pl/wesprzyj/teraz/ Honesty is the best policy, but insanity is a better defense. |
|
| Data: 2019-08-10 08:41:39 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-09, Kamil Jońca <kjonca@poczta.onet.pl> wrote:
[...] Wskażesz? Bo z maską i owszem, ale zdjęciem niespecjalnie. A czytałeś, czy tylko nagłówek? :) Bo to tylko sposób na to, żeby oszukać iPhone dysponując nieprzytomną ofiarą. A nie wyeliminowaniem jej z równania w ogóle. To tylko omija sprawdzanie zabezpieczenia "zamkniętych oczu". Jak to się ma do kontekstu o którym rozmawialiśmy tj. masowym zastosowaniu? -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-10 09:46:24 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
On 2019-08-09, Kamil Jońca <kjonca@poczta.onet.pl> wrote: Czytałem.
Na razie nijak. Zwracam tylko uwagę, że najpierw była mowa otym, że FaceID jest "strasznie trudne, praktycznie niemożliwe" do złamania, później okazuje się, że jednak maskę można zrobić, teraz, że wystarczy (w pewnej sytuacji, niekoniecznie laboratoryjnej) taśma na okulary ... KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html The first sign of maturity is the discovery that the volume knob also turns to the left. |
|
| Data: 2019-08-10 10:31:00 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote:
[...] Bo to tylko sposób na to, żeby oszukać iPhone dysponując Dokładnie. W kontekście dyskusji, czyli przeprowadzania ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych i znanych osób też umieściłem. później okazuje się, że jednak maskę można zrobić, W warunkach laboratoryjnych, i owszem. Tu również mieli nieograniczony dostęp do tej osoby i mogli robić więcej prób. teraz, że wystarczy (w pewnej sytuacji, niekoniecznie laboratoryjnej) taśma na okulary ... Nie wystarczy. Trzeba mieć i fizyczną osobę do której telefon należy. Czyli nadal nici z ataku "na zdjęcie". -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-10 11:34:30 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
On 2019-08-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote: Czytaj dokładniej: "w pewnej sytuacji, niekoniecznie laboraoryjnej" Ja nic o ataku "na zdjęcie" nie pisałem. To po pierwsze. Po drugie: Stopniowe osiągnięcia w łamani każą zastanowić się, czy jednak niedługo nie usłyszymy o ataku "na zdjęcie". I tyle. KJ -- http://wolnelektury.pl/wesprzyj/teraz/ arachnoleptic fit, n.: The frantic dance performed just after you've accidentally walked through a spider web. |
|
| Data: 2019-08-10 17:50:33 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote:
[...] Czytaj dokładniej: "w pewnej sytuacji, niekoniecznie laboraoryjnej" Ale jeszcze wcześniej było zastrzeżenie o tym, że dywagacje nie dotyczą służb i targetowania indywidualnego. Po drugie: Stopniowe osiągnięcia w łamani każą zastanowić się, czy jednak Idąc tym tropem, to można z zabezpieczeń zrezygnować w ogóle, bo "w końcu ktoś kiedyś, jakoś, może" wymyśli jak to obejść. A jak można, to po co zabezpieczać? A skoro już idziemy w ekstrama, że mamy dostęp do "celu", to idźmy dalej: przeciętny cel (sprawdzić, czy nie Chuck Norris) jak dostanie w pysk raz, czy dwa, to niezależnie od stosowanego zabezpieczenia technicznego, poda odpowiedni kod / odblokuje "grzecznie proszącemu" telefon / token / cokolwiek innego. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-10 20:00:41 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
On 2019-08-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote:Możliwe, że nie doczytałem. Ale nawet nie o to chodzi. Okazuje się, że jednak nie jest to takie cudo jak chciałeś nas przekonać.
Czy tylko ja mam wrażenie, że próba podważenia cudowności FaceID powoduje, że sprowadzasz sprawę do absurdu?[1] Można i tak. KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html Don't read any sky-writing for the next two weeks. |
|
| Data: 2019-08-10 20:27:17 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-10, Kamil Jońca <kjonca@poczta.onet.pl> wrote:
[...] Ale jeszcze wcześniej było zastrzeżenie o tym, że dywagacje nieMożliwe, że nie doczytałem. Ale nawet nie o to chodzi. Okazuje się, że I zdanie podtrzymuję, bo nie przedstawiłeś przekonujących mnie argumentów. Idąc tym tropem, to można z zabezpieczeń zrezygnować w ogóle, No to powiedz od razu, że masz zamiar argumentować przez przyszycie mi łatki fanboja, a nie merytorycznie. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-12 19:36:59 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-10 o 17:50, Wojciech Bancer pisze:
A skoro już idziemy w ekstrama, że mamy dostęp do "celu", Niekoniecznie. Telefon można odebrać, wymusić groźbą zalogowanie do bankowości, ale w przypadku tokena to już nie jest taki proste. Cały sęk w tym, aby narzędzia autoryzacyjnego nie nosić ze sobą. Dla przykładu - w CA do logowanie potrzebne było wskazanie tokena. Skoro trzymam token np. w domu, napaść na ulicy celem wymuszenia zalogowania nie ma sensu. |
|
| Data: 2019-08-13 01:19:46 | |
| Autor: Kris | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu poniedziałek, 12 sierpnia 2019 19:37:35 UTC+2 użytkownik Szymon napisał:
Niekoniecznie. Telefon można odebrać, wymusić groźbą zalogowanie do bankowości, ale w przypadku tokena to już nie jest taki proste. Cały sęk w tym, aby narzędzia autoryzacyjnego nie nosić ze sobą. Dla przykładu - w CA do logowanie potrzebne było wskazanie tokena. Skoro trzymam token np. w domu, napaść na ulicy celem wymuszenia zalogowania nie ma sensu. Tak samo można to zorganizować przy potwierdzaniu hasłami sms czy w aplikacjach telefonicznych. Telefon służący do potwierdzeń trzymasz w domu i tyle Kłopot będzie tylko jak zły człowiek zwinie delikwenta z ulicy, lokówkę d dupę wsadzi i poprosi o autoryzację bo jak nie to lokówka do prądu i czekamy. Temperatura lokówki rośnie a token/tel w domu;) |
|
| Data: 2019-08-13 09:24:06 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Ile było takich napaści w PRL-bis w latach ubiegłych?
I ile lat jest za wymuszenie rozbójnicze czy jak tam zakwalifikujemy? -- -- - Telefon można odebrać, wymusić groźbą zalogowanie do bankowości[...] napaść na ulicy celem wymuszenia zalogowania |
|
| Data: 2019-08-13 12:23:22 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-13 o 10:19, Kris pisze:
W dniu poniedziałek, 12 sierpnia 2019 19:37:35 UTC+2 użytkownik Szymon napisał: ....i kosztuje mnie to kilkaset złotych, bo tyle kosztuje telefon. Do tego karta, która musi być aktywna - jakiś abonament lub przynajmniej doładowanie raz na jakiś czas celem utrzymania numeru. Drogo. Kłopot będzie tylko jak zły człowiek zwinie delikwenta z ulicy, lokówkę d dupę wsadzi i poprosi o autoryzację bo jak nie to lokówka do prądu i czekamy. Odnoszę wrażenie, iż większość rozbojów czy sytuacji potencjalnie niebezpiecznych tego typu rozgrywa się jednak poza miejscem zamieszkania ofiary. |
|
| Data: 2019-08-13 21:59:31 | |
| Autor: Andrzej Kłos | |
| PSD2 mBank i pewnie nie tylko... | |
|
Szymon pisze:
W dniu 2019-08-13 o 10:19, Kris pisze: Telefon do sms-ów? 60 zł. Nówka, nie śmigana. A ile za używany? Orange na kartę przedłużasz ważność na rok darmowym sms-em o treści START. Co rok. Na rok. |
|
| Data: 2019-08-14 10:55:46 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-13 o 21:59, Andrzej Kłos pisze:
Telefon do sms-ów? 60 zł. Nówka, nie śmigana. A ile za używany? Orange na kartę przedłużasz ważność na rok darmowym sms-em o treści START. Co rok. Na rok. Sęk w tym, iż coraz częściej banki forsują aplikacje. I wtedy potrzeba już smartfona. Cena skacze do kilkuset złotych. Z tym starym/używanym może być różnie. Stary android może mieć kłopoty z aktualizacjami i korzystaniem ze sklepu. |
|
| Data: 2019-08-13 13:44:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-12, Szymon <z@wp.pl> wrote:
[...] Niekoniecznie. Telefon można odebrać, wymusić groźbą zalogowanie do bankowości, ale w przypadku tokena to już nie jest taki proste. Cały sęk w tym, aby narzędzia autoryzacyjnego nie nosić ze sobą. Dla przykładu - w CA do logowanie potrzebne było wskazanie tokena. Skoro trzymam token np. w domu, napaść na ulicy celem wymuszenia zalogowania nie ma sensu. To może było praktyczne w latach 90, czy w pierwszej dekadzie 2000 roku. Ja mam ponad 30 kont (niebankowych), które z różnych powodów są autoryzowane za pomocą 2FA, a do których hacking mógłby się skończyć stratami o wiele większymi niż wynikającymi z włamu na konto bankowe. A kont bankowych też mam > 1 i w kilku bankach. I każdy przedsiębiorca pewnie też jest w takiej sytuacji. Sorry, ale trzymanie w domu, czy noszenie tych 30 urządzeń, czy posiadanie 30 karteczek z kodami to dopiero byłaby parodia i niewygoda. A świat nie idzie w stronę ograniczania dostępu mobilnego, "w każdym czasie" tylko jego powiększania. A co do karteczek, to w wielu miejscach czytałem, że ludzie sobie robili skany, czy wręcz wrzucali "na komórkę" te karteczki, właśnie żeby były pod ręką, a idea "zawsze loguj się tylko w domu" jak widać nie jest ideą powszechnie oczekiwaną. Taki Revolut, czy N26 to są tego najlepszym dowodem, bo to są platformy chyba wyłącznie mobilne. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-13 14:56:36 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-13 o 13:44, Wojciech Bancer pisze:
On 2019-08-12, Szymon <z@wp.pl> wrote: A zauważyłeś, iż liczba banków komercyjnych drastycznie zmalała? Ja mam ponad 30 kont (niebankowych), które z różnych powodów są autoryzowane Jeśli tak to niekoniecznie wydajesz się przeciętnym Kowalskim o przeciętnych potrzebach. Liczba kont maleje, bo liczba banków maleje. Do tego coraz trudniej o lokaty na wysoki procent, co zaprzecza mobilności w materii transferu środków. A kont bankowych też mam > 1 i w kilku bankach. I każdy przedsiębiorca pewnie też jest Bardzo wątpliwe czy poważny przedsiębiorca nosi (nosiłby) narzędzie autoryzacyjne ze sobą. Podobnie jak podejrzewam, iż nie ma na wyciągnięcie ręki terminala, kasy fiskalnej czy możliwości wystawienia faktury. Sorry, ale trzymanie w domu, czy noszenie tych 30 urządzeń, czy Dla Ciebie tak. Sądzę, że znakomita liczba klientów robi przelewy w domu i naprawdę umie sobie zaplanować wydatki tak, aby nie musieć mieć konieczności przelewania (w szczególności na nie-zaufane konta) np. na basenie, siłowni, podczas jazdy motocyklem itd. A świat nie idzie w stronę ograniczania dostępu mobilnego, "w każdym czasie" tylko jego powiększania. Ten świat jest kreowany przez banki, którym z różnych powodów lepiej jest działać tak, a nie inaczej. Zwróć uwagę, że często klient nie ma wyboru. A co do karteczek, to w wielu miejscach czytałem, że ludzie sobie Naprawdę? Pozostaje mi jedynie współczuć takim ludziom. Zwróć uwagę, że w obecnej sytuacji do zalogowanie nie potrzeba komórki. Nawet nie do przelewów zdefiniowanych i zaufanych. Jedynie te pozostałe wymagają autoryzacji. Niektóre banki chcą wprowadzić wkrótce "urządzenia zaufane". Pewnie w większości będą to właśnie domowe komputery. Taki Revolut, czy N26 to są tego najlepszym dowodem, bo to są No właśnie. Mimo rewelacyjnych kursów przebijających wszystkie e-kantory, fantastycznej karty itp. itd. liczba korzystających z Revoluta dramatycznie niska. N26 to już w ogóle przeciętnemu Kowalskiemu nie jest znane. |
|
| Data: 2019-08-13 19:05:10 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-13, Szymon <z@wp.pl> wrote:
[...] w CA do logowanie potrzebne było wskazanie tokena. Skoro trzymam token Drastycznie? Nie powiedziałbym. Kilka banków się połączyło, kilka powstało. Kilkaset nadal w Polsce mamy (licząc banki spółdzielcze). Licząc podmioty bez banków spółdzielczych, to mamy chyba nieco ponad 30 banków. Ja mam ponad 30 kont (niebankowych), które z różnych powodów są autoryzowane Ale nie masz problemu z uznaniem za przeciętne Kowalskiego: - bez telefonu komórkowego - mieszkającego w miejscu odciętym od sygnału GSM ? Oczywiście na potrzeby dyskusji :) Liczba kont maleje, bo liczba banków maleje. Do tego coraz trudniej o lokaty na wysoki procent, co zaprzecza mobilności w materii transferu środków. Wypłaty by default na konto, emerytury by default na konto. Liczba kont maleje? Od kiedy? https://prnews.pl/raport-prnews-pl-rynek-kont-osobistych-iv-kw-2018-441689 -- -- Na koniec 2018 r. ankietowane banki uniwersalne prowadziły blisko 33 mln rachunków oszczędnościowo-rozliczeniowych (ROR) - wynika z danych zebranych przez PRNews.pl. To o 556 tys. więcej niż kwartał wcześniej i aż o 1,8 mln więcej niż na koniec 2017 roku. -- -- A kont bankowych też mam > 1 i w kilku bankach. I każdy przedsiębiorca pewnie też jest w takiej sytuacji. Nosiłby i nosi, bo to zazwyczaj komórka. Podobnie jak podejrzewam, iż nie ma na wyciągnięcie ręki terminala, kasy fiskalnej czy możliwości wystawienia faktury. Fakturę można spokojnie wystawić z komórki, bo systemy księgowe są online. Część jeździ z terminalami, czy mobilnymi kasami, jeśli to wynika z ich specyfiki zawodu (mi się taki ślusarz trafił). W niektórych regionach np. odczyt licznika "przy właścicielu", to często jest od razu fakturka / paragon drukowany na miejscu, przy tymże właścicielu. Oczywiście jak się myśli, że przedsiębiorca się zaczyna od 100+ pracowników, to pewnie masz rację. Wtedy płatnościami zajmuje się pewnie konkretny dział, ale nadal telefony są najczęściej używanym źródłem autoryzacji. A i czasami (spółki) taka autoryzacja wymagana jest od dwóch osób, z których jedna np. jest na 3-tygodniowej delegacji. Toż to dopiero po hardkorze byłoby tłumaczenie "no wicie, rozumicie wypłaty będą 2 tygodnie po terminie bo mój wspólnik na delegacji a token gdzieś w biurku w firmie leży". Sorry, ale trzymanie w domu, czy noszenie tych 30 urządzeń, czy No popatrz. A w dyskusji to albo drama że ktoś za granicą nie może się zautoryzować, albo że mieszka w camym centrum kopalni węgla kamiennego 1000 metrów pod ziemią i ni chu zasięgu. A co do karteczek, to w wielu miejscach czytałem, że ludzie sobie Tak, w kontach osobistych. W firmowych często jest wymagane podpisywanie i autoryzacja osób władnych. Taki Revolut, czy N26 to są tego najlepszym dowodem, bo to są https://businessinsider.com.pl/technologie/nowe-technologie/revolut-liczba-klientow-w-polsce/phd1kpc Pół miliona kont w Polsce. To wg tego lepiej od Citi Handlowego, T-Mobile, Plus Banku i BOŚ: https://prnews.pl/raport-prnews-pl-rynek-kont-osobistych-kw-2018-435119 i lepiej od wszystkich 500+ banków spółdzielczych. No faktycznie dramat. :) A mówimy o aplikacji/usługach w sumie ograniczonych do wyjazdów turystycznych i na to się targetujących, a nie pełnoprawnym kocie osobistym. N26 to już w ogóle przeciętnemu Kowalskiemu nie jest znane. W Polsce pewnie nie. Ale też się specjalnie nie starają. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-13 19:16:05 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnql5re6.1d9e.wojciech.bancer@pl-test.org...
On 2019-08-13, Szymon <z@wp.pl> wrote: Ja mam ponad 30 kont (niebankowych), które z różnych powodów są autoryzowane Ale nie masz problemu z uznaniem za przeciętne Kowalskiego: ale niekoniecznie "smartfon" - mieszkającego w miejscu odciętym od sygnału GSM Ostatnio bylem w takim miejscu. Faktycznie przechlapane :-) Liczba kont maleje, bo liczba banków maleje. Do tego coraz trudniej o Wypłaty by default na konto, emerytury by default na konto. https://prnews.pl/raport-prnews-pl-rynek-kont-osobistych-iv-kw-2018-441689 Phi to ciagle nie jest 1 obywatela, a ty masz kilka :-) Bardzo wątpliwe czy poważny przedsiębiorca nosi (nosiłby) narzędzieNosiłby i nosi, bo to zazwyczaj komórka. Powazny ma tokena :-P Podobnie jak podejrzewam, iż nie ma na wyciągnięcie ręki terminala, Fakturę można spokojnie wystawić z komórki, bo systemy księgowe Ale to taki niekoniecznie "powazny". W niektórych regionach np. odczyt licznika "przy właścicielu", A owszem. Oczywiście jak się myśli, że przedsiębiorca się zaczyna od 100+ A jak lezy w szpitalu bez przytomnosci ? To sie inaczej robi - np dwa podpisy z 3 uprawnionych osob ... ale owszem, przydaje sie, ze moze autoryzowac zdalnie ... J. |
|
| Data: 2019-08-14 10:50:47 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-13 o 19:05, Wojciech Bancer pisze:
A zauważyłeś, iż liczba banków komercyjnych drastycznie zmalała? Na stronie BFG naliczyłem 26 podmiotów. Oczywiście wkrótce będą zmiany - od listopada Millenium i Eurobank to jedno. Dziś osobno. Pewnie Idea/Getin albo się połączy, albo Idea zniknie. Wątpliwa jest przyszłość Mercedes-Benz Bank, kłopoty ma Plus Bank, a Santander występuje jako Santander Bank Polska SA (d. Bank Zachodni WBK SA) oraz Santander Consumer Bank SA. Innymi słowy - widzę raczej szanse na zmniejszenie tej liczby 26 niż zwiększenie. Pamiętam, iż kilka lat temu naliczyłem w gwarancjach BFG ponad 70 podmiotów komercyjnych. I tak: dla mnie zejście z 70 do 26 to jest drastyczna zmiana. Blisko 2/3 wyparowało. Jeśli tak to niekoniecznie wydajesz się przeciętnym Kowalskim o Kowalski telefon ma. Ale czy potrzebuje używać go w roli narzędzia autoryzacyjnego! Tu jest problem. Kowalski ma ok. 25.000 zł oszczędności. Czy cały czas ma je przy sobie, bo a nuż się przydadzą? Wątpię. - mieszkającego w miejscu odciętym od sygnału GSM Niedawno byłem kilka dni w miejscu, gdzie GSM jest, ale Internet bardzo słaby. Praktycznie nie do pracy. To może być szokiem, ale... przeżyłem! I bardziej brakowało mi wiadomości z portali niż możliwości logowania do banku, a już na pewno nie możliwości dokonywania przelewów na obce konta. I teraz wytłumacz mi, po co narzędzie autoryzacyjne miałem stale przy sobie? Liczba kont maleje, bo liczba banków maleje. Do tego coraz trudniej o Nie zrozumieliśmy się. Zastosowałem skrót myślowy. Poprawnie: liczba kont w różnych bankach maleje w przypadku Kowalskiego. https://prnews.pl/raport-prnews-pl-rynek-kont-osobistych-iv-kw-2018-441689 Sztucznie mnożone twory. Oczywiście mogę założyć 10 lokat, a każde na osobnym subkoncie. Firmy coraz częściej tworzą osobne konta do rozliczeń dla każdego klienta. "Każdy podatnik oraz płatnik będzie posiadał indywidualny mikrorachunek podatkowy. Na ten nowy rachunek będą trafiały wpłaty z podatków CIT, PIT i VAT. Mikrorachunki, które będą aktywne już od 1 stycznia 2020, pozwolą na szybsze rozliczenia wpłat." Nie wiem czy takie sztuczne pompowanie liczby rachunków ma coś wspólnego z metodą autoryzacji dla klienta indywidualnego. Bardzo wątpliwe czy poważny przedsiębiorca nosi (nosiłby) narzędzie Tak, dziś jest zmuszony. Podobnie jak podejrzewam, iż nie ma na wyciągnięcie ręki terminala, I znów na podstawie indywidualnego przypadku chcesz wprowadzać masowe zmiany? Oczywiście jak się myśli, że przedsiębiorca się zaczyna od 100+ Po hardkorze to byłoby tłumaczenie w dużej firmie, że u nas każdy ma dostęp do konta firmowego. Ot, tam gdzie komórka tam dostęp. ;-) OK - poważnie - dostęp do konta, podobnie jak do szeregu innych dokumentów, jest (powinien być) stricte regulowany. Ty myślisz o przedsiębiorcy od 100+ pracowników, a ja sądzę, że już dużo mniejszy posiadają w pracy sejf. I nie do trzymania gotówki, ale dokumentów strategicznych dla firmy. Wydaje mi się naturalne, iż w takim miejscu mógłby znaleźć się token. Dla Ciebie tak. Sądzę, że znakomita liczba klientów robi przelewy w domu Tak jak kiedyś ludzie onanizowali się kolorem karty czy AmEx-em. Cóż zrobić - przeciętny Kowalski dostaje raz w miesiącu przelew na konto od pracodawcy, dokonuje opłat, a potem płaci kartą. Ew. korzysta z bankomatu jeśli lubi gotówkę. Nie, nie potrzebuje robić przelewów w aquaparku (choć taszczy tam telefon-narzędzie autoryzacji), jadąc rowerem (choć taszczy tam telefon-narzędzie autoryzacji), oglądając koncert/przedstawienie w teatrze (choć taszczy tam telefon-narzędzie autoryzacji), podczas joggingu (choć taszczy tam telefon-narzędzie autoryzacji) i w tysiącu innych "niezbędnych" jak 15 kart w portfelu sytuacji. Naprawdę? Pozostaje mi jedynie współczuć takim ludziom. Jeśli ci przedsiębiorcy tacy nieporadni to może rozdzielić rachunki osobiste i firmowe? https://businessinsider.com.pl/technologie/nowe-technologie/revolut-liczba-klientow-w-polsce/phd1kpc Wątpliwe dane. Szczególnie, iż nie wiadomo ile jest martwych, w trakcie weryfikacji itd. To wg tego lepiej od Citi Handlowego, T-Mobile, Plus Banku i BOŚ: To inaczej zapytam... Naprawdę wierzysz w to, że marka T-Mobile lub Citi jest mniej rozpoznawalna niż Revolut? Wyobraź sobie, że zapytałeś 1000 osób w różnych częściach Polski o N26, Revolut i Citi. Naprawdę wierzysz, że Revolut będzie bardziej znany od Citi? A mówimy o aplikacji/usługach w sumie ograniczonych do wyjazdów turystycznych I mówimy o wątpliwej jakości start-upie, który może sobie podawać, co chce w ramach PR-u. Np. spotkałem się z opiniami, iż do 100.000 euro w Revolucie rachunki są objęte ochroną. Wiki podaje: "13 grudnia 2018 roku Revolut uzyskał europejską licencję bankową, dającą zezwolenie na działalność na terenie Unii Europejskiej[6][7][8][9][10]. Tę licencję start-up otrzymał od Banku Litwy, gdzie ma 150 tys. klientów[11]. Dzięki licencji fintech został pełnoprawnym bankiem z gwarancjami środków (do kwoty 100 000 EUR w ramach europejskiego systemu gwarancji depozytów) oraz możliwością oferowania pożyczek konsumenckich i dla biznesu. " Dziś Bankier prostuje: ,,Revolut posiada upoważnienie Urzędu ds. Postępowania Finansowego na mocy ustawy o elektronicznych instrumentach płatniczych z 2011 roku (FCA nr: 900562) do emisji pieniądza elektronicznego"Dla klientów korzystających z Revoluta ma to dwie najważniejsze konsekwencje: Środków nie chroni FSCS (Financial Services Compensation Scheme) - brytyjski odpowiednik Bankowego Funduszu Gwarancyjnego. Przypomnijmy, że w razie upadłości banku, depozyty gwarantowane są do kwoty min. 100 tys. euro na jednego deponenta. Fintech w zeszłym roku uzyskał licencję bankową, ale na razie z niej nie korzysta. Wiadomość, która odbiła się szerokim echem w mediach, nie ma zatem wpływu na status prawny naszych pieniędzy w ,,portfelach" Revoluta. N26 to już w ogóle przeciętnemu Kowalskiemu nie jest znane. Czyli sam widzisz, że to bez czego eksperci z p.b.b. nie mogą się obejść, Kowalskiemu w zasadzie zwisa. |
|
| Data: 2019-08-14 12:16:20 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
To nawet było/jest rozdzielone.
W jakimś banku miałem i prywatne i firmowe i ID logowania były różne. Nawet chyba dla kont dwóch firm w tym samym banku były różne ID, ale już nie jestem pewien (KB). -- -- - Jeśli ci przedsiębiorcy tacy nieporadni to może rozdzielić rachunki osobiste i firmowe? |
|
| Data: 2019-08-14 12:35:08 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
[...] Na stronie BFG naliczyłem 26 podmiotów. Oczywiście wkrótce będą zmiany - od listopada Millenium i Eurobank to jedno. Dziś osobno. Pewnie Idea/Getin albo się połączy, albo Idea zniknie. Wątpliwa jest przyszłość Mercedes-Benz Bank, kłopoty ma Plus Bank, a Santander występuje jako Santander Bank Polska SA (d. Bank Zachodni WBK SA) oraz Santander Consumer Bank SA. Innymi słowy - widzę raczej szanse na zmniejszenie tej liczby 26 niż zwiększenie. Pamiętam, iż kilka lat temu naliczyłem w gwarancjach BFG ponad 70 podmiotów komercyjnych. I tak: dla mnie zejście z 70 do 26 to jest drastyczna zmiana. Blisko 2/3 wyparowało. No ale spółdzielczych masz ponad 500 :) Jeśli tak to niekoniecznie wydajesz się przeciętnym Kowalskim o Ustalmy że ów mityczny Kowalski tego nie potrzebuje w ogóle. Ale myślę, że jak już miałby wybór, to woli z telefonu/SMS niż przez jakieś dodatkowe urządzenie.. Tu jest problem. Kowalski ma ok. 25.000 zł oszczędności. Czy cały czas ma je przy sobie, bo a nuż się przydadzą? Wątpię. Tworzysz jakieś fikcyjne problemy szczerze mówiąc. Tak, jest wygodniej mieć przy sobie komórkę, która jednocześnie może robić za urządzenie autoryzacyjne. Tak samo jak dla wielu ludzi wygodniej mieć komórkę i nie nosić dodatkowo zegarka. Mimo że zapewne nie mają chronicznej potrzeby sprawdzania czasu co 5 sekund. - mieszkającego w miejscu odciętym od sygnału GSM Gratuluję. A co to ma do rzeczy? I bardziej brakowało mi wiadomości z portali niż możliwości logowania do banku, a już na pewno nie możliwości dokonywania przelewów na obce konta. I teraz wytłumacz mi, po co narzędzie autoryzacyjne miałem stale przy sobie? A po co nosisz cały czas komórkę przy sobie? Każe Ci ktoś? Jeszcze te 20 lat temu telefon był w domu, stacjonarny i nie musiałeś mieć stałego kontaktu ze światem w postaci komórki. I ludzie żyli. Więc po co nosisz? Nie dlatego że to jest wygodniejsze? [...] https://prnews.pl/raport-prnews-pl-rynek-kont-osobistych-iv-kw-2018-441689 To są tylko ___konta osobiste___. Nie rozliczeniowe, techniczne, lokaty, konta kredytowe, czy co tam jeszcze chcesz, bo to nie są konta ROR. Konta firmowe to też nie RORy, tylko rachunki bieżące. "Każdy podatnik oraz płatnik będzie posiadał indywidualny mikrorachunek podatkowy. Na ten nowy rachunek będą trafiały wpłaty z podatków CIT, PIT i VAT. Mikrorachunki, które będą aktywne już od 1 stycznia 2020, pozwolą na szybsze rozliczenia wpłat." I to też nie jest ROR. Fakturę można spokojnie wystawić z komórki, bo systemy księgowe Ja? To Ty nie chcesz zaakceptować zmian które już dawno weszły w życie i drążysz "dlaczego". Oczywiście jak się myśli, że przedsiębiorca się zaczyna od 100+ A gdzie twierdziłem, że każdy ma? o.O Ot, tam gdzie komórka tam dostęp. ;-) Swoją komórkę dajesz wszystkim w firmie? o.O I nie do trzymania gotówki, ale dokumentów strategicznych dla firmy. Sejfów nie widziałem, ale wydzielone pomieszczenia na trzymanie archiwów. Sejfy? Trochę małe jak na te "strategiczne dokumenty". Ja nie wiem czy Ty sobie zdajesz sprawę ile taka przeciętna firma dokumentów musi w Polsce generować. Ale tokeny są osobiste, a nie "anonymowe", więc to niespecjalnie dobry pomysł, żeby przechowywać je we wspólnym miejscu, a potem w razie czego pieczołowicie identyfikować który jest czyj. No popatrz. A w dyskusji to albo drama że ktoś za granicą nie może się Może i tego wszystkiego nie potrzebuje, ale wygodniejsza jest świadomość że może niż że nie może. Tak po prostu. Nie wiem czemu nie umiesz tego zaakceptować. Akceptujesz że ludzie noszą komórki z wygody (bo przecież mogli korzystać ze stacjonarnych), a nie akceptujesz że mogą chcieć z tego samoego poczucia wygody chcieć by owa komórka spełniała więcej funkcji niż jedną? Zwróć uwagę, że w obecnej sytuacji do zalogowanie nie potrzeba komórki. Skąd wniosek że to kwestia braku zaradności? Nie wpadło Ci do głowy, że umowa spółki może wymagać autoryzacji przelewów powyżej pewnych kwot? I tak, banki potrafią tego typu rygory mieć wprowadzone do systemu. https://businessinsider.com.pl/technologie/nowe-technologie/revolut-liczba-klientow-w-polsce/phd1kpc Mhm. A wszystkie RORy w Posce są aktywnie używane :) Statystycznie jest to moim zdaniem nieistotne, jak wytniesz te nieaktywne RORy i nieaktywne konta w Revolut, to procentowo wyjdzie podobnie. To wg tego lepiej od Citi Handlowego, T-Mobile, Plus Banku i BOŚ: Nie wierzę. A co to ma do rzeczy? W wielu miejscach Polski nawet i o mBanku nie słyszeli. Czyli sam widzisz, że to bez czego eksperci z p.b.b. nie mogą się obejść, Kowalskiemu w zasadzie zwisa.N26 to już w ogóle przeciętnemu Kowalskiemu nie jest znane.W Polsce pewnie nie. Ale też się specjalnie nie starają. Kompletnie nie rozumiem o czym Ty chcesz argumentować. Ja wskazuję pewne trendy (kierunek w stronę rozwiązań mobilnych), a Ty mi piszesz, że Kowalskiemu to zwisa. No *jeszcze* zwisa, ale kierunek jest jasny. Nie wierzysz? Zobacz ile mogłeś zrobić w aplikacji mobilnej banku chociażby te 5 lat temu. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-14 13:59:49 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 12:35, Wojciech Bancer pisze:
Na stronie BFG naliczyłem 26 podmiotów. Oczywiście wkrótce będą zmiany - Sęk w tym, iż banki spółdzielcze często mają ograniczony terytorialnie zakres działania. Zatem trudno je wrzucać do jednego wora z komercyjnymi, które z gruntu nastawione są na działalność ogólnopolską (pomijam Mercedesa - nie znam jego oferty). Ale myślę, że jak już miałby wybór, to woli z telefonu/SMS niż Gdybyś miał rację - nie trzeba byłoby "zmuszać" klientów do przesiadki np. wprowadzeniem opłat za tokeny. Wreszcie likwidacją tychże. Tu jest problem. Kowalski ma ok. 25.000 zł oszczędności. Czy cały Ten fikcyjny problem to kwestia bezpieczeństwa niejednokrotnie dorobku całego życia. OK - jeśli ktoś nie ma zbyt wiele na koncie i nie boi się np. kradzieży tożsamości to być może bezpieczeństwo jest dla niego "fikcyjnym problemem". W moim przekonaniu to w zasadzie podstawowe oczekiwanie wobec banku. Tak, jest wygodniej mieć przy sobie komórkę, która jednocześnie Wydaje mi się, że zbyt szybko wieszczysz koniec zegarka. Powiedziałbym, że sportowe, smartwatche, opaski nadal są w cenie. Ba! Zegarek może stać się przyczynkiem zmian w rządzie, a zatem taki błahy nie jest. Problem jest tu innej natury. Ja lubię mieć WYBÓR. I nie uważam, że partia/bank/ktoś tam wie lepiej. Sam nie mam zegarka. Ale to, że ja nie mam nie oznacza, iż uważam, że nikt nie ma potrzeby mieć. Jako ciekawostkę powiem Ci, iż mam monitor 4:3. Swego czasu producenci też uznali, że wiedzą lepiej i wprowadzili 16:9. Laptopa mam już takiego - kupno 4:3 jest trudne, by nie rzec "niemożliwe". Niedawno byłem kilka dni w miejscu, gdzie GSM jest, ale Internet bardzo Bank zmusza mnie do noszenie przy sobie autoryzacji mimo, iż tego nie potrzebuję. Gdzie tu logika? A po co nosisz cały czas komórkę przy sobie? Każe Ci ktoś? Nie. Służy mi np. do wezwania służb w razie wypadku. Korzystam też w roli mp3. Zasadniczo... Wolałbym sam określać jak korzystam z telefonu niż by określi mi to bankierzy (tudzież stosowna jedynie słuszna partia, UE czy kto tam jeszcze). Jeszcze te 20 lat temu telefon był w domu, stacjonarny i nie musiałeś Niestety umierali często nie mogąc wezwać na czas pogotowia. Więc po co nosisz? Nie dlatego że to jest wygodniejsze? Nie jest wygodniejsze noszenie czegoś, co w przypadku napaści/zgubienia może wyzerować konto, a co na co dzień nie jest potrzebne. Mój kolega nurkuje. Muszę go zapytać, czy na co dzień chodzi w masce i z butlą na plecach. Wszak na co dzień tak często korzysta z tych urządzeń, jak Kowalski z autoryzacji w plenerze. To są tylko ___konta osobiste___. Nie rozliczeniowe, techniczne, lokaty, OK, więc nie potrafię wytłumaczyć tego procederu. Liczba banków maleje o 2/3, liczba kont rośnie. I znów na podstawie indywidualnego przypadku chcesz wprowadzać masowe To by się pewnej partii bardzo spodobało, gdyby wszyscy twierdzili "weszło i trudno, dlaczego - nieważne, nie myśl". Po hardkorze to byłoby tłumaczenie w dużej firmie, że u nas każdy ma Zakładając, iż telefon szefa daje autoryzację, a szef telefon ma przy sobie - narzędzie autoryzacyjne wędruje wraz z nim. Na przykład na plażę, basen czy saunę. Ot, tam gdzie komórka tam dostęp. ;-) Nie, mam przy sobie. Oczywiście nie zawsze. Zdarza się zostawić w szafce na treningu, w samochodzie, na biurku przy ewakuacji. I nie do trzymania gotówki, ale dokumentów strategicznych dla firmy. Naprawdę? To może widziałeś chociaż kasy pancerne tam, gdzie sejf okazuje się zbyt mały. Aczkolwiek w dobie dokumentów elektronicznych wydaje się, iż dysk zewnętrzny nie zajmuje dużo miejsca. Ja nie wiem czy Ty sobie zdajesz sprawę ile taka przeciętna firma Nie wszystkie są istotne tak bardzo jak dostęp do przelewów na obce konta. To raczej oczywistość. Co innego będziesz trzymać w segregatorze, co innego w sekretariacie, u księgowej, wreszcie w sejfie... Archiwum to też inna bajka. Z uwagi na RODO trzeba jednak uważać. Myślę, że dużo zależy od specyfiki firmy. Tak jak kiedyś ludzie onanizowali się kolorem karty czy AmEx-em. Cóż To nie kwestia mojej akceptacji, ale jakiegoś dowodu na to, iż lepiej NIE mieć wyboru niż go mieć. Ja wolę świadomość bezpieczeństwa oszczędności niż możliwości wykonania przelewu w saunie, bo tam też taszczę telefon. A właściwie zostaje w szafce, gdzie marnej jakości zamek chroni oszczędności życia. Oczywiście "za rzeczy pozostawione w szatni hotel nie odpowiada". Na szczęście często proponują wtedy skorzystanie z... sejfu. No patrz! Ciekawe dlaczego.... Akceptujesz że ludzie noszą komórki z wygody (bo przecież mogli korzystać To nie kwestia wygody, ale pewnej konieczności uzasadnionej logicznie. a nie akceptujesz że mogą chcieć z tego samoego poczucia wygody chcieć by owa komórka spełniała więcej funkcji niż jedną? Zawsze kosztem czegoś. Wszedłem na Allegro. Dział telefony i sortowanie wg popularności. Już na pierwszej stronie znalazłem MYPHONE HALO EASY - 132 osoby kupiły. Nie - nie jest to smartfon. Na szczęście ludzie mają wybór. W mojej ocenie nonsensownym byłoby tłumaczenie tym osobom, że muszą chcieć smartfona (najlepiej Apple'a), bo... coś tam. Czy nie lepiej mieć wybór? Banki - z pewnych względów pozbawiają klienta wyboru lub stosują zaporowe stawki, by zniechęcić. Ponieważ ich liczba drastycznie maleje (tak, wiem - 27:1 według niektórych to sukces, likwidacja 2/3 sektora to nie jest drastyczny spadek)... ograniczany jest wybór. Ot i cała filozofia. Jeśli ci przedsiębiorcy tacy nieporadni to może rozdzielić rachunki Proste czynności okazują się zbyt trudne. Nie wpadło Ci do głowy, że umowa spółki może wymagać autoryzacji przelewów powyżej I rozumieć mam, że 8-16 tego się nie da zrobić w miejscu pracy tylko trzeba poza i stąd telefon wygodniejszy? Mhm. A wszystkie RORy w Posce są aktywnie używane :) Oczywiście nie i był to swego czasu duży problem. Znowu ustawą bodaj zmuszono banki do określonych działań. Kto wie - może kiedyś stosowna dyrektywa wymusi różnorodność metod autoryzacji. Statystycznie jest to moim zdaniem nieistotne, jak wytniesz te nieaktywne Niekoniecznie. Revolut to nowa firma, a w bankach są pewnie martwe konta od wielu lat, a nawet dekad. - Jeśli przez 10 lat konto było nieaktywne, nic się na nim nie działo, to zostaje uznane za martwe - wyjaśnia Maja Markiewicz, dyrektor linii biznesowej OGNIVO w Krajowej Izbie Rozliczeniowej. - Konto będzie uznane za martwe, jeśli nikt się nie zalogował do bankowości elektronicznej, nie wypłacił pieniędzy z bankomatu, nie robił przelewów - tłumaczy ekspertka. Ile pieniędzy jest na martwych kontach i ile jest tych kont, tego naprawdę nikt nie wie. Szacunki sięgały 15 mld. Trochę trudno byłoby Revolutowi posiadać takich klientów od 10 lat, prawda? To inaczej zapytam... Naprawdę wierzysz w to, że marka T-Mobile lub Citi Jedynie kwestia wiarygodności wcześniej podanych przez Ciebie liczb. Ostatnio mój zegarek podał, iż pobiłem prędkość maksymalną na rowerze. Obecna to 214 km/h. Wcześniej było tylko 186 km/h. Powiedzmy, że jestem dość sceptyczny wobec tych liczb, mimo iż to niezłej klasy urządzenie, firmowe (Garmin), zasadniczo rzadko się myli itd. W wielu miejscach Polski nawet i o mBanku nie słyszeli. A pewnie słyszeli o PKO BP. Stąd wniosek: jeśli rozpoznawalność PKO BP jest większa niż mB należy domniemać, że i klientów PKO BP będzie miało nieco więcej. Powyższy wniosek stoi w sprzeczności z Twoją tezą, iż Revolut ma więcej klientów niż Citi. Czyli sam widzisz, że to bez czego eksperci z p.b.b. nie mogą sięN26 to już w ogóle przeciętnemu Kowalskiemu nie jest znane.W Polsce pewnie nie. Ale też się specjalnie nie starają. OK, spróbuję prościej: jestem za wolnością wyboru. Nie narzucając innym swoich racji, chciałbym też mieć wybór. Zatem... Chciałbym token sprzętowy do konta. Za darmo. Coś co jeszcze parę miesięcy temu miałem w CA i EB. I chciałbym korzystać z komputera do logowania. Chcę argumentować, iż są klienci - jak ja - którym to odpowiada. Ja wskazuję pewne trendy (kierunek w stronę rozwiązań mobilnych), Wierzę, że zwisa. I wierzę, że idziemy w kierunku mobilnym. Niestety. Zobacz ile mogłeś zrobić w aplikacji mobilnej banku Nie korzystałem i nie korzystam z aplikacji mobilnych. Dopóki banki mnie nie zmuszą - nie zamierzam. |
|
| Data: 2019-08-14 20:28:57 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
[...] Ale myślę, że jak już miałby wybór, to woli z telefonu/SMS niż Mnie nikt nie zmuszał. Jak tylko BGŻ Optima włączyła autoryzację SMS, z przyjemnością przuciłem to plastikowe małe gie, które się zawsze gdzież zapodziewało. Problem raczej w tym, że niektórych trzeba zmuszać mimo racjonalnych przesłanek. Są ludzie którzy nie lubią zmian, choćby i korzystnych. I potem czytasz że "windows 98 lepszy od Windows XP", a potem powtórkę przy Windows 7 (ach jaki ten XP cudowny). Ogólnie ludzie z syndromem "drzewiej bywało" :) Tworzysz jakieś fikcyjne problemy szczerze mówiąc. No ale jakie masz kompetencje by twierdzić, że stosowane rozwiązania nie są bezpieczne? Tak, jest wygodniej mieć przy sobie komórkę, która jednocześnie Smartwache to nie są zegarki, tylko samartwatche. I dopiero niedawno weszły do gry i się rozsiadają. Zegarki to się ostały jako przejaw snobizmu / oznaka w towarzystwie, ale z powszechnego użycia to zniknęły, bo je zastąpiła komórka. [...] Problem jest tu innej natury. Ja lubię mieć WYBÓR. Ale to jest Twój problem, a nie banku, rynku, czy tym bardziej świata. :) Nigdy i nigdzie nie będzie nieograniczonego wyboru, zawsze musisz albo wykreować potrzebę na tyle skutecznie by ktoś uwierzył, że jest ona opłacalna i pod nią coś stworzył, albo dopasować swoje preferencje do istniejących opcji. I nie uważam, że partia/bank/ktoś tam wie lepiej. Sam nie mam zegarka. Ale to, że ja nie mam nie oznacza, iż uważam, że nikt nie ma potrzeby mieć. A ja mam potrzebę na karty kodów w postaci kamiennych tablic, jak za Mojżesza. O! No ale niestety nikt nie chce mi ich udostępnić :( Jako ciekawostkę powiem Ci, iż mam monitor 4:3. Swego czasu producenci też uznali, że wiedzą lepiej i wprowadzili 16:9. Laptopa mam już takiego - kupno 4:3 jest trudne, by nie rzec "niemożliwe". Kup sobie iPada Pro. :) Niedawno byłem kilka dni w miejscu, gdzie GSM jest, ale Internet bardzo Nie zmusza. Sam to nosisz ze swojej wygody. A po co nosisz cały czas komórkę przy sobie? Każe Ci ktoś? Z tym nie ma problemu, już Ci napisali że możesz mieć osobny, dedykowany telefon-ala-token. Nie w tym problem, że nie masz wyboru, tylko w tym, że oczekujesz żeby za TWÓJ nietypowy wybór zapłacili inni. Jeszcze te 20 lat temu telefon był w domu, stacjonarny i nie musiałeś Trochę za bardzo odpływasz z taką diagnozą. Ale z ciekawości, ile to już żyć ocaliłeś mając ten telefon? Więc po co nosisz? Nie dlatego że to jest wygodniejsze? To nie noś. Mój kolega nurkuje. Muszę go zapytać, czy na co dzień chodzi w masce i z butlą na plecach. Wszak na co dzień tak często korzysta z tych urządzeń, jak Kowalski z autoryzacji w plenerze. Zapytaj. [...] I znów na podstawie indywidualnego przypadku chcesz wprowadzać masowe No tylko się nie obrażaj na wolny rynek. Jakby była potrzeba na tokeny, to ktoś by na taką potrzebę odpowiedział. Po hardkorze to byłoby tłumaczenie w dużej firmie, że u nas każdy ma No i? Ot, tam gdzie komórka tam dostęp. ;-) No to czemu oczekujesz, ze inni będą ją rozdawać? Żeby dać Ci argument w dyskusji? Sejfów nie widziałem, ale wydzielone pomieszczenia na trzymanie Nope, ale ja się obracam w obrębie spółek i firm nowych technologii, więc może faktycznie wszystko co istotne jest trzymane na szyfrowanych urządzeniach. Tym niemniej jakoś nie słyszałem by kasy pancerne, czy sejfy to były jakieś "must-have" w firmach. Ja nie wiem czy Ty sobie zdajesz sprawę ile taka przeciętna firma Mówisz że RODO wymaga trzymania dokumentów z danymi osobowymi w pancernych pomieszczeniach? Może i tego wszystkiego nie potrzebuje, ale wygodniejsza jest świadomość że Ale Ty masz wybór. Tylko ignorujesz możliwości jakie masz. Ja wolę świadomość bezpieczeństwa oszczędności niż możliwości wykonania przelewu w saunie, bo tam też taszczę telefon. A jaki to problem trzymać oszczędności w sposób który nie pozwala na ich wyjęcie telefonem? A właściwie zostaje w szafce, gdzie marnej jakości zamek chroni oszczędności życia. Rozumiem że pinu do telefonu nie masz? Blokady antykradzieżowej? Cokolwiek? Rozumiem, że masz obowiązek mieć telefon razem ze sobą w tej saunie? Rozumiem, że masz w koncu obowiązek trzymać oszczędności życia na tym cudownym koncie do którego musisz mieć bieżący dostęp? Ale wtem! Magiczny token sprzętowy zmieni Twoje życie w cudowny, czarodziejski, niewłamywalny sen. No sorry, ale zaczynasz argumentować jak ta baletnica. :-) Oczywiście "za rzeczy pozostawione w szatni hotel nie odpowiada". Na szczęście często proponują wtedy skorzystanie z... sejfu. No patrz! Ciekawe dlaczego.... Bo są tacy paranoicy i dziwacy na których można dodatkowo ekstra ugrać trochę kasy. As simple as that. Akceptujesz że ludzie noszą komórki z wygody (bo przecież mogli korzystać E tam. Wygody. Z wygody mają też facebooka przy sobie. a nie akceptujesz że mogą chcieć z tego samoego poczucia A mówiłeś że nie mają :-) W mojej ocenie nonsensownym byłoby tłumaczenie tym osobom, że muszą chcieć smartfona (najlepiej Apple'a), bo... coś tam. Czy nie lepiej mieć wybór? Ale wybór jest zawsze. Ale ty nie checesz MIEĆ WYBORU. Ty chcesz mieć TYLKO po swojemu i tupiesz nogą że świat się nie dopasował. Banki - z pewnych względów pozbawiają klienta wyboru lub stosują zaporowe stawki, by zniechęcić. Ponieważ ich liczba drastycznie maleje (tak, wiem - 27:1 według niektórych to sukces, likwidacja 2/3 sektora to nie jest drastyczny spadek)... ograniczany jest wybór. Ot i cała filozofia. Ale ten spadek wynika z fuzji, połaczeń, przekształceń czy wreszcie zmian modelu biznesowego. Kiedyś miałeś BRE Bank, mBank i Multi Bank, teraz jest jeden mBank (mimo że od zawsze był to jeden formalny bank). Kiedyś był KB, BZ i WBK, potem BZWBK, potem BZWBK wchłonął KB, potem wchłonął DB, a w końcu zmienił nazwę na Santander. Ale obsługuje wszystkich klientów z tego sektora. To nie świadczy o zmniejszaniu się rynku bankowego, tylko o jego konsolidacji w większych podmiotach. A te większe podmioty obsługują teraz i corocznie coraz więcej kont. Więc twierdzenie o "likwidacji 2/3" na bazie suchej liczby podmiotów to spore nadużycie. Nie wpadło Ci do głowy, że umowa spółki może wymagać autoryzacji przelewów powyżej Ale ogarniasz, że nie wszyscy pracują 8-16 za biurkiem? [...] Ile pieniędzy jest na martwych kontach i ile jest tych kont, tego naprawdę nikt nie wie. Szacunki sięgały 15 mld. Aliorowi też, no i? Myślisz, że ten nie ma martwych kont? To inaczej zapytam... Naprawdę wierzysz w to, że marka T-Mobile lub Citi To znajdź źródła które tym liczbom przeczą, a nie "nie uznaję, bo mi tak wygodnie". Ja znalazłem jakieś źródła które podają taką liczbę, więc nie oczekuj że będę szukał za Ciebie. Ostatnio mój zegarek podał, iż pobiłem prędkość maksymalną na rowerze. Obecna to 214 km/h. Wcześniej było tylko 186 km/h. Powiedzmy, że jestem dość sceptyczny wobec tych liczb, mimo iż to niezłej klasy urządzenie, firmowe (Garmin), zasadniczo rzadko się myli itd. Fascynujące ale nie na temat jakby. W wielu miejscach Polski nawet i o mBanku nie słyszeli. Nie ma bezpośredniego przełożenia. Myślę że o Citi słyszało więcej ludzi niż o mBanku, a już na pewno nie jest tak że rozpoznawalność Citi jest kilkukrotnie mniejszy (4.4 mln kont mBank vs 670 tys. Citi). Powyższy wniosek stoi w sprzeczności z Twoją tezą, iż Revolut ma więcej klientów niż Citi. Ależ oczywiście. :) Czyli sam widzisz, że to bez czego eksperci z p.b.b. nie mogą sięN26 to już w ogóle przeciętnemu Kowalskiemu nie jest znane.W Polsce pewnie nie. Ale też się specjalnie nie starają. Ale nie chcesz za to płacic. Zatem... Chciałbym token sprzętowy do konta. Za darmo. A ja kamienne tablice! Coś co jeszcze parę miesięcy temu miałem w CA i EB. I chciałbym korzystać z komputera do logowania. Chcę argumentować, iż są klienci - jak ja - którym to odpowiada. No zapewne jacyś się znajdą, ale za mało jak widać. Życie. Zobacz ile mogłeś zrobić w aplikacji mobilnej banku Zawsze możesz poprzestać na dostępie offline i wizytach w oddziale :) Znam i takie osoby. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-14 21:59:12 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 20:28, Wojciech Bancer pisze:
Gdybyś miał rację - nie trzeba byłoby "zmuszać" klientów do przesiadki Gimbaza byłaby z Ciebie dumna. ;-) Tylko koniecznie musisz mieć iPhone'a. ;-) Zauważyłeś, iż tokeny zanim zniknęły na dobre przeznaczone były dla klientów premium? Problem raczej w tym, że niektórych trzeba zmuszać mimo racjonalnych Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe płyty główne mają do tego systemu sterowniki. Odnoszę wrażenie, iż Microsoft bardzo głowi się jak przekonać ludzi do nowszej wersji. Pewnie wywołają tradycyjne upiory z szafy... Bezpieczeństwo! ;-) No ale jakie masz kompetencje by twierdzić, że stosowane rozwiązania Umiem czytać. Trudno znaleźć dzień, w którym media nie donoszą o jakichś tam fraudach. Niepokoi mnie też, iż dopiero odgórne nakazy poprawiają bezpieczeństwo w bankach. Wolałbym, aby nie trzeba było nic nakazywać, a banki aby same dbały o bezpieczeństwo powierzonych klientów. Zegarki to się ostały jako przejaw snobizmu / oznaka w towarzystwie, Dość śmiała teza. Oczywiście można nurkować z komórką czy biegać, ale jednak dostrzegam rozwój zegarków sportowych. I ich popularność. Snobizm? Pewnie osoby mające do czynienia ze sportem niekoniecznie by się z Tobą zgodziły. Problem jest tu innej natury. Ja lubię mieć WYBÓR. Gdyby jednak udało się przekonać większą grupę klientów, wówczas prawdopodobnie wprowadzonoby zmiany pod ich wpływem. Niemniej - masz rację. Żyjemy w czasach, gdy wielu ludziom wystarczy "Moda na sukces", disco polo i smartfon. No cóż - nie tak postrzegam kino, muzykę czy bezpieczeństwo depozytów. Ale przekonujesz mnie, że jestem w mniejszości. Bank zmusza mnie do noszenie przy sobie autoryzacji mimo, iż tego nie Pass. Nie potrafię tego jaśniej napisać. Z tym nie ma problemu, już Ci napisali że możesz mieć osobny, dedykowany To mówisz, że wymóg bezpiecznego przechowywania oszczędności to "nietypowy wybór"? Ale z ciekawości, ile to już żyć ocaliłeś mając ten telefon? Nie jest to łatwe do określenia. Nie jest wygodniejsze noszenie czegoś, co w przypadku napaści/zgubienia Nie da się. Muszę mieć telefon przy sobie. Bank wymaga telefonu do autoryzacji. Więc jedno z drugim jest połączone. To trochę tak, jakbyś miał potrzebę jeżdżenia autem bez ubezpieczenia. No tak - OK, możesz. Ale koszty tego rozwiązania są na tyle drogie/niebezpieczne, że w praktyce każdy ma OC. Mój kolega nurkuje. Muszę go zapytać, czy na co dzień chodzi w masce i z Popukał się w głowę. Zegarka do nurkowania (jakiś tam specjalny) też nie nosi na co dzień. No tylko się nie obrażaj na wolny rynek. Jakby była potrzeba Rzecz w tym, że ten wolny rynek bardzo się kurczy. I wyraźnie wykazuje tendencję w tym kierunku. A gdy już zostanie tych banków bardzo mało (różni eksperci widzą zaledwie miejsce dla 5 na polskim rynku) to będzie można mówić o monopolu. Sęk w tym, że monopol i wolny rynek to tak jakoś nie bardzo po drodze. Zakładając, iż telefon szefa daje autoryzację, a szef telefon ma przy Wyobraźni trochę! A wiesz - mam iPada, który nie musi być zabezpieczony hasłem. I nie był. Do czasu wejścia RODO. Otóż w przypadku utraty takiego urządzenia wszelkie konsekwencje ponosi pracownik. No chyba, że zabezpieczy PIN-em tablet. Tak właśnie się przerzuca odpowiedzialność. Banki robią podobnie - wyposażają klienta w obowiązkowe rzeczy, których nie potrzebuje, by ew. kłopoty zrzucić na niego. Teraz wyobraź sobie taką sytuację - mam tablet bez hasła, odcisku itd. A w nim zapamiętane hasła. Chyba przyznasz, że pozyskanie z niego danych jest banalnie proste. To sytuacja przypominająca noszenie karty z zapisanym pinem na kartce. Nie, mam przy sobie. Oczywiście nie zawsze. Zdarza się zostawić w szafce Karta kodów/token zazwyczaj jest chroniony. Ot, nie opuszcza domu. Dobranie się do niego jest trudne. W przypadku telefonu - proste. To naprawdę jest takie trudne do zrozumienia, iż karta, która leży w szafce jest mniej narażona na fraud niż ta, którą noszę ze sobą? Naprawdę? To może widziałeś chociaż kasy pancerne tam, gdzie sejf Zaskakujesz mnie. A np. hasła - począwszy od wifi przez admina do serwerów to niby gdzie trzymać? To, że masz szyfrowane urządzenia nie oznacza, że nie schowasz ich do sejfu. Ba! Często sama szafa, jak i pomieszczenie, w którym się znajduje jest podłączone do systemu alarmowego. Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż każda szkoła ma sejf. Każdy posterunek policji, a właściwie każda służba, co oczywiste. Każda poważna firma o hotelach, pensjonatach etc. nie wspominając. Wszedłem na Allegro i wpisałem "sejf" - oferta na 100 stron. Niektóre aukcje po 119 kupionych... Hasło "kasa pancerna" daje 19 stron wyników. Zadziwiasz mnie... Mówisz że RODO wymaga trzymania dokumentów z danymi osobowymi w pancernych Nie wszystkich. W przypadku wycieku danych i zagrożenia (jak być może czytałeś) dużymi karami to TY musisz udowodnić, iż dochowałeś należytej staranności. Jeśli będą to tzw. druki ścisłego zaszeregowania to owszem - bez kasy pancernej się nie obejdzie. Jeśli np. CV kandydatów to wystarczy, iż nie będą się walały na wierzchu. Urząd Ochrony Danych Osobowych nałożył właśnie pierwszą w swej historii karę - milion złotych. UODO ukarał pewną firmę za to, że pozyskała z ogólnodostępnej bazy informacje o przedsiębiorcach, ale tylko część z nich poinformowała o tym, że przetwarza ich dane osobowe.Nie zrobiła tego w przypadku tych firm, do których nie miała adresu mailowego. Musiałaby więc wysyłać im wszystkim papierowe listy, co uznała za niewspółmiernie duży wysiłek w porównaniu do uzyskanych korzyści. Teoretycznie pozwalają na to przepisy. UODO uznał jednak, że firma postąpiła niewłaściwie i powinna powysyłać listy. Teoretycznie to głupstwo wobec wrażliwych dokumentów, które chciałbyś zabezpieczać... no właśnie... jak? A jaki to problem trzymać oszczędności w sposób który nie pozwala Znowu - wraz z malejącą liczbą banków jest to coraz trudniejsze. Zobacz jak skurczyła się w ostatnich latach liczba lokat niewymagających konta w banku. Rozumiem że pinu do telefonu nie masz? Blokady antykradzieżowej? Nie mam. Cokolwiek? Rozumiem, że masz obowiązek mieć telefon razem ze sobą Oczywiście. W saunie potrzeby (112), a każdy z banków, z których korzystam WYMAGA podania numeru telefonu. Ale wtem! Magiczny token sprzętowy zmieni Twoje życie w cudowny, Ale czego nie pojmujesz? Że łatwiej ukraść telefon z szafki na siłowni niż token z sejfu? Oczywiście "za rzeczy pozostawione w szatni hotel nie odpowiada". Szczególnie, iż korzystanie z sejfu jest darmowe. ;-) W lepszych hotelach sejfy są w pokoju. W większości obiektów jest coś takiego jak "depozyt". E tam. Wygody. Z wygody mają też facebooka przy sobie. Jako żywo - znowu Gimbaza byłaby z Ciebie dumna! I pamiętaj, aby pokrowiec miał wycięcie na logo Apple'a. ;-) Inaczej nie będzie widać, z jakiego telefonu korzystasz. Zawsze kosztem czegoś. Wszedłem na Allegro. Dział telefony i sortowanie Łopatologicznie: kupić telefon - tak. Zainstalować aplikację? Nie. Jeszcze prościej: operator daje wybór - możesz mieć smartfona lub nie. Będzie działał z kartą sim i będziesz mógł dzwonić. Bank ogranicza wybór. To trochę tak, jakby od jutro u operatora X działały tylko Samsungi S8. Cała reszta albo niemożliwa, albo kilka tysięcy razy droższa... Dziwne chyba jednak, a nie "normalne"? Ale ten spadek wynika z fuzji, połaczeń, przekształceń czy wreszcie zmian Masz rację - konsolidacja, likwidacja itd. Ale nie masz racji, iż to nie powinno zmniejszyć liczby kont. Powinno. To nie jest tak, że gdy mam konto w EB i Mille, następuje konsolidacja to zostawię sobie 2 konta. Jasne, że jedno wyparuje wraz z likwidacją marki. Bez większych problemów ustalisz, iż mnóstwo ludzi 10 lat temu korzystało z większej liczby kont/banków niż dziś. I rozumieć mam, że 8-16 tego się nie da zrobić w miejscu pracy tylko I znowu - zarzucasz mi, że chcę dostosować rynek do swoich unikatowych potrzeb, a robisz dokładnie to samo. ;-) Czy to aby nie projekcja? ;-) Jutro dzień wolny od pracy. Tak- ogarniam, że nie dla wszystkich. I że ci nurkujący mogą chcieć zrobić przelew 3 metry pod wodą, zatem potrzebują telefonu. Upieram się jednak, iż są w mniejszości. Trochę trudno byłoby Revolutowi posiadać takich klientów od 10 lat, prawda? Niestety znowu się mylisz. Alior zaczął działanie 17.11.2008, zatem może mieć martwe konta w definicji podanej (min. 10 lat bezczynności). To znajdź źródła które tym liczbom przeczą, a nie "nie uznaję, bo OK. Masz rację. Ostatnio mój zegarek podał, iż pobiłem prędkość maksymalną na rowerze. A pomyśl chwilę. Naprawdę trudno zauważyć, iż to mało realne? Właściwie... nieprawdopodobne? Chyba mam prawo wątpić w te pół miliona klientów w PL. To liczba zbliżona do kredytów frankowych. W istocie trudno nie mieć znajomego zadłużonego we franku. W moim najbliższym otoczeniu jest kilku. Revoluta nie ma nikt, a większość nawet o tym nie słyszała. Ciekawy jest fragment: Firma stosuje strategię ,,blitzscaling", która w najprostszym ujęciu sprowadza się do stawiania dynamicznego wzrostu za główny cel rozwoju, często kosztem efektywności. Można polemizować z jej założeniami i konsekwencjami jej stosowania w długim okresie, ale nie można zaprzeczyć, że w przypadku Revoluta przynosi rezultaty w kwestii dynamicznego przyrostu bazy klientów na wielu rynkach. Bez wątpienia jest to też wabik dla inwestorów. Nie ma bezpośredniego przełożenia. Myślę że o Citi słyszało więcej ludzi Nie podzielam tej opinii. Zdecydowanie łatwiej znaleźć osoby znające mB. Siłą rzeczy - każdy kto ma tam produkt zna markę. A rozpoznawalność Citi? Niby reklamą czy czym mieliby nadrabiać te blisko 4 mln kont? OK, spróbuję prościej: jestem za wolnością wyboru. Nie narzucając innym Chcę kwoty racjonalne. Nie - kup sobie iPhone'a i trzymaj w domu jako autoryzacja to nie jest racjonalny wydatek. Zatem... Chciałbym token sprzętowy do konta. Za darmo. Nigdy nie były dostępne. Token był. To jednak "drobna" różnica. Z ciekawostek - są kraje, które forsują obrót bezgotówkowy. Okazuje się jednak, iż opór jest coraz większy - odebranie czegoś ludziom, pozbawienie ich wyboru niekoniecznie się sprawdza. Coś co jeszcze parę miesięcy temu miałem w CA i EB. I chciałbym Jakieś dane na ten temat, czy tak Ci się wydaje? A pamiętasz ile mB musiał poświęcić czasu i środków, by oduczyć ludzi korzystania z list? Inteligo też miało... W końcu zaporowe ceny przyszły w mB na te listy. W niektórych bankach SMSy już są płatne. Nie korzystałem i nie korzystam z aplikacji mobilnych. Dopóki banki mnie Ja też. Sęk w tym, że mają konta dawno wycofane z oferty. Obecnie założenie takiego konta nie jest łatwe. Oczywiście jeśli ktoś narzeka na PKP możesz argumentować, iż powinien chodzić piechotą. Bezpieczniej (mniejsza prędkość), wygodniej (więcej przestrzeni), ekologiczniej. Tylko czy doprawdy poruszanie się pieszo w XXI wieku jest alternatywą wobec kolei? |
|
| Data: 2019-08-15 15:34:43 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
[...] Mnie nikt nie zmuszał. Jak tylko BGŻ Optima włączyła autoryzację SMS, A co konkretnie masz do iPhone? Zauważyłeś, iż tokeny zanim zniknęły na dobre przeznaczone były dla klientów premium? Nie, niespecjalnie. Były stosowane w niektórych bankach, ale najczęściej w segmencie biznesowym. I z tego co kojarzę, to po prostu były lepszą alternatywą dla list papierowych, ale jak już SMSy weszły do użytku, to i z jednego, i z drugiego banki zaczęły się wycofywać. Problem raczej w tym, że niektórych trzeba zmuszać mimo racjonalnych A Ty oczywiście wiesz, że oni wszyscy mówią nieprawdę. :) No ale jakie masz kompetencje by twierdzić, że stosowane rozwiązania Mówisz, że za czasów tokenów nie było fraudów? Niepokoi mnie też, iż dopiero odgórne nakazy poprawiają bezpieczeństwo w bankach. Wolałbym, aby nie trzeba było nic nakazywać, a banki aby same dbały o bezpieczeństwo powierzonych klientów. Nie. Odgórne nakazy raczej standaryzują podejście, niekoniecznie poprawjaąc (w sposób istotny) bezpieczeństwo. Zegarki to się ostały jako przejaw snobizmu / oznaka w towarzystwie, Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn. Te roleksy, omegi itp. Nie widzę żadnego szczególnego boomu na "zegarki sportowe", już prędzej smartwache, ale w tej grupie która ceni roleksy, to smartwatche są wręcz traktowane z pogardą. Z tym nie ma problemu, już Ci napisali że możesz mieć osobny, dedykowany Nie. Ale Ty masz swoją definicję która oznacza "bezpieczne przechowywanie", która nie jest zgodna z tą ogólną zaakceptowaną wersją. Ale z ciekawości, ile to już żyć ocaliłeś mając ten telefon?Nie jest to łatwe do określenia. I myślisz, że wszyscy noszą te komórki tylko w tym światłym celu? To nie noś. Dlaczego? No tylko się nie obrażaj na wolny rynek. Jakby była potrzeba Nie monopol, tylko oligopol. Firm telekomunikacyjnych masz cztery i jakoś dają radę. Zakładając, iż telefon szefa daje autoryzację, a szef telefon ma przy Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać i zabezpieczyć sprzętu? No litości. Teraz wyobraź sobie taką sytuację - mam tablet bez hasła, odcisku itd. A w nim zapamiętane hasła. Chyba przyznasz, że pozyskanie z niego danych jest banalnie proste. To sytuacja przypominająca noszenie karty z zapisanym pinem na kartce. I nie widzisz nic złego w tym, że masz taką sytuację? I jeszcze wypowiadasz się o bezpieczeństwie? Nie, mam przy sobie. Oczywiście nie zawsze. Zdarza się zostawić w szafce Raczej nie umiesz zrozumieć, że ludzie nosili takie rzeczy w portfelu, skanowali, wrzucali na komputer (żeby było wygodniej), albo nosili ze sobą. A już paradoksem jest, że człowiek który mówi że bezpieczeństwo mu leży na sercu, że kartę kodów należy trzymać w domu, albo wręcz w sejfie uważa że telefon / tablet na którym trzyma hasła może sam nie mieć zabezpieczeń i to dobry pomysł. No sorry, ale w tym już mi popłynąłeś. Naprawdę? To może widziałeś chociaż kasy pancerne tam, gdzie sejf W 1Password. Z dostępem przez komórkę. To, że masz szyfrowane urządzenia nie oznacza, że nie schowasz ich do sejfu. Ba! Często sama szafa, jak i pomieszczenie, w którym się znajduje jest podłączone do systemu alarmowego. I telefon bez PINu. Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń darmowych, ale wymagarz korzystania z tych kosztujących fortunę. Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż każda szkoła ma sejf. Każdy posterunek policji, a właściwie każda służba, co oczywiste. Jak ich obligują przepisy to oczywiste. Każda poważna firma Kłamiesz. o hotelach, pensjonatach etc. nie wspominając. Mówisz o tych zajebistych sejfach z master kodem 000000? https://niebezpiecznik.pl/post/nie-ufaj-sejfom-w-hotelowych-pokojach/ Masz panie poważna firma. Wszedłem na Allegro i wpisałem "sejf" - oferta na 100 stron. Niektóre aukcje po 119 kupionych... Hasło "kasa pancerna" daje 19 stron wyników. Zadziwiasz mnie... To ma czegoś dowodzić? Wpisałem "klocki lego", też mam 100 stron. Mówisz że RODO wymaga trzymania dokumentów z danymi osobowymi w pancernych RODO nie ma pojęcia druków ścisłego zaszeregowania. Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej. Może wyjdz z lat 90-tych, co? Jeśli np. CV kandydatów to wystarczy, iż nie będą się walały na wierzchu. Fascynujące i nie na temat. [...] Teoretycznie to głupstwo wobec wrażliwych dokumentów, które chciałbyś zabezpieczać... no właśnie... jak? To zależy przed czym. Rozumiem że pinu do telefonu nie masz? Blokady antykradzieżowej? No to nie wypowiadaj się o kwestiach bezpieczeństwa. Cokolwiek? Rozumiem, że masz obowiązek mieć telefon razem ze sobą Jak potrzebujesz tylko dzwonienia na 112 to sobie kup nokię za 50 zł. Nawet karty nie musisz do niej kupować. Ale wtem! Magiczny token sprzętowy zmieni Twoje życie w cudowny, Ale czego nie pojmujesz? Że ludzie zabezpieczają telefony i nie mają sejfów i tokenów? Że fraudy obecnie w 99,999 procentach polegają na manipulacji socjotechnicznej użytkownika, po to by *SAM* podał ten kod który trzeba? Oczywiście "za rzeczy pozostawione w szatni hotel nie odpowiada". Co do hotelowych sejfów, to już pisałem. A sejfy "depozytowe" są często ekstra płatne. E tam. Wygody. Z wygody mają też facebooka przy sobie. A gdzieś pisałem o sobie? Pokażesz? Zawsze kosztem czegoś. Wszedłem na Allegro. Dział telefony i sortowanie Ale już telefon działający tylko w systemie GSM900 (tak są takie) już wszędzie nie zadziała i niekoniecznie będziesz mógł dzwonić. Bank ogranicza wybór. Cały świat Ci ogranicza wybór, get over it. Nikt Ci nigdy nie będzie oferował nieskończonego wyboru, bo Ty tak chcesz. To trochę tak, jakby od jutro u operatora X działały tylko Samsungi S8. Cała reszta albo niemożliwa, albo kilka tysięcy razy droższa... Dziwne chyba jednak, a nie "normalne"? Nie, to ani trochę nie jest tak. Ale ten spadek wynika z fuzji, połaczeń, przekształceń czy wreszcie zmian Ludzie posiadający > jedno konto to raczej mniejszość. A jak widzisz, statystyki pokazują że liczba kont rośnie. I rozumieć mam, że 8-16 tego się nie da zrobić w miejscu pracy tylko W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach. I w przeciwieństwie do Ciebie mam taki argument: skoro taka funkcjonalność została dostarczona, to jednak widać ktoś na rynku tego wymagał. Jutro dzień wolny od pracy. Tak- ogarniam, że nie dla wszystkich. I że ci nurkujący mogą chcieć zrobić przelew 3 metry pod wodą, zatem potrzebują telefonu. Upieram się jednak, iż są w mniejszości. Nadal nie widzisz różnicy między wygodą a koniecznością. Wygodnie jest "nie myśleć" gdzie mam urządzenie zabezpieczające, notatnik, zegarek, dyktafon, player mp3, wygodniej jest mieć to zawsze "pod ręką" w telefonie. Co nie znaczy że co 5 minut musisz z tego korzystać. Ale fajnie jest nie myśleć o tym "gdzie ja to mam" albo "jak się dostać do domu szybciej" jak się okaże że jednak musisz z czegoś skorzystać. Trochę trudno byłoby Revolutowi posiadać takich klientów od 10 lat, prawda? No to TMUB, czy Plus Bank. Mogą mieć martwe konta, czy nie? Ostatnio mój zegarek podał, iż pobiłem prędkość maksymalną na rowerze. Po prostu nie w temacie. Chyba mam prawo wątpić w te pół miliona klientów w PL. To liczba zbliżona do kredytów frankowych. W istocie trudno nie mieć znajomego zadłużonego we franku. W moim najbliższym otoczeniu jest kilku. Revoluta nie ma nikt, a większość nawet o tym nie słyszała. Naprawdę chcesz iść w takie dowodzenie? Nie mam znajomych zadłużonych we franku. To raczej kwestia kręgu wiekowego znajomych (obecni 30-latkowe raczej nie mieli szans na kredyt we franku). Za to i owszem większość z nich ma revoluta. [...] Nie ma bezpośredniego przełożenia. Myślę że o Citi słyszało więcej ludzi No widzisz, Citi ma znacznie więcej kart kredytowych (2x) niż mBank. O wiele lepiej ogarnia też sektor firmowy i korporacyjny. Jest też rozpoznawalną marką międzynarodową, mBank jest zaś marką lokalną. Ale nie chcesz za to płacic. To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym wpisaniu złego PINu, ew. zerowanie urządzenia po 10-krotnym wpisaniu i już. Nie trzeba wydawać pieniędzy, tylko zaakceptować rozwiązania przyjęte przez resztę świata. Zatem... Chciałbym token sprzętowy do konta. Za darmo. W większości banków nie był. Z ciekawostek - są kraje, które forsują obrót bezgotówkowy. Okazuje się jednak, iż opór jest coraz większy - odebranie czegoś ludziom, pozbawienie ich wyboru niekoniecznie się sprawdza. Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie. Coś co jeszcze parę miesięcy temu miałem w CA i EB. I chciałbym Tak. Brak ofert na rynku. A pamiętasz ile mB musiał poświęcić czasu i środków, by oduczyć ludzi korzystania z list? Inteligo też miało... W końcu zaporowe ceny przyszły w mB na te listy. W niektórych bankach SMSy już są płatne. A pamiętasz, że są ludzie którzy mają Windows XP? Rózne są dziwactwa. Zawsze możesz poprzestać na dostępie offline i wizytach w oddziale :) Każde konto może mieć wyłączony dostęp internetowy. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-15 17:26:14 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-15 o 15:34, Wojciech Bancer pisze:
Zauważyłeś, iż tokeny zanim zniknęły na dobre przeznaczone były dla No cóż. Założyłem konto Prestige w EB właśnie dlatego, iż token był darmowy. W CA Premium także pozwalało na darmowy token. W innych opcjach był płatny lub niedostępny - nie pamiętam. Tyle faktów. Oczywiście Ty wiesz lepiej... Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe Brytyjska flota atomowych łodzi podwodnych, złożona z HMS Vanguard, Victorious, Vigilant, i Vengeance to 4 z najbardziej niebezpiecznych okrętów jakie kiedykolwiek zbudowano. Wyposażone w broń nuklearną patrolują oceany i odstraszają potencjalnych zamachowców przed atakiem na Wielką Brytanię. Każda z nich posiada rakiety Trident II i 40 głowic jądrowych. To siła wystarczająca by niszczyć całe kraje.Okręty zostały zamówione w latach 90 dwudziestego wieku. Windows XP został w nich zainstalowany ponieważ miał być tańszy niż alternatywne systemy. Amerykańska Marynarka Wojenna również pracuje na XP. Jednak płacą oni dodatkowe pieniądze za aktualizacje i zabezpieczenia podczas przechodzenia na nowocześniejsze systemy operacyjne. Umowa wsparcia technicznego z Microsoftem warta 9 milionów dolarów będzie trwała jeszcze do lipca 2016 roku z możliwością przedłużenia o kolejny rok za 31 milionów. W przypadku marynarki brytyjskiej nic o takim interesie nie wiadomo. Ministerstwo obrony podkreśla jednak, że łodzie są całkowicie bezpieczne. Mówisz, że za czasów tokenów nie było fraudów? Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie te zagrożenia odpadają przy tokenie. Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn. A mieszkasz w PL? Pytam, bo nie dostrzec wprost mani teraz na bieganie/pływanie/rower - a czasami wszystko razem - to naprawdę trzeba się wysilić. Nawet emeryci chwycili na kijki i biorą udział w rywalizacjach Nordic Walking. ;-) Federacje, Puchar Polski, Mistrzostwa etc. Co ciekawe - to już nawet nie kwestia maratonów, ale ultramaratonów czy podwójnego Ironmana. Ale to tu, w Polsce. Jeśli mieszkasz gdzieś poza to może faktycznie sport, a tym samym zegarki sportowe, nie są aż tak widoczne. Firm telekomunikacyjnych masz cztery i jakoś dają radę. Wydaje się jednak, iż to złe porównanie. Liczba usług bankowych, ich specyfika jest zupełnie inna niż firm telekomunikacyjnych. Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem. W efekcie jego stosowanie/nie stosowanie jest tożsame. Teraz wyobraź sobie taką sytuację - mam tablet bez hasła, odcisku itd. A Nie. Znam ludzi, którzy mają PIN. I znam ich kod. ;-) Widzisz różnicę? ;-) I jeszcze wypowiadasz się o bezpieczeństwie? Oczywiście. Aspekt bezpieczeństwa musi być EFEKTYWNY. A już paradoksem jest, że człowiek który mówi że bezpieczeństwo Nie twierdzę, że to dobry pomysł. Nie zrozumiałeś. Cały czas wypowiadam się, iż nie chcę nosić narzędzia autoryzacyjnego przy sobie. Natomiast twierdzę, iż są ludzie, którzy mają komórki niezabezpieczone z hasłami. Oczywistym jest, że łatwo wówczas o naruszenie bezpieczeństwa. Twierdzę też, że są osoby z komórkami zabezpieczonymi. Twierdzę, że w przypadku np. napadu/wymuszenia/groźby, a może tylko podpatrzenia PIN-u (zupełnie tak samo jak w przypadku karty, a właściwie dużo łatwiej), ich poziom bezpieczeństwa jest zbliżony do tych bez-PIN-u i oczywiście dużo niższy niż z tokenem przechowywanym w bezpiecznym miejscu. Zaskakujesz mnie. A np. hasła - począwszy od wifi przez admina do Trudno mi sobie wyobrazić, iż ktoś mający pojęcie o bezpieczeństwie coś takiego zrobi. Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za najlepszy materiał. Nie wymaga źródła energii, jest wstrząsoodporny, tani, nie ulega degradacji pod wpływem magnesu, promieni słonecznych, powietrza itd. Pewnie dlatego dokumenty papierowe mają się dobrze. Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz? Oddasz do serwisu czy potraktujesz młotkiem mając świadomość danych przechowywanych w ten sposób? I telefon bez PINu. Oczywiście! Gimbaza sprawdza telefon milion razy dziennie. Wpisując PIN, tudzież smyra paluszkiem jakieś kreski. ;-) Doprawdy poznać ten PIN jest niesamowicie trudno. ;-) A jako, że gimbaza za bystra nie jest - ustawia sobie PIN taki jak na karcie. Bo też 4 cyferki i łatwiej zapamiętać. Pisać dalej, czy już zauważyłeś do czego zmierzam? Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń Podobno wczoraj konto Ewy Farny zostało zhakowane. ;-) iPhone'a ma. w FB korzystała... Moje konto na FB jest nie do ruszenia. Tak je zabezpieczyłem, iż nie masz szans się do niego dostać. Ot - jak widzisz - kwestia bezpieczeństwa. Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie wymienić kogokolwiek, kto by korzystał? Każda poważna firma Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie. Pancerne drzwi, za którymi przechowywany jest przepis, dołączyły do wystawy w muzeum "World of Coca-Cola" w Atlancie. Otwarcie nowej wystawy stanowi część obchodów 125. rocznicy powstania firmy. Podczas ceremonii zebrani obejrzeli wideo, na którym widać było, jak Kent chowa za pancernymi drzwiami metalowe pudełko. Pozostanie ono jednak niedostępne dla zwiedzających World of Coca-Cola. Długa sala z sejfem kończy się wielkimi drzwiami oddzielonymi barierką. Na drzwiach znajduje się klawiatura numeryczna oraz skaner odcisków dłoni. -- -- -- -- -- -- - Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A może Coca-cola to nie jest "poważna firma"? Mówisz o tych zajebistych sejfach z master kodem 000000? Nie jestem ekspertem od sejfów. Te, z którymi się spotkałem były na klucz. Natomiast co tam sobie kto kupi - jego sprawa. https://niebezpiecznik.pl/post/nie-ufaj-sejfom-w-hotelowych-pokojach/ "Raz już zdarzyło mi się trafić na sejf, który nie działał poprawnie (zacinał się) i konieczna była pomoc pracownika zewnętrznej firmy, co zabrało mi sporo czasu." - słusznie. Idealnego zabezpieczenia nie ma, ale opóźnienie jest bardzo istotne np. w przypadku napadu. Nie zastanowiło Cię dlaczego w oddziałach stosowane są blokady czasowe? Powyższy przykład wskazuje nie na problem z sejfem, ale obsługą. Innymi słowy poszli na łatwiznę. No cóż - wiele osób kupuje router i nie zmienia domyślnego admin/admin tudzież innych "skomplikowanych" operacji. Wszedłem na Allegro i wpisałem "sejf" - oferta na 100 Ty nie widziałeś sejfu. Pokazałem Ci, iż jednak się sprzedają. Wpisałem "klocki lego", też mam 100 stron. A widziałeś na oczy klocki Lego? Ja tak, zatem nie musisz dowodzić, że jednak ktoś tam je kupuje. RODO nie ma pojęcia druków ścisłego zaszeregowania. Naprawdę? Zatem najwyraźniej według Ciebie RODO nie dotyczy danych wrażliwych. ;-) Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich Na przykład? Może wyjdz z lat 90-tych, co? Haha... OK. Czyli np. paszporty, prawa jazdy, dowody rejestracyjne, blankiety dyplomów etc. to mam trzymać na iPhonie tak? Jeśli np. CV kandydatów to wystarczy, iż nie będą się walały na wierzchu. To, że Ty nie potrafisz dostrzec analogii nie znaczy, że to nie jest na temat. ;-) Teoretycznie to głupstwo wobec wrażliwych dokumentów, które chciałbyś :-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się tego typu ochrona. ;-) Rozumiem że pinu do telefonu nie masz? Blokady antykradzieżowej? Dobrze, wstukam sobie "0000". Już mogę się wypowiadać? Doprawdy nie widzisz absurdalności swoich twierdzeń? Oczywiście. W saunie potrzeby (112), a każdy z banków, z których Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3. Dziś w GW napisali o Tajlandii i prostytucji: Można powiedzieć, że praca w seksbiznesie to wolny wybór Tajek, bo nikt ich wprost nie zmusza do zarabiania na chleb swoim ciałem. Kiedy jednak przyjrzymy się innym możliwościom, wychodzi na jaw, że te kobiety w gruncie rzeczy nie mają innego wyjścia. Pracując w innych dostępnych dla nich zawodach, większość z nich nie byłaby w stanie utrzymać rodziny. Tłumaczę, bo pewnie nie zauważysz analogii: Można powiedzieć, że autoryzacja telefonem to mój wolny wybór, bo nikt ich wprost nie zmusza do korzystania. Kiedy jednak przyjrzymy się innym możliwościom, wychodzi na jaw, że w gruncie rzeczy nie mam innego wyjścia. Korzystając z innych dostępnych dla mnie rozwiązań, większość z ludzi do mnie podobnych nie byłaby w stanie utrzymać rodziny wydając pieniądze na dodatkowe zabezpieczenia. Różnica miedzy nami polega na tym, iż ja nie chcę, by banki robiły ze mnie tajską prostytutkę, ale oczywiście mam świadomość, iż niektórym to nie przeszkadza. Ale czego nie pojmujesz? Że ludzie zabezpieczają telefony i nie mają No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed manipulacją. A zatem by nie zainstalował wirusa, nie ściągnął fałszywej aplikacji, a nawet nie był w stanie podać stosownych danych zaatakowany w ciemnej bramie z nożem przy szyi. Gdy dostaję SMS nie mam informacji jak długo on jest ważny. W przypadku tokenów odliczany jest czas ważności kodu. Czy uważasz, że wpisanie go i użycie 1-2 sek. przed końcem nie jest dobrym zabezpieczeniem? Jako żywo - znowu Gimbaza byłaby z Ciebie dumna! I pamiętaj, aby Nie, ale podświadomie wyczuwam, iż z tym poziomem wiedzy/przekonań dot. bezpieczeństwa musisz mieć sprzęt Apple'a. Ludzie posiadający > jedno konto to raczej mniejszość. Nie pomyliłeś się? Jeszcze raz: według Ciebie ludzie posiadający więcej niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na myśli pewnie ROR, tak? A jak widzisz, statystyki pokazują że liczba kont rośnie. W ten sposób dojdziesz szybko do masy krytycznej. Liczba kart SIM w PL wynosi ponad 40 mln. Zatem teza, iż ludzie posiadają 1 numer byłaby wątpliwa. W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach. Naprawdę? ;-) Nie wydajesz się uwzględniać moich ;-) I w przeciwieństwie do Ciebie mam taki argument: skoro taka funkcjonalność Prezes wie lepiej. ;-) Wygodnie jest "nie myśleć" gdzie mam urządzenie zabezpieczające, OK, ale skoro Ty nie zamykasz auta, bo wygodniej to dlaczego innych zmuszać, by też tego nie robili? Co nie znaczy że co 5 minut musisz z tego korzystać. Ale fajnie Ten argument często pada w przypadku KK - zazwyczaj robię zakupy na kilkadziesiąt zł, ale dobrze mieć kilka tysięcy kredytu. Tudzież wśród fanów gotówki - owszem, przeciętnie dziennie nie wydaję więcej niż kilkadziesiąt zł, ale jak portfel gruby i setki się wysypują to tak jakoś... lepiej na laski działa. ;-) No OK. Jest to jakiś argument. Naprawdę chcesz iść w takie dowodzenie? Dowodzenie opierające się na faktach chyba nie jest znowu takie złe? Nie mam znajomych zadłużonych we franku. Cud! Albo gimnazjalista... ;-) Widziałem. ;-) To raczej kwestia kręgu wiekowego znajomych (obecni Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach. Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie lub młodsi. No ale OK - to rozszerzmy znajomych jeszcze o znanych... Słyszałeś o Adamowiczu? Albo Tomaszu Lisie? A może Joannie Musze (PO)? Albo Krystynie Pawłowicz? Za to i owszem większość z nich ma revoluta. No tak - faktycznie specyficzne środowisko. Nie podzielam tej opinii. Zdecydowanie łatwiej znaleźć osoby znające mB. To jeszcze mało, szczególnie, iż liczba KK to zaledwie 15% wszystkich kart wydanych. O wiele lepiej ogarnia też sektor firmowy i korporacyjny. Jest też No ja pisałeś o PL. Ale domyślam się, iż Twoje poglądy mogą wynikać z miejsca zamieszkania poza PL. Jeśli tak i rozważasz skalę międzynarodową to faktycznie np. w USA mB może być mniej znany. To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym Poruszasz ciekawy problem. Jak to jest w "reszcie świata"? Czy w istocie autoryzacja przelewów to SMS? A ja kamienne tablice! Ja korzystałem z 2, ale nie wiem czy to były "jedynie 2" czy "2 z wielu" - trudno mi się do tego odnieść. Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie. Biorąc pod uwagę, że mowa o Skandynawii to znowu dość śmiałe tezy stawiasz. A pamiętasz, że są ludzie którzy mają Windows XP? No tak - jak widać wyżej - nawet okręty atomowe im powierzają. "Dziwactwo". Ja też. Sęk w tym, że mają konta dawno wycofane z oferty. Obecnie Niestety to nieprawda. I nie jest też prawdą, że w każdym banku można wyłączyć jeszcze bardziej niebezpieczny dostęp telefoniczny. |
|
| Data: 2019-08-15 22:22:10 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-15, Szymon <z@wp.pl> wrote:
[...] Nie, niespecjalnie. Były stosowane w niektórych bankach, ale najczęściej No sam piszesz, że "nie pamiętasz". Tak, wiele rzeczy w kontach premium jest za free. Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe Jak będą podpięte do internetu, to wtedy będzie bardziej na temat. Mówisz, że za czasów tokenów nie było fraudów? Nadal pozostaje komputer, którego najłatwiej zarazić wirusem, więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem jest człowiek. Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn. Ale nie ma obowiązku posiadania zegarka do tych czynności. [...] Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać Case Apple vs FBI temu przeczy. [...] A już paradoksem jest, że człowiek który mówi że bezpieczeństwo Twoje "chcenie" nie ma nic do rzeczy. Możesz zapewnić bezpieczeństwo przy użyciu istniejących i dostępnych metod. Nie chcesz, to Twoja sprawa, tylko nie stękaj. Natomiast twierdzę, iż są ludzie, którzy mają komórki niezabezpieczone z hasłami. Są też ludzie którzy nosili hasła papierowe w portfelu. W 1Password. A jednak. Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za najlepszy materiał. No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami" (patrz procedury ZUS). Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz? Wymienię na inną. [...] Pisać dalej, czy już zauważyłeś do czego zmierzam? Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy sensownie myślący wiedza. Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń Fascynujące, ale bez związku.
Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest firma w ujęciu podmiotu gospodarczego. Zmieniasz temat. Każda poważna firma Nieistotne. Nie ma związku przyczynowo-skutkowego między "poważna firma" a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem. Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć dalej? Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A może Coca-cola to nie jest "poważna firma"? Nic takiego nie napisałem, więc kłamiesz. [...] Wszedłem na Allegro i wpisałem "sejf" - oferta na 100 W kontekście o którym pisaliśmy: przechowywanie Mitycznych Ważnych Dokumentów (tm) w biurach. Nie sejfów w ogóle. Pokazałem Ci, iż jednak się sprzedają. Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie do klocków lego. RODO nie ma pojęcia druków ścisłego zaszeregowania. Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin nieznany ustawie RODO. Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich Np, szyfrowanie w postaci elektronicznej. Może wyjdz z lat 90-tych, co? Ale rozmawialiśmy o firmach, a nie urzędach. I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych. Urząd Ochrony Danych Osobowych nałożył właśnie pierwszą w swej historii Nadal twierdzę że jest nie na temat. Oczywiście możesz wykazać że kara miała związek z nieprawidłowym przechowywaniem danych a nie tym o czym było napisane, czyli nierzetelnym *poinformowaniem* podmiotów. To zależy przed czym. Ja się zajmuję dokumentami w obiegu elektronicznym. Te są dostępne z konkretnych adresów i w konkretny sposób. Sejfu brak. Nie mam. Nie. Jak potrzebujesz tylko dzwonienia na 112 to sobie kup nokię za 50 zł. To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować. Dziś w GW napisali o Tajlandii i prostytucji: [...] Nie na temat. manipulacji socjotechnicznej użytkownika, po to by *SAM* podał ten Token tego nie potrafi. [...] Ludzie posiadający > jedno konto to raczej mniejszość. Nie. Jeszcze raz: według Ciebie ludzie posiadający więcej niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na myśli pewnie ROR, tak? No o tych statystykach była mowa (kont osobistych aka RORach). I do takich Ci podałem linka. A jak widzisz, statystyki pokazują że liczba kont rośnie. Karty sim nie mają rozdzielenia na biznesowe, osobiste, inwestycyjne, oszczędnościowe, czy techniczne. Ale też nie twierdziłem, że ludzie posiadają tylko 1 numer (chociaż tych posiadających więcej niż 1 też jest mniejszość). W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach.Naprawdę? ;-) Nie wydajesz się uwzględniać moich ;-) I nadal spokojnie z tym śpię. [...] To raczej kwestia kręgu wiekowego znajomych (obecni Twierdzisz że osoby mające 30 lat nie są dorosłe? Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie lub młodsi. https://www.businessinsider.com/median-tech-employee-age-chart-2017-8?IR=T - facebook, mediana 28 - google, mediana 30 - apple, mediana 31 Ale to pewnie nie sa poważne firmy. To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym No na pewno wg PSD2 token i karty kodów są nieakceptowalne. Tak więc masz już ogarniętą Europę. Ja korzystałem z 2, ale nie wiem czy to były "jedynie 2" czy "2 z wielu" - trudno mi się do tego odnieść. Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też miałem) i tam nie było tokenów w ofercie, poza zakresem "korporacyjnym". Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie.Biorąc pod uwagę, że mowa o Skandynawii to znowu dość śmiałe tezy stawiasz. W Skandynawii też istnieje szara/czarna strefa. Każde konto może mieć wyłączony dostęp internetowy. Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-16 11:39:03 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-15 o 22:22, Wojciech Bancer pisze:
Brytyjska flota atomowych łodzi podwodnych, [...] Czyżbyś twierdził, że "urządzenie" niepodpięte do Internetu jest bezpieczniejsze? Jeśli tak to rozważ token/smartfon w tym kontekście. Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam 1. Nie jest prawdą, że komputer łatwiej zarazić wirusem. Wszystko zależy od okoliczności. 2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć. Ale nie ma obowiązku posiadania zegarka do tych czynności. Podobnie jak można żyć bez konta (chyba). Gdy już kiedyś "zauważysz" jednak wzrost aktywności sportowej Polaków to przypatrz się ich nadgarstkom. Da Ci to pewne pojęcie o rzeczywistości. Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem. W PL nie obowiązuje prawo precedensu, a już orzecznictwo w USA ma się nijak do PL. Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za Sejf/kasa ma to do siebie, iż dostęp do nich jest ściśle określony procedurami. A zatem "zaginie" nie ma tu racji bytu. Bo właśnie po to owe środki bezpieczeństwa są! Co ciekawe - swego czasu pojawił się wątek namawiający na kupno złota. Oczywiście można nosić przy sobie, bo a nuż się przyda, ale można też - chyba jednak bezpieczniej - przechowywać w domu. Ostatnio trafiłem na cennika Mennicy odnośnie przechowywania. Do 1 kg. 420 zł/rok kosztuje taka usługa. Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz? Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia istotnych danych np. w serwisie? To była istota tego pytania. Pisać dalej, czy już zauważyłeś do czego zmierzam? Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać. Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem tak - problemem jest człowiek, ale także ten, który tworzy system, a nie tylko ten, który z niego korzysta. Podobno wczoraj konto Ewy Farny [...] Postaram się częściej tłumaczyć z polskiego na polski... To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie Podałem policję czy służby jako przykład oczywisty. Sądziłem, że możesz negować np. oświatę. Także niepubliczną. Otóż szkoła niepubliczna także posiada sejf. Spełnia kryteria podmiotu gospodarczego. Pewnie kasę/sejf posiada także każdy podmiot operujący większą gotówką. I pewnie niejednokrotnie może używać ich do przechowywania najważniejszych dokumentów/haseł. Podobnie jak Kowalski mający sejf w domu zapewne nie tylko będzie trzymał tam większą gotówkę, ale złoto, biżuterię czy token. Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie. Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji. Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A Zadałem pytanie, więc jeszcze nie zdążyłem "skłamać". ;-) Dopiero zdanie twierdzące mogłoby na to wskazywać. W kontekście o którym pisaliśmy: przechowywanie Mitycznych Ważnych Ojej... Łopatologicznie: tak jak nie każdy w firmie ma dostęp do tokena, tak nie każdy jest uprawniony do korzystania z sejfu. W każdym większym urzędzie jest kasa pancerna, ale nie w każdym pokoju. W każdej poważnej firmie jest sejf, ale nie każdy reprezentant firmy ma do niego dostęp. Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie Może zapomniałeś. Przypomnę: narzędzie autoryzacyjne warto trzymać w bezpiecznym miejscu. W firmie najbezpieczniejszym miejscem wydaje się być sejf. W domu - jak ktoś ma (a sprzedaż na Allegro wskazuje, iż sporo ludzi kupuje) to też. Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in blanco. I wtedy to mogę sobie robić z nim, co chcę? W momencie wpisania danych Iksińskiego - do sejfu, bo RODO? ;-)) Praktyka jest taka... Druki ścisłego zarachowania (jak już mówimy o terminie precyzyjnie) podlegają rozliczeniu - nawet te, w których wypełniający popełni błąd - ot, chociażby oczywistą pomyłkę. W tym znaczeniu czy są wypisane czy nie są - muszą być chronione i to TY jesteś za to odpowiedzialny. To TY musisz się wykazać należytą starannością. Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich Mistrzu... Ale jak Ty chcesz zaszyfrować w postaci elektronicznej np. dowody rejestracyjne przed wydaniem ich właścicielom pojazdu? Jak już sobie zaszyfrujesz te swoje dane to gdzieś one muszą leżeć. Te, które w ogóle się da zaszyfrować. W chmurę ich nie wrzucisz, bo - jak twierdzisz - masz pojęcie o bezpieczeństwie. Kopia zapasowa wydaje się oczywistością. Nawet nie jedna. I gdzie to chcesz trzymać? W swoim "biurze" na biurku? Musisz się liczyć, że Twój iPhone może się zepsuć. Pracodawca musi się liczyć, że możesz wpaść pod samochód. Do tego może przyjść pożar czy powódź. Zatem należy opracować procedury na różne scenariusze. Ale rozmawialiśmy o firmach, a nie urzędach. A to ma znaczenie? W biedronkach też są sejfy. ;-) OK. Jeśli rozmawiamy o pani z warzywniaka to faktycznie w jej firmie może się obyć. Wystarczy pewnie kasetka. I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych. OK. Ostatnio sobie rozmawialiśmy o gimnazjach. Otóż przybywa do gimnazjum kurier z arkuszami egzaminacyjnymi. Około 5-6 rano, a egzamin rozpoczyna się o 9:00. Dokumenty do czasu egzaminu są prawnie chronione. Dostęp do nich ma tylko dyrektor. Przechowuje je kilka godzin (audiotele) w: a/ chmurze, zaszyfrowane b/ zaszyfrowane w iPhonie c/ sejfie? Szkoła niepubliczna, a zatem firma, bo to po prostu działalność gospodarcza, choć regulowana oczywiście dodatkowymi przepisami (jak wiele innych, z innych branż). :-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się Zatem jesteś małym trybikiem w większej machinie. Albo pracujesz w bardzo specyficznej firmie (brak istotnych dokumentów, brak obrotu gotówkowego, brak kontaktu z ludźmi z zewnątrz), albo może owe miejsce bezpieczne jest poza Twoim zasięgiem. Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3. Cały czas tłumaczysz mi jak WYDAĆ pieniądze. Pokaż jak zaoszczędzić. ;-) No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed Może Ty nie umiesz z niego w ten sposób korzystać? Jeszcze raz: według Ciebie ludzie posiadający więcej Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz? Jak zdefiniować ROR/konto osobiste? Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach. W moim przekonaniu do osoby 18+, przy czym mam wrażenie, iż średnia wieku w PL to trochę więcej niż 30. A zatem "dorośli ludzie" nie ograniczają się do max. 30-latków. Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie haha... Dobre! W kontekście kredytów frankowych w PL... bardzo dobry argument. Pamiętasz jeszcze, że chodziło o porównanie frankowiczów do revolutionistów? ;-) Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też miałem) i tam nie Wniosek mam wyciągnąć, że jedynie Premium lub korporacje miały dostęp do tokenów? Czyli... mniejszego bezpieczeństwa niż Kowalski? Śmiała teza. Każde konto może mieć wyłączony dostęp internetowy. Dobre! Naprawdę. A masz też pomysł jak zablokować dostęp telefoniczny w banku, który twierdzi, że się nie da? |
|
| Data: 2019-08-16 16:58:46 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-16 o 14:54, Wojciech Bancer pisze:
Nie zmienia to niczego w znaczącym stopniu, ponieważ Swego czasu była afera dot. spowolnienia iPhone'a po aktualizacji. Można byłoby dyskutować czy wolniejsze urządzenie jest "bardziej użytecznym". OK - zgadzamy się - głównym problemem jest człowiek. Może się zgodzić, że nie tylko Klient, ale też bankowiec? 1. Nie jest prawdą, że komputer łatwiej zarazić wirusem. Uwzględnij człowieka! Wszystko zależy od okoliczności. Uwzględnij człowieka! Sekretarka, która bez wylogowania wychodzi z sekretariatu jest większym zagrożeniem z punktu widzenia wycieku danych niż użytkownik domowy nawet jeśli tenże w ogóle nie ma hasła. 2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć. Nie pomyślałem o tym, ale skoro zauważyłeś, że tokeny były dla Premium i korporacji to pewnie ludzie dostający je w garść rzeczywiście byli bardziej odpowiedzialni niż przeciętny zjadacz chleba. - człowiek używający smarfona jest debilem o IQ doniczki Niekoniecznie. Zbyt surowy jesteś w swoich ocenach. I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma Rozumiem, że te skrajności mają pokazać błędy w argumentacji. 1. Niekoniecznie sejf i niekoniecznie w każdym miejscu. Token w domu starczy. Zazwyczaj jest tak mały, że da się go ukryć. 2. Nie da się ukryć, iż dla nastolatków smartfon to prawdziwy fetysz. Fakt. 3. Rzeczywiście dziwi mnie, iż nigdy nie poznałeś żadnego PIN-u osoby, która go wpisywała w telefon - np. w autobusie, tramwaju etc. Zwróć uwagę jak Klient wpisuje PIN w bankomacie (często zasłaniając ręką, rozglądając się na boki itd.), a jak w telefonie. Z ręką na sercu - nie widziałem, aby ktoś równie ostrożnie wpisywał w telefonie, co w bankomacie, a przed płatnościami bezstykowymi przy kasie. Ty sobie wyśniłeś jakieś tezy o tym, że nie zauważam polaków Jeszcze niedawno tak twierdziłeś - przypomnę, iż nie dostrzegałeś boomu na zegarki sportowe. Najprościej je zauważyć właśnie przy aktywności fizycznej. A odzywka o "rzeczywistości" jest po prostu chamska, Kwestia dyskusyjna. Ktoś mógłby to nazwać ironią, ktoś być może sarkazmem, a jeszcze inny peryfrazą. Nie ma natomiast wątpliwości, iż nie używam w dyskusji wulgaryzmów. Te - owszem - możesz nazwać "chamskimi". Nie piszę o prawie, tylko o przypadku w którym FBI miało problem Apple daje milion hakerowi, który włamie się do iOS. ;-) Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X czy Y. Okradnie tego, który mu to ułatwi. Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny Tylko co to ma do rzeczy? Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia Strasznie trudno Ci przychodzi odpowiedź na to pytanie. Zupełnie niepotrzebnie. Serwis sprzętu nie jest niczym nadzwyczajnym. Gdy oddaję komputer - zawsze wyciągam z niego dysk. W przypadku iPada jest to pewien problem. Oczywiście zależy co uległo uszkodzeniu. Najrozsądniej byłoby zniszczyć sprzęt, ale ponosi to za sobą duże koszty. Czasami udaje się pewne rzeczy naprawić względnie tanio. To była istota tego pytania. To nie o to chodzi... OK - spróbuję jaśniej i prościej... Padła matryca w komputerze. Może tylko pękła. Zauważyłem, iż często komputer jest oddawany do serwisu "z powodu matrycy", a użytkownik w ogóle nie myśli o danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym - jest problem. Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać. Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy. Rozumiem, że owe programy masz w komórce. A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy? Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem ??? Upraszczam sobie życie nosząc to, czego nie muszę??? Ciekawa koncepcja. Podałem policję czy służby jako przykład oczywisty. Instytucji używającej sejfu. "Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który Wątpliwa interpretacja. W Ustawie o systemie oświaty nie występuje Art. 83a. Jest Art. 83 ust. 1, który stanowi: "W szkołach i placówkach, z zastrzeżeniem ust. 6, działają rady rodziców, które reprezentują ogół rodziców uczniów.". Żadnego "a" nie ma w tym artykule ani innych literek alfabetu. Może jakąś starą i wątpliwą interpretację znalazłeś? Prowadzenie szkoły działającej w ramach systemu oświaty nie jest traktowane jako działalność gospodarcza i odbywa się na zasadach podanych w przepisach odrębnych. Prywatną szkołę możesz natomiast prowadzić w dowolnej formie, poza spółką partnerską. Działalność ta może być zarejestrowana jako: jednoosobowa działalność gospodarcza spółka cywilna jedna ze spółek prawa handlowego: spółka jawna, spółka komandytowa, spółka komandytowo-akcyjna, spółka z ograniczoną odpowiedzialnością lub spółka akcyjna -- -- -- -- -- -- -- -- OK, ale zostawmy, bo sama "działalność gospodarcza" nie jest nigdzie jednoznacznie zdefiniowana i US niejednokrotnie mają problem z jej interpretacją. Zatem nie chciałbym teraz rozwodzić się czy szkoła prywatna to jest/nie jest, a niepubliczna itd. Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów. Takich stricte jest z pewnością dużo mniej. Nie na temat. Rozmawialiśmy o przypadku firmy (w rozumieniu potocznym) W "Psach" Pasikowskiego firmą nazywano policję. Natomiast OK - można doprecyzować. Już wiem, że wyłączamy z tego oświatę, czyli największą grupę zawodową (ok. 700.000 pracowników jeśli dobrze pamiętam statystyki Broniarza z okresu strajku), do tego wyższe uczelnie, wszelkie służby od zdrowia do specjalnych. Potem jeszcze urzędy, a urzędników to mamy wiadomo ilu... No i sejfy, w których trzyma się tak dokumenty, jak i gotówkę. Gdy już nam została Pani Gienia sprzedająca rzodkiewkę w naszym koszyku "firm" to tak! Masz rację. Dostęp Polaków do sejfu w "firmach" jest żaden. i posiadaniu sejfu stricte do dokumentów. Takie podmioty zapewne są, Pani Gienia sejfu nie ma, ale ma przy sobie iPhone! Może zatem robić przelewy. ;-) A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli różnego szczebla. Czy takie dokumenty elektroniczne wystarczały? Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz elektronicznych. a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem. No nie. Ja szukam POWAŻNEJ bez. To jednak co innego niż NIEPOWAŻNA z. ;-) Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in Nie bardzo wiem, co to ten "blubr", ale odpowiem Ci tak: to nie ma znaczenia. Sądziłem, że logika wystarczy i nie trzeba Ci będzie ustawy. I wtedy to mogę sobie robić z nim, co chcę? Chyba faktycznie zbyt skomplikowanie to opisałem. Masz rację: nie każdy dokument chroniony RODO musi wylądować w sejfie. Nie każdy druk in blanco musi trafić do sejfu. [...] Nie znam się. Tak w pierwszym odruchu wydaje mi się, że dowody osobiste, paszporty, świadectwa, certyfikaty itp. itd. to nie są dokumenty rachunkowe czy księgowe. Przyznaję - mogę się mylić. Zaszeregowania/zarachowania - to był pewien skrót myślowy. Być może faktycznie zbyt skomplikowany. Ale specjalnie nie ma nic wspólnego z RODO. Myślałem o dokumentach, których druk jest ściśle ograniczony (np. dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu RODO). Tak mi się teraz przypomniało - a wiesz, że u mnie w firmie wszelkie pieczątki także trafiają do sejfu? Oczywiście na koniec dnia. Na początku pobiera je upoważniona osoba. I pewnie znowu - pani Gienia od rzodkiewki nie będzie takich procedur stosować, jak "poważna" firma. Gdybyś zechciał sobie wpisać do Google "Jarucka, Cimoszewicz, faksymile" to poczytasz o aferze związanej właśnie z pewną pieczątką ;-) No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem. Ale to głupstwo. Ja mówię o poważnych rzeczach. Spis z natury porównujesz do hasłem do kont czy sieci? Idąc dalej: jest sobie np. studio dżwiękowe, gabinet masażu, A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie pozew o odszkodowanie może je zrujnować. Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem swoje racje jest priorytetem. Podobnie ze studiem filmowym. Masaż, fryzjer... No tak - tu masz niewątpliwie rację... ;-) Jeszcze pani Gienia! Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła, w tym admina. Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu Dlaczego? Bo tak mówisz, czy może masz jakiś argument? Ale rozmawialiśmy o firmach, a nie urzędach. Już przyznałem rację - firmy od rzodkiewki faktycznie obejdą się... Byle nie większe, bo te mogą np. stawać do przetargu, opracowywać oferty, a te z pewnością będą chronione przed np. szpiegostwem gospodarczym. Wówczas pewnie - na pewnym etapie rozwoju - pojawią się najpierw pomieszczenia nieco bardziej chronione, a później także ów... sejf! Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz? Cudowny jesteś! A potem masz pretensje i żale o porównania do Gimbazy. "ROR to ROR" - świetna definicja. Nie jest to konto oszczędnościowe. OK, to już wiem, czym nie jest ROR. A teraz wracamy do pytania: Jak zdefiniować ROR? https://pl.wikipedia.org/wiki/Rachunek_oszczędnościowo-rozliczeniowy W tej definicji konto a'vista z Pekao się mieści. Jest dla osoby fizycznej, jest podstawowym kontem, można się za jego pomocą rozliczać, jest umowa. I choć Wiki podaje: "Rachunek oszczędnościowo-rozliczeniowy jest rachunkiem a vista" to jednak Pekao rozróżniało ROR (Eurokonto wtedy) i a vista. Wydaje się, iż konto w kantorze Aliora też spełniać może definicję ROR-u z Wiki, a za takowe nie uchodzi w definicji banku. Przypomnę: pisaliśmy o tym, że Ty masz wśród znajomych ludzi Hmm... Jeśli chcę się dowiedzieć czegoś o Kowalskim to przyglądam się grupie 18-70 lat. Ty grupie max. 30 i uważasz, że otrzymane dane są porównywalne pod względem wiarygodności? Nie wszyscy pracują w spółkach skarbu państwa z nadania partyjnego, Jeśli jednak mówimy o systemie masowym (bankowość) to jednak mam wrażenie, iż budżetówka więcej nam powie niż oddział Facebooka w PL. Tokeny miały wyższy poziom bezpieczeństwa niż uwcześnie stosowane karty kodów. Z tym, że owe dwa banki od tokenów - CA i EB - nie miały karty kodów. A zatem nie była to naturalna migracja czy alternatywa. Swego czasu w EB był token GSM jako alternatywa wobec sprzętowego. Wychodzi na to, iż właśnie znikający EB był prekursorem bezpieczeństwa. |
|
| Data: 2019-08-16 19:43:40 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-16, Szymon <z@wp.pl> wrote:
[...] Nie zmienia to niczego w znaczącym stopniu, ponieważ Na pewno bardziej użytecznym od tokena. [...] I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma Ale Ty takie skrajności mi prezentujesz. 2. Nie da się ukryć, iż dla nastolatków smartfon to prawdziwy fetysz. Fakt. PINy większości aplikacji bankowych nie są wymienne z "mazianymi znakami". Aplikacje do przechowywania haseł nie mają zaś pinów tylko master password. Poza tym jakie to ma znaczenie, skoro najpierw musi być wykonana operacja (na komputerze), czyli złodziej musi poznać login, hasło do konta (tych nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_ może potwierdzić sobie wspomnianą operację. A to wszystko w czasie, do momentu aż okradziona osoba nie zorientuje się, że została okradziona i nie wyłączy dostępu z danego telefonu (co się da zrobić oczywiście bez wpisywania wspomnianego hasła). Wspomnianych operacji świadomy użytkownik nie musi robić wiele, bo w większości współczesnych urządzeń nie przeznaczonych dla nastolatków masz już jakąś formę autoryzacji biometrycznej, przy której złodziej nawet jak coś ukradnie, to nie miał szans nic podpatrzyć, a Tobą nie jest więc wiele z tym telefonem nie zrobi. A wirusy na smartfonach to: kilka sztuk na Android (tych targetujących aplikacje bankowe) i zero sztuk na iOS. Z ręką na sercu - nie widziałem, aby ktoś równie ostrożnie wpisywał w telefonie, co w bankomacie, a przed płatnościami bezstykowymi przy kasie. A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś? Jak chcesz mi podpatrzeć PIN na takim telefonie? [...] Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X czy Y. Okradnie tego, który mu to ułatwi. I co z nim zrobi dalej? Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie niezabezpieczone. A tu patrz, FBI nie dało rady. Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są zaszyfrowane. Np. na okoliczność utraty urządzenia. W przypadku iPada jest to pewien problem. Oczywiście zależy co uległo uszkodzeniu. Najrozsądniej byłoby zniszczyć sprzęt, ale ponosi to za sobą duże koszty. A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia zamiast rozsiewać plotki może? [...] danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym - jest problem. Po to stosuje się szyfrowanie. Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego Czyli najpierw musisz: - złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się blokuje) - potem złamać hasło właściwego programu. No to masz tak na oko 62 do potęgi 20 prób, bo jakie to hasło, to przecież nie wiesz (mnie urządzenie autoryzuje biometrycznie), a hasło wpisuję jedynie raz na kilka dni (jak dłużej nie używam, albo urządzenie było wyłączone). A w międzyczasie jak odetnę te urządzenie od zaufanych (albo minie odpowiednio dużo czasu), to jeszcze będziesz musiał zautoryzować się poprzez podanie wartości z qrcode, które się wyświetli na innym moim aktywnym urządzeniu, do którego dostępu nie masz. Z tego co czytałem benchmarki, dość mocny sprzęt (taki jaki używany jest do kopania) ogarnie jakieś 6000 prób na sekundę. Rozumiem, że owe programy masz w komórce. Na zaufanych urządzeniach. A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy? Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić. Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie po zalogowaniu się do firmowego intranetu. A osobiste? No cóz, jak mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno. Człowiek który tak sobie życie upraszcza, upraszcza sobie Tak, wiem. Ty jesteś uporządkowany i zorganizowany na tip top. A w przypadku 90% "Kowalskich", jak mu się raz trafi sytuacja, że albo nie będzie miał karty kodów, albo nie będzie miał tokena, to od razu zacznie nosić przy sobie. Płatności online kiedyś robiłeś? Czy to też jest niepopularne i nie istnieje? Bo one też wymagają tego kodu jednorazowego. Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu zacznie nosić przy sobie takie urządzenie. Instytucji używającej sejfu.Podałem policję czy służby jako przykład oczywisty.Czego? Firmy? Podmiotu gospodarczego? A było o firmach. "Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który To był trochę starszy przepis (jak jeszcze obowiązywała ust. o swobodzie działalności gospodarczej). Nowszy masz tu: https://www.arslege.pl/prowadzenie-dzialalnosci-oswiatowej/k1581/a102779/ Dz.U.2018.0.996 t.j. - Ustawa z dnia 14 grudnia 2016 r. - Prawo oświatowe 1. Prowadzenie szkoły lub placówki, zespołu, o którym mowa w art. 182 połączenie szkół publicznych, szkół niepublicznych lub placówek w zespół, oraz innej formy wychowania przedszkolnego nie jest działalnością gospodarczą. [...] Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.Takich stricte jest z pewnością dużo mniej. Nie chcę Cię martwić, ale spora liczba przedsiębiorstw, hurtowni itp. nastawionych wyłącznie na b2b nie ma nawet potrzeby na obrót gotówkowy. A wręcz ma to utrudnione, gdyż jest taki drobiazg jak limit powyżej którego masz obowiązek rozliczać się przelewem. [...] doprecyzować. Już wiem, że wyłączamy z tego oświatę, czyli największą grupę zawodową (ok. 700.000 pracowników jeśli dobrze pamiętam statystyki Broniarza z okresu strajku), do tego wyższe uczelnie, wszelkie służby od zdrowia do specjalnych. Ale to ustawodawca tego rodzaju podmioty wyłączył. Do mnie masz pretensje? Potem jeszcze urzędy, a urzędników to mamy wiadomo ilu... No i sejfy, w których trzyma się tak dokumenty, jak i gotówkę. No to Ty zapodałeś tezę że "poważna firma ma sejf do ważnych dokumentów". Ja tylko konsekwentnie nie chcę zbaczać z takiego toru. [...] A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli różnego szczebla. Czy takie dokumenty elektroniczne wystarczały? Tak, drukowane na żądanie urzędników. A w tym roku, to kontrola (czy raczej czynności sprawdzające) odbyły się poprzez wysłanie Pani urzędnik dokumentów drogą elektroniczną, nawet się nie musiała fatygować. Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz elektronicznych. Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej. Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki? Wydruk z CEIDG, czy KRS to sobie właściwe podmioty pobierają "na żądanie" od urzędu. To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne". No nie. Ja szukam POWAŻNEJ bez. To jednak co innego niż NIEPOWAŻNA z. ;-)Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.Peszek. Do obalenia Twojej tezy wystarczy Amber Gold. Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez software house, czy firmy outsourcingowe. [...] Jak podpada pod restrykcje wynikające z innych ustaw, to możesz A taka dokumentacja medyczna będzie *obowiązkowo* przechowywana elektronicznie. Sądowa i podatkowa już jest (oczywiście dotyczy nowych dokumentów). Od ubiegłego roku np. sprawozdania finansowe składa się wyłącznie elektronicznie. Podatki już też możesz rozliczać elektronicznie. Akta pracownicze możesz trzymać elektronicznie. Zwolnienia lekarskie dostajesz elektronicznie, przez system ZUSowski. Dokumentacja księgowa w coraz większym zakresie przyjmuje format JPK i kontroler skarbowy już nawet nie musi Cię w tym celu odwiedzać. Dokumentacja bankowa od dawna jest przesyłana klientom elektronicznie. Częściowo dokumentacja medyczna również musi już być prowadzona elektronicznie (a pewnie niedługo obowiązek się rozszerzy). To co Ty w tych kasach za dokumenty chcesz trzymać, poza tymi blankietami dyplomów, dowodów rejestracyjnych czy co tam jeszcze. A czyli jednak nie "zaszeregowania" tylko "zarachowania", Termin druki scisłego zarachowania był terminem z rachunkowości, ale w jakimś momencie z ustawy chyba wyleciał. Przyznaję - mogę się mylić. Zaszeregowania/zarachowania - to był pewien skrót myślowy. Być może faktycznie zbyt skomplikowany. http://reklama-krakow.com.pl/2017/03/19/druki-scislego-zarachowania/ "Jak przechowywać druki ścisłego zarachowania? Jak już wspomnieliśmy, druki tego rodzaju muszą być odpowiednio przechowywane, by nie dostały się do nich niewłaściwe osoby. Zakłada się też specjalną ,,Księgę druków ścisłego zarachowania", w której wprowadza się informacje o drukach. Księga ta powinna być w stosowny sposób opisana, powinna mieć ponumerowane strony, ma być trwałe sznurowania, powinna być też opieczętowana i sygnowana przez kierownika jednostki i głównego księgowego. Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą właściwie zabezpieczone, na przykład będą umieszczone w szafie zamykanej na klucz. Można również zdecydować się na skorzystanie z usług rachunkowych, a wtedy to zadaniem specjalisty będzie właściwe zabezpieczenie i zarządzanie drukami. Pomocą służą też firmy oferujące usługi archiwizacyjne." Jak widać sejfów nie trzeba. Ale specjalnie nie ma nic wspólnego z RODO. No to 99% podmiotów gospodarczych raczej z takimi nie ma do czynienia. Tak mi się teraz przypomniało - a wiesz, że u mnie w firmie wszelkie pieczątki także trafiają do sejfu? Oczywiście na koniec dnia. Na początku pobiera je upoważniona osoba. I pewnie znowu - pani Gienia od rzodkiewki nie będzie takich procedur stosować, jak "poważna" firma. Gdybyś zechciał sobie wpisać do Google "Jarucka, Cimoszewicz, faksymile" to poczytasz o aferze związanej właśnie z pewną pieczątką ;-) Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30 minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność legitymacji studenckich takimi pieczątkami. A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię, o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek. No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem. Hasła do konta, czy sieci się nie trzyma na papierze. Po prostu. Niech będzie, że część ma osobowość prawną, a część nie (spółki Wystarczy dyski zaszyfrować i posiadać porządną politykę dot. bezpieczeństwa danych elektronicznych w firmie. Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem swoje racje jest priorytetem. Podobnie ze studiem filmowym. I co, włożysz wszystkie te komputery do tej kasy pancernej, czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać dyski? [...] Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła, w tym admina. Kopie bezpieczeństwa trzymać w sejfie? :-)))))) To się uśmiałem. Zabezpiecza się serwerownię, fakt, ale jak Ty chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem. :-)) Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę dot. projektowania bezpiecznych systemów informatycznych i zasad przechowywania danych. I mówię tu o rzeczach oczywistych we współczesnych firmach z dokumentami w obiegu elektronicznym. To że najpierw posługiwałeś się pojęciem ogólnym "firma", Nie. Po prostu "firmy" się obejdą. Chyba, że: a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach przechowywania informacji b) nałożone są dodatkowe wymagania ustawowe Byle nie większe, bo te mogą np. stawać do przetargu, opracowywać oferty, a te z pewnością będą chronione przed np. szpiegostwem gospodarczym. Ależ oczywiście. :-))) ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych. Mówisz o Rachunku podstawowym? Tak, to jest konto osobiste. I choć Wiki podaje: "Rachunek oszczędnościowo-rozliczeniowy jest rachunkiem a vista" to jednak Pekao rozróżniało ROR (Eurokonto wtedy) i a vista. To że rozróżnia sobie swoje konta (poza Eurokontem ma jeszcze inne), nie oznacza że nie są one sumowane do kont osobistych. [...] (tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie Przypominam że Twoim argumentem było "mam wśród *znajomych* ludzi z kredytami frankowymi, a nie mam z revolutem". Więc w kontrze powiedziałem, że ja wprost przeciwnie, bo mam głównie znajomych w wieku ok. 30 lat. A takich mam, bo pracuję w spółkach nowych technologii. Resztę, to już sobie dorabiasz usiłując udowodnić nie wiem co. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-16 21:36:58 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-16 o 19:43, Wojciech Bancer pisze:
Poza tym jakie to ma znaczenie, skoro najpierw musi być wykonana operacja Po co komputer? Skoro hasła na telefon, czy aplikacja to komputer wkrótce zostanie wyeliminowany. Wspomnianych operacji świadomy użytkownik nie musi robić wiele, bo w większości Jestem zwolennikiem biometrii (warto zauważyć, iż pojawia się w laptopach), ale tutaj na grupie niedawno wypowiadała się osoba, która tego nie podzielała. Pięknie tłumaczysz likwidację tokenów, jednak biometria w bankowości jest od dawna. Jakoś przebić się nie może. Dlaczego? A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś? Zakładasz kradzież/zgubienie bez użycia przemocy. Zwróć uwagę, że wraz ze wzrostem zabezpieczeń samochodów wzrosła liczba rozbojów. Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku będzie karta. Jeśli za pośrednictwem komórki w ogóle mogę się zalogować do systemu - wymuszenie rozbójnicze załatwi sprawę. Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie Zupełnie inny kontekst. Jest taka scena w "Szklanej pułapce II", gdy bohater nie może rozkodować krótkofalówki. Pewien technik mu radzi: zanim zastrzelisz następnego, każ mu wpisać kod. ;-) Być może FBI najpierw zastrzeliło właściciela. Tymczasem mam wrażenie, iż złodziej najpierw stara się ustalić PIN. Dopiero według tego wyznacza sobie ofiarę. A jeśli chodzi o przemoc - inna kategoria. A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są No to 4 raz pytam: oddajesz do naprawy? Rozumiem, że jeśli będzie wymagała zalogowania to przy Tobie? W przypadku iPada jest to pewien problem. Oczywiście zależy Ja pytam. 4 raz. Otóż zupełnie życiowa sytuacja: telefon się nie włącza. Co dalej? danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD Myślę, że niewielu szyfruje w standardzie dysk. I sądzę, że aby cokolwiek naprawić trzeba mieć jednak dostęp administracyjny. Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia czegokolwiek przez serwis. Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje Z nożem na gardle starczy pewnie jedna. - potem złamać hasło właściwego programu. No to masz tak na oko 62 do potęgi 20 prób, Z przestrzelonym kolanem? A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy? No tak. Tymczasem są firmy, które jednak muszą działać dalej. Nie mogą sobie pozwolić na "przestój", bo admin zszedł i wszystko poblokowane. Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie Czyli jednak ;-) Przypomina mi to trochę muzykę techno - bez prądu nie istnieje. Zazwyczaj "klasyczny" muzyk - ot, zagra koncert unplugged. ;-) A osobiste? No cóz, jak mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno. Niektórzy mają rodziny, a wśród nich są i tacy, którzy nie chcieliby rodzinie utrudniać dostępu do osobistych rzeczy (wliczając np. FB, którego warto zamknąć lub poinformować znajomych, jak i np. haseł do bitcoina czy co tam trzeba, aby się do niego dostać). Płatności online kiedyś robiłeś? Czy to też jest niepopularne Oczywiście. Niemal codziennie robię. Z domu. Nie odważyłbym się na przygodnym komputerze. Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci Trochę trąci zachowaniami kompulsywnymi. Psycholog by się przydał bardziej niż token. ;-) Paradoksalnie - dla takich osób utrudniony dostęp do konta może być elementem psychoterapii. A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli A co z podpisami? Znaczną część dokumentów trzeba podpisać. Jak uzyskać podpis kogoś, kto już nie jest pracownikiem (kontrola kilka lat wstecz)? Umowy o pracę/świadectwa pracy/Umowy o dzieło/zaświadczenia bhp/kopie uprawnień/zaświadczenia z medycyny pracy itp. itd. nic papierowego nie macie? A gdy dostaniecie fakturę papierową to mam rozumieć, że skan, a faktura do kosza? A w tym roku, to kontrola (czy raczej czynności sprawdzające) Jestem zdziwiony, ale OK. Przyjmuję, że tak jest. Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz I mam rozumieć, że pracownik nie podpisuje (bo jak?) umowy o pracę, a gdy kończy nie dostaje świadectwa ze stosownymi pieczątkami, podpisami itd.? Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki? Tak. Wolałbym na papierze. Choćby po to, aby nie okazało się, że wyślesz mi coś w formacie pliku, którego nie odczytam. Druga rzecz - na papierze widać modyfikację. W przypadku sporu taki dokument można poddać oględzinom. A jeśli mój plik i pracodawcy plik różni się od siebie to dochodzenie, który jest "prawdziwy" może być trudniejsze. To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie Pozostaje pistolet, bo w przypadku braku prądu czy awarii można jedynie strzelić sobie w głowę. ;-) Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych? Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje Outsourcing jakoś nie kojarzy mi się z czymś poważnym. Raczej szukaniem taniej siły roboczej. Ale OK - masz rację. Wszak jednoosobowych działalności jest wiele - hydraulik, freelancer etc. nie potrzebuje przecież nic zabezpieczać. A taka dokumentacja medyczna będzie *obowiązkowo* przechowywana Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3. To co Ty w tych kasach za dokumenty chcesz trzymać, poza tymi blankietami Już pisałem. Ale jeśli wszystko da się przenieść na formę elektroniczną - OK. Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą No i widzisz... Jeśli uznasz, że mowa tu o szafie pancernej - nikt Ci nic nie zarzuci. Jeśli natomiast będzie to szafa na ubrania, a klucz "uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy. Jak widać sejfów nie trzeba. Tak, masz rację. W IT nie trzeba. Myślałem o dokumentach, których druk jest ściśle ograniczony (np. Tak. Racja. Ciekawe jak radzą sobie firmy mające np. własną ochronę. Czy broń wymaga kasy czy nie... Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30 A jednak zdarza się nadal, iż pieczątka i podpis musi być na dokumencie, aby uzyskał on moc prawną. Jeszcze niedawno trzeba było oklejać go czasami znaczkami skarbowymi. Tak sobie myślę... Zadziwiająco mało elektronicznie dziś można załatwić, jak na ten poziom, który opisujesz. Przykładowo w Idei musiałem kilkanaście razy pisać do nich z prośbą o zamknięcie konta (po tym jak 2 razy "papierowo" w oddziale zamykałem). I nic... Dopiero za którymś tam razem zamknęli i... przysłali polecony z przeprosinami. ;-) A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię, Chyba wynika z rozwoju technologii. Mam sporo danych na dyskietkach, jeszcze więcej na płytach, trochę na kasetach VHS. Sęk w tym, że nie mam stacji dyskietek, CD-ROMu i magnetowidu. Ogrom materiałów tym samym przepadł. To, co było na papierze (np. wspomnienia z wakacji foto-papier) przetrwało, a to co "elektronicznie" (foto na dyskietce, film z wakacji na VHS) - poszło... Być może stąd niektórzy mają obawy... Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia emerytury w formacie pliku, który okaże się nie do odczytania. Hasła do konta, czy sieci się nie trzyma na papierze. U Ciebie nie. U innych tak. W ten sposób zawsze jest dostępne dla uprawnionych osób. U Ciebie - jak Ty jesteś. I kilka osób uprawnionych. I znają hasła. I wszystko działa. A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi Pamiętaj jednak - mówimy o sporze prawnym. Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być człowiekiem) przemawia niż tłumaczenie, że to Apple było i certyfikat. Podobnie chyba "token zostawiłem w domu" jakoś pewniejsze się wydaje niż "mam, ale nie dam" w obliczu baseballa. Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem Ależ nie. Włożę gotowy materiał nagraniowy do sejfu. Zmieści się przecież na dysku. W ten sposób osoba mająca dostęp do sejfu ma dostęp do materiału. Możliwości wycieku - żadne. Ochrona? Pełna. Co, gdy mnie zmiecie ciężarówka z tej Ziemi? Szef odda materiał. Co, jeśli samolot ze mną i z szefem spadnie nieco szybciej niż planował? KAŻDY kto otworzy sejf odzyska materiał. Nie, nie potrzeba hasła. Jest klucz. Alarm, który sprowadza ochronę w kilka minut. Na pewno jest ognioodporny. Celuję, że też ma szansę przeciwstawić się powodzi. Zanik prądu? Niestraszny. Udział firm zewnętrznych (np. ktoś tę chmurę nadzoruje) - żaden. Wszelkie ataki hakerskie - bezskuteczne - dysk leży odłączony od sieci i od prądu. Jakieś tam randsomware'y itp. Nic. Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła, Tak, dokładnie. Odłączone od sieci, a nawet źródła zasilania. Ale już wiem, że myślimy o czymś innym. To się uśmiałem. Zabezpiecza się serwerownię, fakt, ale jak Ty Kopie istotnych danych. Strategicznych dla firmy. Masz powyżej przykład dlaczego. Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę Z podejściem "co mnie obchodzi, gdy mnie zabraknie" nie znalazłbyś zatrudnienia w poważnej firmie. To nawet byłoby zabawne, gdyby np. wojsko zamiast map papierowych w przypadku inwazji czekało aż się zaloguje na serwery, bo muszą uruchomić strategię, a coś muli im net. ;-) I mówię tu o rzeczach oczywistych we współczesnych firmach z dokumentami OK. Przyjmuję do wiadomości. Nie spotkałem się z takowymi. Nie. Po prostu "firmy" się obejdą. Chyba, że: Albo muszą działać także w przypadku totalnej awarii instalacji elektrycznej chociażby. To że rozróżnia sobie swoje konta (poza Eurokontem ma jeszcze inne), Tu pojawia się właśnie pytanie czy podając liczbę ROR wszyscy mieli tę samą definicję. Przypominam że Twoim argumentem było "mam wśród *znajomych* ludzi Masz rację. Powinienem dodać, iż moi znajomi to ludzie 18-70 lat, z różnych środowisk, o różnych potrzebach itd. Więc w kontrze powiedziałem, że ja wprost przeciwnie, bo mam głównie znajomych Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski to trochę większy zakres niż znajomi ok. 30 lat z branży IT. Bez sejfu. ;-) |
|
| Data: 2019-08-17 16:26:42 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-16, Szymon <z@wp.pl> wrote:
[...] nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_ Dobrze więc. Mamy aplikację. I co dalej? [...] Pięknie tłumaczysz likwidację tokenów, jednak biometria w bankowości jest od dawna. Jakoś przebić się nie może. Dlaczego? Gdzie się nie może przebić, skoro każda niemalże apka ją potrafi wykorzystać? A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś? Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać pin do telefonu, potem nogi, żeby pin do aplikacji bankowej, a na koniec wstuka dziarsko 26 cyfr "anonimowego konta" bankowego i dokona przelewu? To nie prościej gwizdnąć "pacjentowi" kartę? Czy karty debetowe też trzymasz w sejfie i oczekujesz, że reszta świata również? Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do Karty mają piny 4-cyfrowe, a współczesne telefony 6-cyfrowe (Apple od iOS 9, Android gdzieś chyba już od wersji 4.x pozwala na dłuższe niż 4-cyfrowe PINy) + maziane znaki lub biometrykę. Niespecjalnie dopasujesz, ale powodzenia. Jeśli za pośrednictwem komórki w ogóle mogę się zalogować do systemu - wymuszenie rozbójnicze załatwi sprawę. I co zrobią? Przelew na swoje konto? I co jeszcze wesołego wymyślisz? To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty. Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie Kontekst był taki, że telefon zostawiłeś w szatni, no ale spoko. Nie moja wina, że masz taki archaiczny sprzęt, który wymusza wpisywanie pinu za każdym razem. A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są Oddałem nie raz. Jeśli urządzenie działa, to je zeruję (zgodnie z procedurami), bo serwisant powinien mieć dostęp do diagnostyki urządzenia. Jak zostawisz urządzenie zaszyfrowane, to części diagnostyki zwyczajnie nie wykona. Rozumiem, że jeśli będzie wymagała zalogowania to przy Tobie? No w inny sposób dostępu do danych nie uzyska. A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia Jak umarł, to kupuję drugi. Dane bezproblemowo odzyskam w jakieś 30 minut. A skoro ten zepsuty telefon jest wyłączony, to dostępu tam do danych nie ma żadnego, dopóki ja nie zautoryzuję urządzenia. danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN, chyba już od wersji 3GS. Komputery w firmach szyfruje się w standardzie I sądzę, że aby cokolwiek naprawić trzeba mieć jednak dostęp administracyjny. To źle sądzisz. Trzeba mieć dostęp do trybu diagnostycznego. A to jest osobny tryb, w którym nie ma dostępu do danych użytkownika. Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia czegokolwiek przez serwis. Oddajesz komputer w stanie wyzerowanym, a po odzyskaniu z serwisu wgrywasz na niego swoje dane. Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje W tym serwisie mi przystawią ten nóż do gardła, czy znowu zmieniasz kontekst, bo Ci nie pasuje do argumentu? A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy? Masz problem ze zrozumieniem zdania poniżej (cyt. "Istotne hasła _firmowe_ są dostępne dla kilku osób..."), czy po prostu usiłujesz zmanipulować moją wypowiedż, żeby nie przyznać że palnąłeś argument z dupy? Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie Czyli jednak Twój poprzedni wtręt był bez sensu? A osobiste? No cóz, jak mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno. Nie ma potrzeby dawania dostępu do FB, ani w celu zamknięcia konta w banku, ani w celu zamknięcia konta na FB, czy też poinformowania o tym znajomych. https://www.facebook.com/help/requestmemorialization Do innych usług też nie. Bitcoina nie posiadam. Płatności online kiedyś robiłeś? Czy to też jest niepopularne Niekoniecznie przygodny. Własny komputer w pracy ciężko nazwać "przygodnym". Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci Nie na ten temat rozmawiamy. Tak, drukowane na żądanie urzędników. https://kadry.infor.pl/zatrudnienie/dokumentacja-pracownicza/2836109,Elektroniczna-postac-dokumentacji-pracowniczej-2019-w-pytaniach-i-odpowiedziach.html A gdy dostaniecie fakturę papierową to mam rozumieć, że skan, a faktura do kosza? Witamy w XXI wieku. https://ksiegowosc.infor.pl/podatki/vat/faktura/715020,Przechowywanie-papierowych-faktur-w-wersji-elektronicznej.html -- - Skan równie dobry jak papier Spółka zapytała urzędników fiskusa, czy taki system przechowania dokumentów - czyli archiwizowanie skanów, a nie faktur oryginalnych - będzie zgodny z przepisami. W interpretacji z 27 lutego 2015 roku (sygnatura IBPP3/443-1391/14/JP) Izba Skarbowa w Katowicach udzieliła odpowiedzi pozytywnej. Urzędnicy stwierdzili, że obecne przepisy dopuszczają możliwość przechowywania faktur w dowolny sposób, np. w formie zapisu elektronicznego na elektronicznych nośnikach danych. Nie ma więc przeszkód do stworzenia systemu mieszanego, w którym papierowe faktury są przechowywane w formie elektronicznych obrazów. Stwierdzili, że ważne jest, aby zachować czytelność i autentyczność dokumentów oraz aby możliwy był dostęp do zarchiwizowanych faktur, jeśli zażądają go organy podatkowe. A skany papierowych faktur te warunki spełniają. Podobnie wygląda sytuacja w przypadku paragonów i innych podobnych dokumentów, które również są podstawa do udowodnienia poniesienia wydatków a które z punktu widzenia prawa fakturami nie są. Kwestie przechowywania i postępowania z tymi dokumentami - co zasugerowała spółka, a potwierdziła Izba Skarbowa w Katowicach - nie są uregulowane w przepisach, a wiec również nie ma przeciwskazań dla przechowywania ich w wersji elektronicznej. -- - A to była interpretacja z 2015 roku, dzisiaj jest jeszcze lepiej. Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz Jak ma podpis kwalifikowany, to może podpisać elektronicznie. Podpisem zaufanym też wiele rzeczy podpiszesz prawnie skutecznie. Jak nie ma, to można dokument podpisać tradycyjnie, zeskanować do systemu, użytkownik może mieć swoją kopię, a oryginał można zniszczyć. a gdy kończy nie dostaje świadectwa ze stosownymi pieczątkami, podpisami itd.? Ale to pracownik dostaje, nie pracodawca. Pracodawca może przechowywać w postaci elektronicznej i np. w razie potrzeby wydrukować. Masz problem by taki dokument wystawić i wysłać pocztą? Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki? No i tylko przez to, że istnieją takie dinozaury świat ciągle musi marnować drzewa bez sensu. Choćby po to, aby nie okazało się, że wyślesz mi coś w formacie pliku, którego nie odczytam. Na szczęście poza Tobą reszta świata nie ma tutaj problemów. Dokument elektroniczny też można zabezpieczyć tak by wykluczyć próby modyfikacji (podpisy cyfrowe mają znaczniki czasu). Druga rzecz - na papierze widać modyfikację. Bzdura roku. Papierowe umowy można spokojnie antydatować, spróbuj to zrobić z podpisanymi dokumentami elektronicznymi. W przypadku sporu taki dokument można poddać oględzinom. A jeśli mój plik i pracodawcy plik różni się od siebie to dochodzenie, który jest "prawdziwy" może być trudniejsze. Jesteś w błędzie. Jeśli mam dokument podpisany 4 lata temu. To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie A kasy fiskalne działają bez prądu? A terminale płatnicze? A przelewy bankowe? Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych? Absolutnie nie. Dzięki temu oszczędzam pieniądze, a stosowne firmy to są duże molochy (Microsoft, Google i Amazon), które nie dość że spełniają o wiele bardziej restrykcje ustawy RODO/GDPR, to pozwalają mi oszdzędzać pieniądze, usprawniając jednocześnie dostęp do danych. Co więcej, te firmy mają na tyle pewne systemy, że korzystają z nich również rządy. Ty nie dość, że musisz wyszkolić pracowników na takim samym poziomie, to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami, które ja albo mam za darmo, albo płacę jakieś opłaty na poziomie 1/10 pensji minimalnej. Rocznie. Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje Kontraktorzy w tych firmach o których piszę zarabiają kilkukrotność średniej krajowej (mowa o branży IT). Tu masz przykładowe ogłoszenia: https://justjoin.it/offers/omega-senior-react-developer https://justjoin.it/offers/onwelo-s-a-java-developer-katowice W obu przypadkach można wybrać B2B i to daje więcej kasy niż "etat". Ale OK - masz rację. Wszak jednoosobowych działalności jest wiele - hydraulik, freelancer etc. nie potrzebuje przecież nic zabezpieczać. A nawet jak są jakieś dokumenty papierowe w obiegu, to nikt do takiej standardowej dokumentacji nie wymaga sejfu, wystarczy zwykłe zamykane pomieszczenie / solidniejsza szafa (nie musi być pancerna). [...] Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3. Obecnie zamiast kupować płyty, czy mp3 to się do tego ma dostęp w abonamencie. W chwili obecnej słucham przeciętnie 35 nowych utworów tygodniowo, co stanowi ok. 2 "albumy" tygodniowo, czyli ~8-10 miesięcznie. Oblicz sobie ile byś musiał na tyle wydać. Ja płacę niecałe 240 zł rocznie. Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą Nie ma takiej potrzeby. Jeśli natomiast będzie to szafa na ubrania, a klucz "uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy. W budżetówce na pewno, ale reszta świata sobie poradzi. Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30 Dokumenty księgowe nie wymagają pieczątki od co najmniej 2005 roku, czyli odkąd prowadzę rózne formy działalności. Jeszcze niedawno trzeba było oklejać go czasami znaczkami skarbowymi. Znaczki skarbowe wycofano w 2007, ale to była po prostu forma opłaty. Teraz to się robi albo przelewem, albo płatność kartą. Tak sobie myślę... Zadziwiająco mało elektronicznie dziś można załatwić, jak na ten poziom, który opisujesz. Zaświadczenia z ZUSu możesz dostać elektronicznie. Przez EPUAP możesz sobie zamówić druki i zaświadczenia, a także prowadzić korespondencję z urzędem. Na platformie rządowej możesz podpisywać dokumenty: https://www.gov.pl/web/gov/podpisz-dokument-elektronicznie-- -wykorzystaj-podpis-zaufany (m. in. tym podpisujesz sprawozdanie finansowe). Przykładowo w Idei musiałem kilkanaście razy pisać do nich z prośbą o zamknięcie konta (po tym jak 2 razy "papierowo" w oddziale zamykałem). To jest tak proste, że aż dziw, że na to nie wpadłeś. Nie mają interesu w tym by Ci ułatwiać zamykanie konta. To jest tylko ich zła wola, a nie uwarunkowania prawne. I nic... Dopiero za którymś tam razem zamknęli i... przysłali polecony z przeprosinami. ;-) W Citi zamknąłem kartę kredytową i konto wysyłając wiadomość w systemie transakcyjnym. W tymże samym Citi podpisałem umowę kredytową na dość konkretną kasę wyłącznie elektronicznie. Telewizor na raty też można kupić przez internet i podpisałem wszystkie dokumenty elektronicznie, w systemie banku. A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię, Co wynika? W latach 90-tych nie było firm poligraficznych i przedsiębiorcy nie wyrabiali pieczątek? Fakt, trzeba było mieć jakiś program do przygotowania wzoru (wtedy chyba z Corela), ale stworzenie kopii pieczątki po 89 roku, tni nie jest żadna sztuka. Mam sporo danych na dyskietkach, jeszcze więcej na płytach, trochę na kasetach VHS. Sęk w tym, że nie mam stacji dyskietek, CD-ROMu i magnetowidu. Ogrom materiałów tym samym przepadł. Widać ten ogram był mało istotny, bo przez długi czas można było przenosić dane z dyskietek na CD, a VHSy przegrywać na CD (były firmy które się tym zajmowały). Teraz już pewnie trudno kogoś takiego znaleźć. Ja mam jeszcze archiwalne pliki z czasów studiów, trzymam je we wpółczesnej chmurze. Koszt to jakieś $0.10 rocznie. Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia emerytury w formacie pliku, który okaże się nie do odczytania. No patrz, obecnie dokumentację ZUSowską prowadzi się wyłącznie elektronicznie (w płatniku) i nie trzeba niczego udowdaniać, poza wskazaniem podmiotu/podmiotów. Hasła do konta, czy sieci się nie trzyma na papierze. W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie nie drukuje się i nie przechowuje haseł na papierze, bo w razie skompromitowania systemu nie wiadomo kto tego nie dopilnował. Wystarczy dyski zaszyfrować i posiadać porządną politykę dot. Pamiętam. Mówi Ci coś takie słowo: biegły? Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być człowiekiem) przemawia niż tłumaczenie, że to Apple było i certyfikat. Opinia biegłego wystarczy. I nie będę się tłumaczył "że Apple", co więcej, w razie ewentualnych problemów można prześledzić kto miał dostęp do danych plików, czego nie jesteś w stanie zagwarantować w systemie "wkładam sobie cośtam do sejfu". Podobnie chyba "token zostawiłem w domu" jakoś pewniejsze się wydaje niż "mam, ale nie dam" w obliczu baseballa. Myślę, że jak nie dasz "i chuj", to też Ci te nogi tym baseballem może przetrącić. Chociazby po to byś go nie gonił, albo nie powiadomił policji za szybko. No i wracam do argumentu wyżej, prościej Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem Nikt tak nie robi. Zmieści się przecież na dysku. W co bardziej zabezpieczonych systemach nie podłączysz dysku zewnętrznego, ani nie wykręcisz dysku z komputera. Kombinuj dalej. [...] Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła, Nie. To już nie lata 90-te. chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem. Powyżej to tylko Twoje wyobrażenie na temat. Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę Na szczęście pracodawcy chcący zatrudnić specjalistę nie bawią się w cięcie akapitu na kawałki w celu udowodnienia swoich racji na grupie dyskusyjnej. Nie. Po prostu "firmy" się obejdą. Chyba, że: Współcześnie praktycznie nie ma takich firm, które to potrafią na dłuższą metę. Wlicz w to wszystkie firmy które mają kasy fiskalne i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS drogą elektroniczną. technologii. Resztę, to już sobie dorabiasz usiłując udowodnić Czyli masz ten ~2000 realych znajomych? Bo poniżej, to niezbyt statystycznie istotna wartość i żadnych wniosków na tej podstawie nie można wyciągnąć. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-18 19:24:48 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-17 o 16:26, Wojciech Bancer pisze:
Pięknie tłumaczysz likwidację tokenów, jednak biometria w bankowości W bankomatach. Z tego co pamiętam to niektóre banki spółdzielcze wprowadziły kilka lat temu. I na tym się skończyło. Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać Nie, to dużo prostsze. To nie prościej gwizdnąć "pacjentowi" kartę? Czy karty debetowe też Na przykład tak (z dziś)?: http://moto.pl/MotoPL/7,88389,25091243,byla-metoda-na-butelke-teraz-kradna-na-drut-policja-znowu.html Rzeczywiście masz rację - noszę kartę, z której korzystam. Drugą, z której nie korzystam - trzymam w sejfie. Nie oczekuję, że reszta świata... ;-) Każdy niech sobie robi, co uważa. Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku iPady, z których korzystałem miały 4-cyfrowy. Pominąłeś znów najistotniejszy aspekt - człowieka. Ten dąży do ułatwiania sobie życia. Proponujesz mi kolejne hasła, zabezpieczenia itd. Nie tędy droga. Jeśli za pośrednictwem komórki w ogóle mogę się zalogować Być może dla Ciebie bandytyzm jest "wesoły". Powiedzmy, że jednak nieco innymi kategoriami moralnymi się kierujemy. Przestępcy korzystają często ze słupów. Wątpliwe czy robiliby przelew na swoje konto. To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty. Zazwyczaj jest dość istotna różnica między stanem konta osoby zamożnej/dużej firmy, a limitem wypłaty w bankomacie jeśli chodzi o kartę. Nie moja wina, że masz taki archaiczny sprzęt, który wymusza wpisywanie Na szczęście Apple się o to troszczy. Dziś znowu afera - tym razem o baterie. Apple w styczniu 2018 roku wprowadziło do iOS dość niespotykaną, a bardzo przydatną opcję - wskaźnik zużycia baterii. Było to pokłosie sporej afery z 2017 roku, gdy okazało się, że firma celowo obniża wydajność smartfonów. Teraz Apple postanowiło zabrać w sprawie głos. Firma tłumaczy, że robi to z troski o kwestie bezpieczeństwa naszych iPhone'ów. Informacje te służą ochronie naszych klientów przed uszkodzonymi, złej jakości lub zużytymi akumulatorami, które mogą prowadzić do problemów z bezpieczeństwem lub wydajnością. -- -- -- -- -- - Czy jako ekspert od bezpieczeństwa mógłbyś mi wyjaśnić jak akumulator może wpływać na bezpieczeństwo (danych - jak rozumiem)? I sądzę, że aby cokolwiek naprawić trzeba mieć jednak dostęp OK. Przyznaję, że nie słyszałem, aby Windows posiadał tryb diagnostyczny pozwalający na pełen dostęp do urządzenia bez dostępu do danych użytkownika. Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na Rzadko kiedy komp się wiesza w stanie wyzerowanym. ;-) Masz problem ze zrozumieniem zdania poniżej (cyt. "Istotne hasła _firmowe_ Nie zrozumiałeś. OK - łatwiej - są instytucje, które muszą mieć dostęp o najwyższym priorytecie nawet wówczas, gdy zabraknie tych "kilku osób". Nie ma potrzeby dawania dostępu do FB, ani w celu zamknięcia konta w banku, Istnieje dość istotna różnica w czasie między zalogowaniem się od razu a... kiedyś tam, np. po dostarczeniu stosownych dokumentów. To kwestia bezpieczeństwa - takie martwe konta mogą zostać przejęte z różnych powodów. Niekoniecznie przygodny. Własny komputer w pracy ciężko nazwać O ile Ty i tylko Ty z niego korzystasz. Zdarza się, iż wiele osób z niego korzysta. Także tych o wyższych uprawnieniach. No i tylko przez to, że istnieją takie dinozaury świat ciągle Z drugiej strony nie będzie już rękopisów chociażby dzieł literatury. Co więcej - charakter pisma zdradza też wiele informacji o człowieku. Zatem z punktu widzenia kultury i sztuki to wątpliwej jakości "sukces". Choćby po to, aby nie okazało się, że wyślesz mi coś w formacie pliku, Tradycyjnie się mylisz. Brak kompatybilności to potężny problem. Nawet w obrębie jednego systemu (np. MS Office - Libre Office), a nawet jednego pakietu (MS Office w różnych wersjach). Doprawdy nie zdarzyło Ci się nigdy zauważyć, jak dokument się "rozjechał" lub w ogóle nie odtworzył na różnych komputerach? Druga rzecz - na papierze widać modyfikację. Mam wątpliwość czy każdy dokument elektroniczny, który dostaję ma podpis. Rzekłbym nawet, iż 99% z nich nie ma. Czy dasz radę antydatować swój dyplom? Wątpię. Po przeniesieniu go do komputera - żaden problem. Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych? W przypadku Apple'a to bardzo wątpliwa teza. Tajemnicą Poliszynela jest, że ich pomysły okraszone bełkotem o bezpieczeństwie sprowadzają się do korzystania z autoryzowanych serwisów. Oczywiście droższych. a stosowne firmy to są duże molochy (Microsoft, Google i Amazon), które nie dość że Czyli dyski sieciowe nie mają sensu? Czy dostęp do danych jest "usprawniony" to wątpię. Chociażby bez Internetu praca z dokumentami Google jest niemożliwa, a i w przypadku posiadania dostępu także niezbyt przyjemna. ;-) Natomiast rzecz najistotniejsza - wrzucając dokument do chmury nigdy nie wiesz kto i jak z niego korzysta. Restrykcje mówisz... I tylko raz na jakiś czas kolejna afera, gdzie oczywiście użytkownik jest winny. ;-) Co więcej, te firmy mają na tyle pewne systemy, że korzystają z nich Ciekawa teza. Zupełnie nie rozumiem po co Clinton miała jakieś tam serwery w domu, skoro Google jest takie pewne ;-) Ty nie dość, że musisz wyszkolić pracowników na takim samym poziomie, Nie, nie trzeba. To łatwo zrozumieć... Nie włamiesz się do czegoś, co nie jest podłączone do sieci, a tym bardziej do prądu. Jeśli mam swój dysk to dostęp do niego mam ja. Jeśli wrzucam coś gdzieś tam - zawsze zwiększam ryzyko kradzieży. Już. Koniec szkolenia. Praktyczna realizacja: gdy zrobisz sobie nagą fotkę aparatem cyfrowym i będziesz ją trzymał na karcie SD - może być w sejfie ;-) - szanse na jej upublicznienie są żadne. Jeśli ją wrzucisz do telefonu/komputera nie podłączonego do sieci, "bezpiecznego" - nadal szanse są małe. Jeśli jednak wrzucisz ją do sieci - jak to mówią - "w sieci nic nie ginie". Ryzyko się zwiększa. Jeśli jesteś osobą publiczną to straty z powodu kradzieży takiej fotki mogą być gigantyczne (straty wizerunkowe). Machanie Applem, certyfikatem, czymś tam nie ma żadnego sensu. to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami, Dysk zewnętrzny nie jest drogi. Sęk w tym, że gdy Ty się już uzależnisz od innych to wówczas okres "promocji" może się skończyć i firma X zacznie Ci windować ceny. Zatem ja płacę 1/10 pensji minimalnej o sam zarządzam danymi, Ty płacisz tyle samo i... nie wiesz kto zarządza danymi. Google ;-) Czyli kto? Gdzie? Pod jakie prawo podlegający itd.? A nawet jak są jakieś dokumenty papierowe w obiegu, to nikt do takiej Tak, oczywiście masz rację - w przypadku hydraulika czy masażysty, jak pisałeś. Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż Obecnie tak. Pytanie co za 20 lat? Prócz mp3 były inne formaty przechowywania dźwięku. Przepadły... A wraz z nimi ów zapis. W obrębie mp3 swego czasu 128 kbps uznawano za jakość CD. Dziś to trochę mało. Sęk w tym, iż przy stratnej kompresji nie da się jakości odzyskać. To samo z filmem. W chwili obecnej słucham przeciętnie 35 nowych utworów tygodniowo, co stanowi ok. 2 "albumy" tygodniowo, czyli Dostałem właśnie niedawno płytę z osobistą dedykacją. Mam ją przenieść do mp3? Jak? Autograf w formie cyfrowej ma chyba trochę mniejszą wartość kolekcjonerską niż na papierze, prawda? Gwarantujesz, że za X lat mp3 z tej płyty nadal będzie do odtworzenia? Bo i ile unikatowe albumy (np. winyle) są w cenie, o tyle jeszcze nie słyszałem o kolekcjonerskich walorach mp3, pdf czy jpg. Jeśli natomiast będzie to szafa na ubrania, a klucz Jeszcze w poważnych firmach i - powiedzmy - indywidualnych przypadkach. Zaświadczenia z ZUSu możesz dostać elektronicznie. To po co wysyłają 13 mln listów rocznie z informacją o składkach i prognozą emerytury? ;-) Przykładowo w Idei musiałem kilkanaście razy pisać do nich z prośbą Zwróciłeś jednak uwagę, że papier ma większą moc prawną niż elektroniczny dokument, prawda? Jeszcze gorzej ma się sprawa z call center. Udowodnienie czegoś bankowi, gdy się korzystało z tej usługi jest trudne. Bank ma łatwiej (nagrywanie rozmów), ale też kwestie interpretacyjne bywają sporne. Mam wrażenie, iż to jest tak: telefon -- -> mail -- -> pismo. Gradacja "ważności". To czego się nie dało załatwić na telefon daje mailem, a już zupełnie przybiera formę oficjalną, gdy zostaje dostarczone poleconym. W Citi zamknąłem kartę kredytową i konto wysyłając wiadomość w systemie Ale to banały. Głupstwa, które nie spowodowały żadnego konfliktu. Zostałeś wezwany poleconym (a jakże) w charakterze świadka na rozprawę. Wyślesz SMS, mail czy pismo z prośbą o zmianę terminu? We Wrocławiu znajduje się muzeum Pana Tadeusza... Może zaproponujesz im przeniesienie rękopisu do chmury Google'a i zniszczenie oryginału? ;-) Mam sporo danych na dyskietkach, jeszcze więcej na płytach, trochę To już nieistotne kto zawiódł. Materiał przepadł. Podczas, gdy foto papierowe potrafi trwać i 100 lat. bo przez długi czas można było przenosić dane z dyskietek na CD, a VHSy przegrywać Można. Sam widzisz jak niebezpiecznie jest polegać jedynie na formie cyfrowej. Co ciekawe - 20 lat temu zrobiona fotka, zeskanowana byłaby fatalnej jakości dziś (rozdzielczość, kompresja itd.). Podobnie jak fotka zrobiona ówczesną cyfrówką. To samo z filmami. Może w mp3 byłoby lepiej, ale też bez rewelacji. Jednocześnie odbitka fotograficzna, film oparty na "analogowym" modelu czy winyl/CD miałyby wartość także i dziś. Jakieś wnioski? Teraz już pewnie trudno kogoś takiego znaleźć. Ja mam jeszcze archiwalne No ja mam zbyt poważne dane, aby powierzać je komukolwiek. Chmurę mam za darmo, ale tylko mało istotne dane tam wrzucam. Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia Dziś. Ale już gdy obliczano kapitał początkowy parę lat temu to ZUS nie był taki nowoczesny i kazał sobie przysyłać świadectwa pracy czy tam inne dowody. Na papierze. Oryginały ;-) Teraz pytanie - co będzie za X lat, szczególnie iż mam wrażenie, że to raczej im trzeba będzie udowadniać, a nie odwrotnie. ;-) W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie Dziwna koncepcja. Parę lat temu media pisały, iż recepturę Coca-coli zna 2 ludzi. Ich życie jest obwarowane szeregiem procedur. Pamiętam, iż np. nie mogli w tym samym czasie latać tym samym samolotem, mieli zakaz uprawiania sportów ekstremalnych itd. Potem Coca-cola odpuściła. Mogli żyć już "normalnie". Dlaczego? Recepturę zamknięto w sejfie. Czy to powoduje, że "skompromitowanie" coca-coli powoduje, że nie wiadomo kto się... ją... skompromitował? ;-) Pamiętam. Mówi Ci coś takie słowo: biegły? Tak. Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być Niestety nie. To tylko opinia. Do której są może się przychylić lub nie. W kwestiach spornych czy interpretacyjnych opinie mogą się różnić. I nie będę się tłumaczył "że Apple", co więcej, w razie ewentualnych problemów można prześledzić kto Wprost przeciwnie. Do sejfu mają dostęp konkretne osoby. Do danych w chmurze ma dostęp wiele osób. Pamiętam, jak swego czasu Paweł Wimmer na łamach "PC Kuriera" bardzo ciekawy artykuł napisał na temat pomyłek komputerów. To były czasy, w których różne niepowodzenia zrzucano na komputer. Ot - komputer się pomylił i wystawił zła fakturę. Albo pomylił kursy walut itd. Wimmer porównał wówczas tę sytuację do analogowego dyktafonu. Grzmiał, że przecież żaden dziennikarz nie powie, że dyktafon mu pomylił zapis rozmowy. Gdy dziennikarz mówi do mikrofonu "Prawda" to dyktafon nagrywa to słowo, a nie "Fałsz". Dziś już nikt nie powie, że "komputer się pomylił", ale dużo zwala się na hakerów (słusznie lub nie). Niektórzy twierdzą, że hakerzy potrafią mieć wpływ nawet na wybory i to wcale nie w republikach bananowych. Rozważ sobie w tym kontekście które dane są bardziej narażone na ataki: te na kartce w sejfie czy te udostępnione w sieci. Ależ nie. Włożę gotowy materiał nagraniowy do sejfu. Mylisz się. Tarantino trzymał scenariusz swojego nowego filmu w sejfie, aby zapobiec wyciekom!Każdy pewnie pamięta sławny incydent, który okrył reżysera prawdziwą niesławą, a mianowicie chodzi o wyciek scenariusza Nienawistnej ósemki w styczniu 2014 roku. Quentin Tarantino postanowił wyciągnąć z tego wydarzenia prawdziwą lekcje życia.Jak twierdził sam reżyser, w tamtym czasie do scenariusza miała dostęp garstka jego najbliższych współpracowników, co skłoniło go początkowo do ogłoszenia rezygnacji z projektu. W paru wywiadach zwierzył się dziennikarzom, jak dotkliwie sytuacja ta wywarła negatywny wpływ na jego samopoczucie i psychikę. Tarantino ostatecznie zmienił zdanie i postanowił uczyć się na swoich błędach, co widać w jego podejściu do swojej pracy twórczej w nadchodzącej produkcji Pewnego razu... w Hollywood. Gdy byliśmy w biurze produkcyjnym, poszliśmy do pokoju z dopisanym zakończeniem i razem ze scenariuszem zabranym z sejfu przekazaliśmy go tylko tym osobom, od których wymagał wykonywania niezbędnych zadań. powiedział w jednym z wywiadów Robert Richardson Po prostu nie miałeś przygody, która by Cię skłoniła do pewnych działań. Obyś nigdy nie miał. Tu masz ofertę firmy na produkty, których nikt nie potrzebuje/nikt nie kupuje: https://www.hartmann-tresore.pl/sejfy/sejf-na-nosniki-danych/ Zmieści się przecież na dysku. Coś chyba znowu nie zrozumiałeś. Po co blokować w ten sposób komputer? Współcześnie praktycznie nie ma takich firm, które to potrafią Czasami nie jest to kwestia "dłuższej mety", a ciągłości działania. Wlicz w to wszystkie firmy które mają kasy fiskalne i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS Była awaria - będzie tolerancja odnośnie terminów. To głupstwo. Tak jak chwilowy brak rzodkiewki na targu nie jest problemem. Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski Nie potrzeba aż tylu. Zazwyczaj grupa reprezentatywna w badaniach to ok. 1000 osób. Bo poniżej, to niezbyt statystycznie istotna wartość i żadnych Nie masz racji. To jakiś standard w Twoich wypowiedziach? Zazwyczaj badania opierają się o dwukrotnie niższą grupę badanych. Oczywiście kluczowy jest tu dobór osób. Niemniej - im więcej tym pewniejszy wynik. |
|
| Data: 2019-08-18 21:45:03 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Szymon <z@wp.pl> writes:
iPady, z których korzystałem miały 4-cyfrowy. Podstawowa różnica pomiędzy 4- i 6-cyfrowymi PINami jest taka, że w pierszym przypadku statystycznie 0,01% PINów zostanie złamanych w pierwszej próbie (to dość dużo), a w drugim - 0,0001% (to już jest przypuszczalnie wartość normalnie akceptowalna, poza nielicznymi przypadkami niewątpliwie). No i może ma to znaczenie, gdyby ktoś chciał atakować taki PIN mozolnie godzinami walcząc z telefonem (tak jak 3-cyfrowe kłódki, tylko oczywiście dłużej). Normalnie jednak różnica jest nieistotna. -- Krzysztof Hałasa |
|
| Data: 2019-08-19 14:40:24 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Krzysztof Halasa" napisał w wiadomości grup dyskusyjnych:m3lfvql0lc.fsf@pm.waw.pl...
Szymon <z@wp.pl> writes: iPady, z których korzystałem miały 4-cyfrowy. Podstawowa różnica pomiędzy 4- i 6-cyfrowymi PINami jest taka, że Owszem, ale ... zakladamy, ze ktos ukradnie 10 tys iphonow, zeby zlapac dostep do konta ? Czy ze kazdy zlodziej od razu sprobuje losowej kombinacji ... no i to jest ry No i może ma to znaczenie, gdyby ktoś chciał atakować taki PIN mozolnie Na to sa chyba dodatkowe zabezpieczenia. Ale moze do obejscia. J. |
|
| Data: 2019-08-20 00:08:42 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Owszem, ale ... zakladamy, ze ktos ukradnie 10 tys iphonow, zeby To po prostu różnica między tymi PINami, wnioski nie do mnie należą :-) -- Krzysztof Hałasa |
|
| Data: 2019-08-18 23:16:31 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-18, Szymon <z@wp.pl> wrote:
[...] Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać Mylisz się. na dłuższe niż 4-cyfrowe PINy) + maziane znaki lub biometrykę. A od iOS9 mają 6-cyfrowy. Więc inny niż na karcie. Pominąłeś znów najistotniejszy aspekt - człowieka. Ten dąży do ułatwiania sobie życia. Proponujesz mi kolejne hasła, zabezpieczenia itd. Nie tędy droga. Nic Ci nie proponuję, Ty masz sejf i swoje dziwactwa. Skupiam się głównie na prostowaniu fałszywych twierdzeń, które produkujesz ze względu na swoją niewiedzę. [...] Przestępcy korzystają często ze słupów. Wątpliwe czy robiliby przelew na swoje konto. Ci co napadają rabunkowo przypadkowych, obserwowanych przechodniów nie mają "kont na słupa". Nie ta liga i nie ten level. To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty. Aplikacje mobilne mają nałożone większe limity, które dużo ciężej zmienić, więc pudło. Nadal czekam na jakiś realny scenariusz. [... ciach dygresja o bateriach nie na temat ...] To źle sądzisz. Trzeba mieć dostęp do trybu diagnostycznego. Jak masz laptopa bez CD, to ma zazwyczaj ukrytą partycję z systemem operacyjnym. Na tej partycji jakieś podstawowe narzędzia diagnostyczne też się zapewne znajdują. [...] Nie zrozumiałeś. OK - łatwiej - są instytucje, które muszą mieć dostęp o najwyższym priorytecie nawet wówczas, gdy zabraknie tych "kilku osób". Wymień te instytucje i podaj podstawę prawną. Oczywiście przypominam, że nie rozmawiamy o budżetówce. Do innych usług też nie. Bitcoina nie posiadam. Wymyślasz. Udostępnianie innym swojego hasła do FB jest poważnym naruszeniem zasad bezpieczeństwa. Na szczęście poza Tobą reszta świata nie ma tutaj problemów. Znowu wymyślasz. Od 1993 roku istnieje PDF. W 2007 specyfikacja jest dostępna w ramach ISO. Powtórzę: reszta świata ogarnęła. to są duże molochy (Microsoft, Google i Amazon), które nie dość że Oferują znacznie niższy poziom bezpieczeństwa i niezawodności niż rozwiązania chmurowe. [...] najistotniejsza - wrzucając dokument do chmury nigdy nie wiesz kto i jak z niego korzysta. Jak skorzystam z odpowiednich usług to wiem. Proszę, albo doczytaj, albo przestań się wypowiadać na temat którego nie ogarniasz. [...] Nie, nie trzeba. Może faktycznie jak masz ten warzywniak o którym tak drałujesz. Cokolwiek większe przedsiębiorstwa niestety mają dane dostępne online i nie jest dla nich opcją wsadzenie czegoś do sejfu, bo jakiś pracownik nie ogarnia rzeczywistości XXI w. [... ciach jakieś dywagacje nie na temat ...] to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami, Ale jest powolny, zawodny i nie można ustalić kto z niego korzystał. [... ciach kolejne wyobrażenia nt. dyski zewnętrzne vs chmura ...] Doczytaj jak nie wiesz. Nie chce mi się Ciebie edukować, bo i tak wiesz swoje, więc doczytaj sobie w innych źródłach. [... ciach żale o nieumiejętności przenoszenia danych ...] Jeśli natomiast będzie to szafa na ubrania, a klucz Wbrew pozorom poważne firmy się nie zatrzymały w latach 90-tych, więc Ty o nich już dawno przestałeś pisać. Zaświadczenia z ZUSu możesz dostać elektronicznie.To po co wysyłają 13 mln listów rocznie z informacją o składkach i prognozą emerytury? ;-) Bo mają obowiązek ustawowy. To jest tak proste, że aż dziw, że na to nie wpadłeś. Papierowe sprawozdanie finansowe nie ma żadnej mocy prawnej, a te w JPK i owszem. [... ciach dygresja o call center ...] Zostałeś wezwany poleconym (a jakże) w charakterze świadka na rozprawę. Wyślesz SMS, mail czy pismo z prośbą o zmianę terminu? Wyślę to na co pozwala ustawa. W e-sądzie ustawa pozwala wysłać pozew elektronicznie. [...] No patrz, obecnie dokumentację ZUSowską prowadzi się wyłącznie Tak, dziś, w 2019 roku, a nie 1995. Ale już gdy obliczano kapitał początkowy parę lat temu to ZUS nie był taki nowoczesny i kazał sobie przysyłać świadectwa pracy czy tam inne dowody. I często się okazuje że ten Niezawodny Papier nie przetrwał. W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie Z podstaw bezpieczeństwa. [... ciach kolejne dywagacje nie na temat o coca-coli...] Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być Tak. w systemie "wkładam sobie cośtam do sejfu". Ależ oczywiście. [... dygresja o Pawle Wimmerze znowu nie na temat ...] Mylisz się.Ależ nie. Włożę gotowy materiał nagraniowy do sejfu.Nikt tak nie robi. Nie. [...] reżyser, w tamtym czasie do scenariusza miała dostęp garstka jego najbliższych współpracowników, co skłoniło go początkowo do ogłoszenia rezygnacji z projektu. [...] Widzisz, garstka osób, a nie wiadomo kto spowodował "wyciek". Zapewne ktoś z tej garstki. W paru wywiadach zwierzył się dziennikarzom, jak dotkliwie sytuacja ta wywarła negatywny wpływ na jego samopoczucie i psychikę [...] To że ktoś ma nieleczoną paranoję i urazy z przeszłości nie znaczy że wymyśla najlepsze rozwiazania na dany problem. Powtarzam, świat to ogarnął w ogólności dużo lepiej. zewnętrznego, ani nie wykręcisz dysku z komputera. Kombinuj Bo takie są wymogi bezpieczeństwa. Nie w warzywniaku, czy w szkole podstawowej, ale w miejscach gdzie przyjęto że np. do wycieku może doprowadzić przekupiony pracownik. I niestety wtedy sejf Ci nie pomoże, a wyizolowana sieć (tak, można taką mieć w internecie) w której logowane są wszystkie akcje użytkownika i owszem. Spróbuj np. coś wpiąć do komputera w sieci wewnętrznej banku. i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS Takie "głupstwo" jak szpital też bez prądu nie uciągnie. Nie dłużej niż 1 dzień, a przez ten 1 dzień to nie dlatego że nie mają prądu, tylko dlatego że mają agregaty zapasowe. Zasadniczo poważna firma w dzisiejszych czasach nie będzie działać bez prądu, za to może zainwestować w awaryjne źródła, żeby być odpornym krótkoterminowo. Czyli masz ten ~2000 realych znajomych? Czyli masz ~1000 znajomych? [... ciach nieistotna dygresja nt. statystyki ...] -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-19 09:51:53 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-18 o 23:16, Wojciech Bancer pisze:
iPady, z których korzystałem miały 4-cyfrowy. Stoi przede mną iPad. Wersja oprogramowania 12.3.1. Wchodzę ustawienia/kod/włącz kod/ustaw kod. Chce 4 cyfr. Żądasz ode mnie, abym zaprzeczał rzeczywistości, którą widzę i czuję (mam w rękach). Aplikacje mobilne mają nałożone większe limity, które dużo ciężej zmienić, Limit karty Millenium: 10.000 Limit przelewu Millenet: 50.000 Limit mobilny: 80.000 (?) - chyba, nie korzystam. Założyłem, że więcej można stracić w wyniku przelewu niż kradzieży karty. Tzn. dla mnie 50.000 to więcej niż 10.000. Swego czasu niektóre banki ubezpieczały klienta od rabunku gotówki podczas wypłaty z bankomatu. Dziwnie byłoby ubezpieczać od sytuacji, które nigdy nie istniały. [... ciach dygresja o bateriach nie na temat ...] Znowu nie widzisz analogii? Jak masz laptopa bez CD, to ma zazwyczaj ukrytą partycję z systemem operacyjnym. Mam laptopa bez CD i nie mam ukrytej partycji z systemem operacyjnym. Sprzęt miał wymieniany dysk i nie miał żadnego systemu w momencie kupna. Na tej partycji jakieś podstawowe narzędzia diagnostyczne też się zapewne Nie takiego nie ma. W przypadku stacjonarnych także nic takiego nie odnalazłem. Wymień te instytucje i podaj podstawę prawną. Oczywiście przypominam, Było wielokrotnie. Istnieje dość istotna różnica w czasie między zalogowaniem się od razu Doprawdy? Dziwne musisz mieć relacje z rodziną. ;-) Tradycyjnie się mylisz. Brak kompatybilności to potężny problem. Sęk w tym, że w pdf nie da się trzymać wszystkiego. W 2007 specyfikacja jest dostępna w ramach ISO. pdf prawie, bo niektóre programy antywirusowe mogą być tak ustawione, aby nie otwierać pdf. Tak to "ogarnięcie" wyglądało w 2011: Banki ostrzegają przed nową odmianą wirusa Zeus. Za pomocą e-maila i pliku w formacie PDF złodzieje mogą wykraść loginy i hasła m.in. do systemu bankowości elektronicznej. Z przyjemnością dowiem się jak zarazić wirusem kartkę papieru. Tymczasem jest jeszcze szereg różnych innych plików, które stanowią problem z kompatybilnością. Wspominałem o najpopularniejszych pakietach biurowych, a nie pdf. Czyli dyski sieciowe nie mają sensu? OK - nie żebym zamawiał na Interii artykuł, ale z dziś: Trzy czwarte firm wraca z chmury publicznej do prywatnej Spośród 350 ankietowanych firm, aż 74 proc. dokonało migracji aplikacji do chmury publicznej, a następnie - z różnych powodów i okoliczności - zdecydowało się przenieść ją z powrotem do infrastruktury lokalnej lub prywatnej chmury. Dla przykładu, 40 proc. respondentów zauważyło, że w niektórych przypadkach wdrożenia w chmurze, które trafiły z powrotem do lokalnej infrastruktury, miały charakter tymczasowych. Może to wynikać z różnych czynników, takich jak potrzeba przeprowadzenia chwilowej migracji środowiska IT w związku z przejęciem firmy lub jej połączeniem z inną. Istnieje jednak wiele innych wskazywanych przyczyn, jak obawy dotyczące bezpieczeństwa (!!! - przyp. mój), konieczność zmiany modelu zarządzania kosztami, niska lub nieprzewidywalna wydajność zasobów w chmurze, zmieniające się przepisy, konieczność opracowywania nowych aplikacji i zmian w już użytkowanych. Zarządzanie i bezpieczeństwo - to dwa aspekty, o których nie można zapominać przy podejmowaniu decyzji o migracji do kilku środowisk chmurowych. Tradycyjnie największym wyzwaniem będzie zapewnienie bezpieczeństwa, z przenoszeniem aplikacji i zapewnianiem usług DevOps branża IT nauczyła się już sobie radzić. -- -- -- -- -- -- I co teraz kolego? Nie na temat, nie zrozumiałeś, nie znają się czy lata 90.? ;-) Proszę, albo doczytaj, albo przestań się wypowiadać na temat Czytam. Jak widzisz codziennie można znaleźć teksty dot. tez, które stawiam. Nic nowego - są powszechnie dostępne. A propos działalności gospodarczej. Dziś w Bankierze był odnośnik do tekstu o konstytucji dla biznesu. A tam wypowiedź ministra: Tłumaczył, że "działalność gospodarcza to prowadzenie działalności zarobkowej w sposób zorganizowany i ciągły". W praktyce - jak mówił - definicja ta rodzi sporo problemów. "Bo jeśli ktoś w jednym tygodniu sprzeda trzy produkty, w kolejnym tygodniu - cztery, a później przez kilka tygodni nic nie sprzeda, to pojawia się pytanie, czy prowadzi działalność gospodarczą, czy nie prowadzi działalności gospodarczej? Ludzie często tego nie wiedzą i z ostrożności nie decydują się na taką dodatkową działalność" - opisywał. -- -- -- -- -- -- Próbowałem Ci wytłumaczyć jakiś czas temu na czym polegają kłopoty ze zdefiniowaniem DG. Ty - oczywiście - wiedziałeś lepiej. Może powinieneś pracować w ministerstwie? Skoro wiceminister Haładyj "nie ogarnia". ;-) Może faktycznie jak masz ten warzywniak o którym tak drałujesz. Ja? Czyżby znowu projekcja? Cokolwiek większe przedsiębiorstwa niestety mają dane dostępne online Mylisz dwie rzeczywistości. Online i offline. To że np. policja ma swoją stronę i udostępnia pewne rzeczy online nie oznacza, że nie posiada sejfu/kasy i nie ma konieczności chronienia np. materiałów ściśle tajnych. [... ciach jakieś dywagacje nie na temat ...] Zawsze mogę wytłumaczyć, skoro nie poradziłeś sobie ze zrozumieniem. Dysk zewnętrzny nie jest drogi. I pewnie dlatego 3/4 firm wraca z chmury publicznej na prywatną. [... ciach kolejne wyobrażenia nt. dyski zewnętrzne vs chmura ...] To nie jest kwestia doczytania. Ani edukacji. Po prostu faktów. Widzę iPada, który chce 4-cyfrowy PIN, a Ty mi tłumaczysz, że chce 6. Widzę komputer bez ukrytych partycji, a Ty twierdzisz, że jest inaczej... Piszę o czymś, o czym za kilka dni pisze np. Interia czy Bankier powołując się na ekspertów, badania, ale Ty wiesz lepiej. Dziwna sytuacja... [... ciach żale o nieumiejętności przenoszenia danych ...] W żadnym miejscu nie było o kłopotach z przenoszeniem danych. Coś nie zrozumiałeś znowu... Jeszcze w poważnych firmach i - powiedzmy - indywidualnych przypadkach. Jakiś przykład? Do tej pory wskazałeś jedną firmę, która wykluczyła papier i sejf z obrotu - swoją. Usługi IT. W jakimś biurze. Której nie przeszkadza wstrzymanie działalności np. z powodu braku prądu. Po przeciwnej stronie są miliony pracowników z różnych branż, ale tu wszystko negujesz, bo urząd, bo służba, bo oświata, bo sądownictwo, bo coś tam... Gdy już zostaje poziom warzywniaka to piszesz o poważnych firmach. ;-) Zaświadczenia z ZUSu możesz dostać elektronicznie.To po co wysyłają 13 mln listów rocznie z informacją o składkach i Ja nie dostaję. Zatem łamią prawo? Może wysłali mi elektronicznie i nie dotarło. ;-) Zostałeś wezwany poleconym (a jakże) w charakterze świadka na rozprawę. Jest pewna różnica między pozwem, a prośbą o zmianę terminu czy usprawiedliwieniem stawiennictwa. Przewodniczący sejmowej komisji ds. VAT twierdzi, że nie otrzymał usprawiedliwienia nieobecności Donalda Tuska przed komisją. Pełnomocnik byłego premiera w odpowiedzi upublicznił dowód nadania pisma z piątkową datą i sugeruje powolne działanie Poczty Polskiej. Będący pełnomocnikiem Donalda Tuska Roman Giertych zapewnił z kolei, że pismo z usprawiedliwieniem nieobecności byłego premiera RP wysłał w piątek. Pokazał zdjęcie potwierdzenia nadania. -- -- -- -- -- -- Już widzę jak Giertych machałby iPhonem dowodząc, że wysłał mailem czy tam na chmurę wrzucił. ;-) Z podstaw bezpieczeństwa. Ale tego też nie zrozumiałeś??? Nie wierzę. Sądzę, że to już bicie piany. Przykład Coca-coli był typowym przykładem ukazującym dlaczego pewne dane są trzymane w sejfie. Opinia biegłego wystarczy. Haha... Jak z gimbazą: - nie, bo nie. - Tak, bo tak. OK. Wydawało mi się oczywiste, ale OK. Otóż kolego opinie bywają różne, często wykluczające się nawzajem. Bowiem to... opinie. A zatem nie fakt lecz przekonanie. W przypadku np. problemów z zakresu psychiatrii powołuje się zespół biegłych. Bywa, iż ekspert obrony i oskarżenia mówi co innego. Jeśli nadzieja w biegłym przy wycieku danych to... powodzenia. reżyser, w tamtym czasie do scenariusza miała dostęp garstka jego Trzymał pewnie w wersji elektronicznej, więc nie wiadomo. W paru wywiadach zwierzył się dziennikarzom, jak dotkliwie sytuacja A często Ci się wydaje, że jesteś reprezentantem ogółu ludzkości? Masz jakieś preferencje w stylu: dziś bardziej identyfikuję się z Koreańczykami, a wczoraj z Amerykanami, czy też każdego dnia dotyka Cię poczucie transcendencji w ujęciu globalnym? Coś chyba znowu nie zrozumiałeś. Po co blokować w ten sposób komputer? Dość to idiotyczne, nie sądzisz? Mam sam sobie zablokować USB, bo takie są wymogi? Nie w warzywniaku, czy w szkole podstawowej, ale w miejscach Ty jednak nie masz pojęcia o czym piszesz. Byłeś kiedyś w studio nagraniowym? Odwiedź chociaż i zapytaj ludzi jak się tam pracuje. Kto ma dostęp, jak wygląda nagranie, co się dzieje z materiałem, jakie są warunki wynajęcia. I niestety wtedy sejf Ci nie pomoże, a wyizolowana sieć (tak, Nie masz racji albo nie zrozumiałeś idei sejfu. Spróbuj np. coś wpiąć do komputera w sieci wewnętrznej banku. Ja o danych unikatowych, a Ty znów o marchewce. Teza jakoby bank nie posiadał sejfu jest dość... hmmm... nie zapędziłeś się? Była awaria - będzie tolerancja odnośnie terminów. To głupstwo. Tak jak A takie rzecz jak plany ewakuacyjne czy różnego rodzaju instrukcje to - według Ciebie - też są trzymane jedynie w chmurze czy jednak drukowane, a wręcz przyczepiane/naklejane np. na stosownych urządzeniach? Nie dłużej niż 1 dzień, a przez ten 1 dzień to nie dlatego że Znowu o marchewce. Instrukcję obsługi defibrylatora masz w formie papierowej czy do ściągnięcia w pdf? Zasadniczo poważna firma w dzisiejszych czasach nie będzie działać Zdecydowanie mamy różną definicję "poważnej firmy". Nie potrzeba aż tylu. A twierdziłem, że przeprowadzałem badanie statystyczne czy, że moja grupa jest bardziej (!) reprezentatywna niż Twoja? [... ciach nieistotna dygresja nt. statystyki ...] Wszystko, co nie wpisuje się w Twój punkt widzenia jest nieistotne. ;-) Wygodna koncepcja. |
|
| Data: 2019-08-19 11:16:44 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-19, Szymon <z@wp.pl> wrote:
W dniu 2019-08-18 o 23:16, Wojciech Bancer pisze: Wzdech. Jak dziecku "ja mam tak, to wszyscy na świecie też". Jak masz stary sprzęt, o przecież Ci samoczynnie pinu nie zmienią. Przy którejś aktualizacji system pytał o zmianę passcode. Jak to olałeś, to Ci został 4-cyfrowy, którego można zmienić, ale trzeba to zrobić samemu. Nowe domyślnie mają 6-cyfrowy PIN. Aplikacje mobilne mają nałożone większe limity, które dużo ciężej zmienić, w mBanku to 600 zł, w PKO to 3000 zł, a w Aliorze/PeKaO 10k. Na kartach możesz albo dużo więcej, albo tyle samo. Ale jak zwykle jesteś wzorcowym Polakiem, masz swoją gablotkę w Sevres i zakładasz, że wszyscy mają tak jak Ty. :) Jak masz laptopa bez CD, to ma zazwyczaj ukrytą partycję z systemem operacyjnym. Dobrze, uściślę: jak nie będziesz miał składaka, to na 90% będziesz miał taką partycję, chyba że ją sobie wyawlisz. I firmowy serwis z niej skorzysta. Serwisy zewnętrzne dla składaków dysponują swoimi live cd/usb z narzędziami diagnostycznymi, tak jak dysponują własnymi śrubokrętami. Dostęp do Twoich danych im w każdym razie nie jest potrzebny. Wymień te instytucje i podaj podstawę prawną. Oczywiście przypominam, Nie było. Nie żyjemy w PRLu, żeby każdemu urzędnikowi było wolno wszystko co sobie zamarzy. [...] A dalej to mi się już odechciało. Za dużo anegdotek plotkarskich, a za mało Twojej własnej argumentacji. Do swojej argumentacji Cię nie przekonam, Ty mnie do swojej też nie, zwłaszcza cytatami o coca coli, czy z interii. Szczęściem świat zmierza w kierunku który sugeruję, że jednak mam rację i to mi wystarczy. Nie muszę przekonywać osobników z ciepłymi wspomnieniami o PRL. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-19 11:58:22 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 11:16, Wojciech Bancer pisze:
Stoi przede mną iPad. Wersja oprogramowania 12.3.1. Wchodzę Wystarczy przyznać, że nie miałeś racji. Jak masz stary sprzęt, o przecież Ci samoczynnie pinu nie zmienią. W poważnych firmach nie wymienia się sprzętu co tydzień. ;-) Przeciwnie - jeśli sprzęt działa od kilku lat to się go nie zmienia. Pamiętasz przykład z łodziami z bronią nuklearną i XP? Przy którejś aktualizacji system pytał o zmianę passcode. Jak to olałeś, Nie został. Nie był wpisany. Ale jak zwykle jesteś wzorcowym Polakiem, masz swoją gablotkę Gdy opracowuje się procedury bezpieczeństwa to należy przyjąć, że doszło do sytuacji nietypowej. Nie ma tu pojęcia "wszyscy"/Ty/Nikt. To trochę tak nie działa. Stare powiedzenie amerykańskich prawników brzmi: wystarczy złapać świadka raz na kłamstwie, aby podważyć jego wiarygodność. Tak się właśnie testuje systemy. Szukając dziury w całym. Ty stworzyłeś ultra dziurawy system, a na każde wskazanie masz odpowiedź z stylu "lata 90.", "PRL", "dinozaur" itd. A dalej to mi się już odechciało. OK. Jak zauważyłem - bicie piany z tego wyszło. Za dużo anegdotek plotkarskich, a za mało Twojej własnej argumentacji. Własnej? Wszystko, co wynika z mojej argumentacji to PRL przecież. Dlatego posługuję się źródłami. Ale to też PRL. Dla Ciebie kwestia bezpieczeństwa przechowywania danych to "anegdotka plotkarska". OK - masz prawo przecież tak myśleć. Do swojej argumentacji Cię nie przekonam, Ty mnie do swojej też nie, Ależ przekonałeś mnie! Przyznałem Ci rację wielokrotnie, np. odnośnie braku potrzeby posiadania sejfu przez sprzedawcę marchewki, hydraulika, gabinetu masażu, a nawet firemki IT mieszczącej się w biurze. Słyszałem nawet o wirtualnych biurach - tam pewnie poziom bezpieczeństwa jest jeszcze niższy, ale kompletnie niepotrzebny. Zresztą - nie ma co strzelać z armaty do wróbla. Każdy stosuje systemy takie, jakie są adekwatne do tego co robi. Zwróć uwagę, że stawiałem przed Tobą wyzwania: co zrobić w przypadku... Jeśli znalazłeś rozwiązanie (faktura elektroniczna) - akceptowałem je. Jeśli nie znalazłeś - problem okazał się z lat 90. ;-) Tymczasem problemy (w poważnych firmach) się rozwiązuje, a nie etykietuje jakimiś inwektywami. zwłaszcza cytatami o coca coli, czy z interii. Czyli Coca-cola to też PRL? A dział biznesowy Interii to lata 90.? Szczęściem świat zmierza w kierunku który sugeruję, "Świat" czyli Ty. Reszta niekoniecznie... Właściwie odwrót - spada zainteresowanie chmurami publicznymi, spada sprzedaż iPhone'ów... A tak - PRL. że jednak mam rację i to mi wystarczy. Doprawdy fakty przestały Cię interesować? Nie muszę przekonywać osobników z ciepłymi wspomnieniami o PRL. :) Osobiście mam wątpliwości czy Tarantino pamięta czasy PRL, ale nie wątpię, że byłbyś gotowy mu to wmawiać. A co z firmami produkującymi dedykowane nośnikom sejfy? Durnie rzecz jasna. ;-) |
|
| Data: 2019-08-19 12:35:39 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-19, Szymon <z@wp.pl> wrote:
[...] W poważnych firmach [...] I dalej nie czytam. Nie chcesz się odnosić merytorycznie, to Twoja sprawa. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-19 13:04:38 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 12:35, Wojciech Bancer pisze:
On 2019-08-19, Szymon <z@wp.pl> wrote: Niebywałe, iż nie zauważyłeś merytorycznych argumentów popartych artykułami, analizami, opiniami ekspertów, sygnowanych przez portale kapkę większe niż Twoja firma. |
|
| Data: 2019-08-19 13:31:15 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-19, Szymon <z@wp.pl> wrote:
[...] I dalej nie czytam. Zauważyłem te wcinki z portali "codziennych". Nie odnoszę się do tego ze względu na Twoją postawę. kapkę większe niż Twoja firma. Której przykład mamy powyżej. Nie chce mi się prowadzić dyskusji w tym tonie, i tak już się dałem kilkukrotnie bez potrzeby sprowokować, a Ty najwyrażniej taką przyjąłeś strategię, by zamaskować (w mojej ocenie) własne merytoryczne braki. Tak, oczywiście się możesz z tą oceną nie zgadzać, a ja mogę po prostu nie kontynuować dyskusji. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-19 13:43:39 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 13:31, Wojciech Bancer pisze:
Zauważyłem te wcinki z portali "codziennych". OK, rozumiem. kapkę większe niż Twoja firma. To nie złośliwość. W przypadku kwestii związanych z bezpieczeństwem danych istotna jest skala. Wydaje się oczywistym, iż firma z 6 milionami pracowników będzie miała inne procedury niż jednoosobowa działalność. Nie chce mi się prowadzić dyskusji w tym tonie, Rozumiem. Mnie też nie odpowiadał Twój ton (np. wulgaryzmy), ale jednak uznałem, że warto... OK - być może nie warto. i tak już się dałem kilkukrotnie bez potrzeby Ale braki w czym? Piszę o tym, czego doświadczyłem. Tak, mam iPada. Tak, mam komputer bez partycji diagnostyczne. Tak, byłem w studiu nagraniowym. Tak, mam sejf w pracy i naprawdę tam są trzymane m.in. hasła do sieci. Opisuję zatem to, co widzę. Próby przekonywania mnie, że widzę co innego, bo mój iPad chce 6 cyfr, komputer ma tryb diagnostyczny, w studio się korzysta z chmury, a sejfu nie mam to zaprzeczanie rzeczywistości. Tak, oczywiście się możesz z tą oceną nie zgadzać, Dziękuję. Pozwolę sobie uznać, że ten iPad przede mną jednak istnieje. a ja mogę po prostu nie kontynuować dyskusji. OK i naprawdę Ciebie rozumiem. |
|
| Data: 2019-08-20 12:21:30 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
A podczas wpłaty do bankomatu nie ubezpieczają?
To była kiedyś sytuacja w środku nocy, w której najbardziej się bałem, od kiedy właściwie każdy może wejść do pomieszczenia z bankomatami (w starych dobrych czasach otwierane kartą). -- -- - Swego czasu niektóre banki ubezpieczały klienta od rabunku gotówki podczas wypłaty z bankomatu. |
|
| Data: 2019-08-20 12:39:36 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 12:21, ąćęłńóśźż pisze:
A podczas wpłaty do bankomatu nie ubezpieczają? Nie. Ryzyko rozboju zdecydowanie mniejsze. To była kiedyś sytuacja w środku nocy, w której najbardziej się bałem, od kiedy właściwie każdy może wejść do pomieszczenia z bankomatami (w starych dobrych czasach otwierane kartą). No tak, ale czas od momentu wypłaty gotówki do np. powrotu do mieszkania jest zdecydowanie dłuższy niż od wyjęcia gotówki, włożenia do wpłatomatu.
|
|
| Data: 2019-08-20 13:24:33 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
A jak to oceniłeś??
-- -- - Ryzyko rozboju zdecydowanie mniejsze. |
|
| Data: 2019-08-20 12:15:26 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
O, epitety, czas albo po czipsy i kolę albo zbanować.
Swoją drogą przypomina mi się szkolenie z bezpieczeństwa odbyte w pewnych urzędach samorządowych: "Jako zabezpieczenie danych przed pożarem czy powodzią/zalaniem na koniec dnia zgrywamy wszystkie dane z danego dnia na twardy dysk i przewozimy je do innego z kilku innych urzędów, wg algorytmu którego teraz nie ujawnię.". -- -- - które produkujesz ze względu na swoją niewiedzę. |
|
| Data: 2019-08-20 12:37:45 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 12:15, ąćęłńóśźż pisze:
Więcej: http://www.komunikaty.pl/komunikaty/p/Przetargi/5067495/zakup+280+sztuk+sprzetowych+tokenow+rsa+securi To przetarg na tokeny RSA - te same, które były w bankach. Ministerstwo Finansów jakoś nie miało oporów by je używać. Co do szkoleń i urzędów... W świecie Wojciecha B. właściwie matura mogłaby się odbyć na komputerze. Od biedy arkusze mogłyby być dostępne w chmurze - to ściągnięcia przez dyrektorów. A jednak na razie nikt nie wymyślił nic lepszego niż drukowanie centralne arkuszy (tak maturalnych, jak 8-klasisty, a wcześniej gimnazjalnych), wysyłanie kurierem i przechowywanie w sejfie. Gotowe prace są przesyłane w ten sam sposób w tzw. bezpiecznych kopertach. Czyli po oddaniu do bezpiecznej koperty, potem do sejfu, potem kurierowi. Jako ciekawostkę podam, iż ważne dane w wojsku, policji, dyplomacji etc. także przesyłane są przez zaufanego kuriera, a nie elektronicznie. W świecie Wojciecha B. właściwie poczta dyplomatyczna nie miałaby racji bytu. A jednak nadal papier/sejf uważa się za najlepsze zabezpieczanie. Swoją drogą przypomina mi się szkolenie z bezpieczeństwa odbyte w pewnych urzędach samorządowych: |
|
| Data: 2019-08-20 13:16:49 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-20, Szymon <z@wp.pl> wrote:
[...] Co do szkoleń i urzędów... W świecie Wojciecha B. Szkolenia i certyfikacje online są jak najbardziej normą i są dostępne m.in. szkolenia BHP, ale też w różnych innych branżach. Nie kojarzę jednak bym upoważnił Cię do wypowiadania się w moim imieniu, więc proszę zaprzestań tego procederu. Dziękuję. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 13:23:51 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-18 o 23:16, Wojciech Bancer pisze:
Zaświadczenia z ZUSu możesz dostać elektronicznie.To po co wysyłają 13 mln listów rocznie z informacją o składkach i Właśnie dostałem email z ZUS w sprawie tych listów. Emailowo nic się nie da zrobić. Trzeba złożyć druk ZUS URU. Następnie: Wniosek można złożyć: - osobiście, - drogą listową, - elektronicznie za pośrednictwem konta na Platformie Usług Elektronicznych ZUS podpisując bezpiecznym podpisem elektronicznym tj. podpisem zaufanym ePUAP lub certyfikatem kwalifikowanym' - za pośrednictwem Centrum Obsługi Telefonicznej ZUS pod numerem 22 560 16 00. -- -- -- -- -- -- -- -- -- - I to by było tyle w sprawie elektronicznej obsługi dokumentów. ;-) Trzeba będzie wydrukować i pchnąć listem/faksem/osobiście. W ciągu 30 dni dadzą odpowiedź (do odebrania w placówce osobiście lub listem) dlaczego te listy do mnie nie dochodzą. |
|
| Data: 2019-08-23 04:46:54 | |
| Autor: Kris | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu piątek, 23 sierpnia 2019 13:24:36 UTC+2 użytkownik Szymon napisał:
I to by było tyle w sprawie elektronicznej obsługi dokumentów. ;-) Trzeba będzie wydrukować i pchnąć listem/faksem/osobiście. W ciągu 30 dni dadzą odpowiedź (do odebrania w placówce osobiście lub listem) dlaczego te listy do mnie nie dochodzą. A czemu akurat "wydrukować i pchnąć listem" Jakis sentyment do czasów słsznie minionych że bez stemple, zwrotki itp to nieważne? Znaczki na list tez kupujesz po odstaniu swego w kolejce na poczcie? Poprzez PUE ZUS możną jak sam wyżej napisałeś czy nawet telefonicznie Tak czytam Twoje posty od kilku tygodni to ty faktycznie z jakiegoś Archeo jesteś;) Ps Listy zwykłe, polecone itp dzisiaj można wysyłać bez wychodzenia z domu. |
|
| Data: 2019-08-23 14:32:17 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 13:46, Kris pisze:
W dniu piątek, 23 sierpnia 2019 13:24:36 UTC+2 użytkownik Szymon napisał: Inaczej nie da się tego załatwić. Znaczki na list tez kupujesz po odstaniu swego w kolejce na poczcie? Ponieważ trzeba złożyć wniosek, z kontekstu maila od ZUS rozumiem, iż pewnie chodzi o faks. Zalogowałem się do PUE ZUS. Nic nie da się zrobić. "Przycisk jest aktywny w przypadku, gdy ubezpieczony nie posiada płatnika składek " - a posiadam. Tak czytam Twoje posty od kilku tygodni to ty faktycznie z jakiegoś Archeo jesteś;) Fakt. Oprócz tego, że założyłem kolejne konto, problem pozostał nierozwiązany. ;-) Ps Fajnie. Mnie bardziej kręci jednak rozwiązywanie problemu. OK - poszedł kolejny elektroniczny list do ZUS. Tym razem z ich portalu po autoryzacji. Mam nadzieję, że sprawa zostanie załatwiona. |
|
| Data: 2019-08-29 14:55:28 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
A jak?
-- -- - Listy zwykłe, polecone itp dzisiaj można wysyłać bez wychodzenia z domu. |
|
| Data: 2019-08-23 13:52:08 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
[...] [...] - elektronicznie za pośrednictwem konta na Platformie Usług Elektronicznych ZUS podpisując bezpiecznym podpisem elektronicznym tj. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ [...] I to by było tyle w sprawie elektronicznej obsługi dokumentów. ;-) Trzeba będzie wydrukować i pchnąć listem/faksem/osobiście. Nie trzeba. Podkreślone. PUE działa całkiem sprawnie. Profil zaufany to też nie jest jakieś nowum i warto mieć. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 14:40:44 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 13:52, Wojciech Bancer pisze:
podpisem zaufanym ePUAP lub certyfikatem kwalifikowanym'^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Założyłem. Na razie nic się nie da zrobić - czekam na info z ZUS. I to by było tyle w sprawie elektronicznej obsługi dokumentów. ;-) Nie działa. Tak jak się domyślałem - ZUS ma w bazie nieaktualny adres. Zmienić go nie mogę - zobaczymy co dalej. Profil zaufany to też nie jest jakieś nowum i warto mieć. A po co? |
|
| Data: 2019-08-23 06:09:48 | |
| Autor: Kris | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu piątek, 23 sierpnia 2019 14:41:29 UTC+2 użytkownik Szymon napisał:
Nie działa. Tak jak się domyślałem - ZUS ma w bazie nieaktualny adres. Zmienić go nie mogęMożesz Poprzez swego pracodawcę A po co?Dowód osobisty, karta ekuz, usługa moje auto, wniosek o "czyste powietrze", korespondencja z PINB, 300+, wypis z ewidencji gruntów, zgłoszenie sprzedaży auta- to kilka ostatnich spraw które załatwiałem dzięki, profilowi zaufanemu. |
|
| Data: 2019-08-23 15:32:23 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 15:09, Kris pisze:
Nie działa. Tak jak się domyślałem - ZUS ma w bazie nieaktualny adres.Możesz Czyli ten dostęp jest mi tak średnio potrzebny wówczas. Równie niepotrzebny okazał się przesłany przez ZUS wniosek. I podobnie jak prośba z poziomu maila o sprawdzenie adresu zameldowania. W ostateczności okazało się, że muszę potuptać do księgowej, by zmieniła. ;-)
OK. A wiesz może jak zlikwidować to konto na PUE ZUS? Nie dostrzegam opcji likwidacji. Jest możliwość zablokowania, ale nie jestem przekonany czy to tożsame z likwidacją loginu. |
|
| Data: 2019-08-23 06:46:22 | |
| Autor: Kris | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu piątek, 23 sierpnia 2019 15:33:08 UTC+2 użytkownik Szymon napisał:
Czyli ten dostęp jest mi tak średnio potrzebny wówczas.Sprawdzić Sobie możesz czy pracodawca prawidłowo skałki za ciebie odprowadza chociażby. Wniosek o naliczanie kapitału pocztówkowego tez możesz złożyć jeśli to Ciebie dotyczy. Ja własnie tym kanałem taki wniosek złożyłem. Póki co czekam na naliczenia ale do emerytura mam trochę czasu jeszcze to ich nie ponaglam W ostateczności okazało się, że muszę potuptać do księgowej, by zmieniła. ;-) Meila jej wyślij;) OK. A wiesz może jak zlikwidować to konto na PUE ZUS? Nie mam pojęcia. Otworzyłem, korzystam, nie było potrzeby zamykania to i tematu nie drążyłem. |
|
| Data: 2019-08-23 06:54:56 | |
| Autor: Kris | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu piątek, 23 sierpnia 2019 15:33:08 UTC+2 użytkownik Szymon napisał:
OK. A wiesz może jak zlikwidować to konto na PUE ZUS? Nie dostrzegam opcji likwidacji. Jest możliwość zablokowania, ale nie jestem przekonany czy to tożsame z likwidacją loginu. A i taka drobnostka;) Art. 50 ust. 1h Ustawa o systemie ubezpieczeń społecznych "1h. Zakład nie przesyła informacji o stanie konta ubezpieczonym, którzy w systemie teleinformatycznym Zakładu utworzyli profil informacyjny. Zakres danych objętych informacją o stanie konta Zakład udostępnia tym ubezpieczonym w systemie teleinformatycznym w formie elektronicznej, z zastrzeżeniem ust. 1i" |
|
| Data: 2019-08-23 16:02:16 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 15:54, Kris pisze:
W dniu piątek, 23 sierpnia 2019 15:33:08 UTC+2 użytkownik Szymon napisał: Szukam, jak z tego wyleźć. ;-) Swoją drogą to ciekawe - by załatwić sobie te listy co roku musiałem się zalogować, by złożyć wniosek. Po zalogowaniu okazało się, że danych sam nie mogę zmienić. Jak już mi się uda - i tak listu nie dostanę.;-) Cudnie... |
|
| Data: 2019-08-24 07:25:13 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
Chyba nie ma możliwości uzyskania w inny sposób wydruku zwolnienia lekarskiego niż poprzez swój profil elektroniczny ZUS, jeśli lekarz w przychodni nam nie wydrukuje?
Przykładowo potrzebujemy zwolnienie do więcej niż jednego głównego pracodawcy. |
|
| Data: 2019-08-23 14:52:12 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Szymon <z@wp.pl> writes:
W dniu 2019-08-23 o 13:52, Wojciech Bancer pisze:No ale napisało Ci dlaczego nie możesz - masz płatnika składek i to za jego pośrednictwem masz to zgłosić. Profil zaufany to też nie jest jakieś nowum i warto mieć.
Zeby podpisać JPK? Żeby złożyć skargę do UODO? Żeby się zalogować do portalu pacjenta (ciekawych rzeczy można się czasami dowiedzieć)? KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html You can tell the ideals of a nation by its advertisements. -- Norman Douglas |
|
| Data: 2019-08-23 15:50:18 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
W dniu 2019-08-23 o 13:52, Wojciech Bancer pisze: To jak już założyłeś, to listów nie będziesz dostawać, bo informację o stanie konta masz podaną na tymże portalu. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 16:00:01 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 15:50, Wojciech Bancer pisze:
To jak już założyłeś, to listów nie będziesz dostawać, Toś mnie załatwił. Ale nic - szukam, gdzie to zlikwidować, by dołączyć do tych 13 milionów, które dostają list co roku. Wnioskuję, że jakoś im niespecjalnie przydaje się ten portal. |
|
| Data: 2019-08-23 17:13:31 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
[...] To jak już założyłeś, to listów nie będziesz dostawać, No, w końcu wysyłanie listy składek (można wyliczyć wynagrodzenie), imienia, nazwiska i PESELu listem zwykłym, na nieaktualny adres to super sprawa. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 17:18:05 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 17:13, Wojciech Bancer pisze:
No, w końcu wysyłanie listy składek (można wyliczyć wynagrodzenie), imienia, Mogłem to zrobić "analogowo" i wtedy efekt byłby osiągnięty. Nigdzie ZUS mi nie podał, iż zalogowanie się na platformę wykluczy możliwość otrzymania potwierdzenia składek listownie. Tak to widzisz jest z tym obiegiem elektronicznym... Ciekawe czy da się odwrócić sytuację, czy to bilet w jedną stronę. Na razie nie udało mi się znaleźć opcji likwidacji konta w tym zusowskim portalu. |
|
| Data: 2019-08-23 17:54:14 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
W dniu 2019-08-23 o 17:13, Wojciech Bancer pisze: Zlituję się. https://www.zus.pl/pue/regulamin W szczególności §15. Zadzwoń na infolinię (w poniedziałek) i zapytaj jak odwołać zgody. Ew. możesz tradycyjnie, wysłać pismo i czekać na odpowiedź. Już możesz wrócić do XIX wieku :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 18:17:53 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 17:54, Wojciech Bancer pisze:
Zlituję się. Dziękuję. A naprawdę nie wydaje Ci się to dziwne? Jeszcze raz przypomnę fakty: 1. Napisałem do ZUS, iż nie otrzymuję corocznych listów i podejrzewam, że adres jest nieaktualny. Podałem właściwy. Kończę pismo: "Uprzejmie proszę o informację co powinienem zrobić, aby takowe informacje listowe co roku otrzymywać." 2. ZUS mi odpisuje, iż muszę złożyć reklamację ZUS URU. W tym proponuje zrobić to przez platformę PUE ZUS. 3. Chcąc być nowoczesnym loguję się. Wniosku nie składam - dostrzegam zły adres i informację, iż może go zmienić płatnik składek (właściwie to sugestia). 4. Dostaję tu informację, iż świetnie mi poszło tylko korzystanie z PUE wyklucza informację papierową. Czy naprawdę tylko mnie się to wydaje nienormalne? |
|
| Data: 2019-08-23 20:00:37 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
[...] A naprawdę nie wydaje Ci się to dziwne? Jeszcze raz przypomnę fakty: Nie prościej było zadzwonić? Od razu byś dopytał. [...] 4. Dostaję tu informację, iż świetnie mi poszło tylko korzystanie z PUE wyklucza informację papierową. Bo i po co mają wysyłać. To nie jest tak, że to jest jakoś specjalnie opieczętowana. Masz to dostępne w Ubezpieczony -> Informacje o stanie konta, po co Ci papier? Wyciąg papierowy z banku też zamawiasz? Po co to trzymać w papierze? Po co marnować te drzewa? Ten papier nie ma mocy prawnej w udowadnianiu czegokolwiek. Jak będziesz potrzebował jakiegokolwiek zaświadczenia z ZUS bo "cokolwiek", to też w PUE sobie możesz zamówić (wyślą Ci albo papier, albo dokument elektroniczny, co wybierzesz). No i widzisz, czy np. pracodawca nie ma opóźnień w płaceniu składek. Czy naprawdę tylko mnie się to wydaje nienormalne? Za rok, czy dwa, polecone od wszystkich urzędów będa przychodzić mailem. https://www.antyradio.pl/Technologia/Internet/3-45-zl-netto-za-wyslanie-e-maila-Poczta-Polska-zarobi-na-elektronicznych-poleconych-34060 Więc się szykuj, bo niedługo i PUE, i ePUAP to będą must-have dla współczesnego obywatela. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 21:38:02 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 20:00, Wojciech Bancer pisze:
Nie prościej było zadzwonić? Od razu byś dopytał. Jestem sknerą z natury. Preferuję darmowe konta, darmowe karty i w ogóle wszystko, co mogę zrobić za darmo to wolę robić niż płacić. A telefon kosztuje. Miałem inny pomysł - przejść się na spacer do ZUS w trakcie urlopu i na miejscu rozwiązać ten problem. Niemniej dałeś mi do myślenia wątkiem o dokumentach elektronicznych i postanowiłem błysnąć! ;-) 9 sierpnia napisałem do ZUS. Dziś odebrałem i znów mnie podkusiło przestać być dinozaurem. Tom narobił. ;-) Ale nic. Załatwię problem - przy odrobinie szczęścia jeszcze w tym roku. Za to elektronicznie! ;-) 4. Dostaję tu informację, iż świetnie mi poszło tylko korzystanie z PUE Mam taką zasadę, że gdy z czegoś nie korzystam to likwiduję. W praktyce wygląda to tak, iż gdy np. kończę współpracę z bankiem to wszystko zamykam. Jeszcze potem muszę zazwyczaj interweniować, bo nie zamkną np. dostępu internetowego. Wszak darmowy, może się przyda itd. Nie lubię zostawiać po sobie bałaganu. Wychodzę z założenia, iż gdy bank będzie miał ciekawą ofertę to zawsze mogę na nowo wszystko pootwierać (zazwyczaj jeszcze w promo jako nowy klient). Ten serwis ZUS nie jest mi do niczego potrzebny. Poczekam, aż księgowa skoryguje i gdy zobaczę poprawny adres to nie zamierzam tam zaglądać. Po co mają wysyłać? Po to, abym miał wgląd w składki. Tak, mam teraz też, ale także o wiele więcej - coś, co mi nie jest potrzebne. Co ciekawe - ale od razu zastrzegę, że mogłem coś pomieszać - przy kalkulatorze emerytury liczy mi w momencie przejścia w wieku 65 lat. Obowiązkowe są pola % średniej krajowej w kolejnych latach. Z tego co wyczytałem - w listach ZUS jest podawana emerytura na daną chwilę. Nie udało mi się obliczyć w portalu w ten sposób. Masz to dostępne w Ubezpieczony -> Informacje o stanie konta, po co Ci papier? Wyciąg papierowy z banku też zamawiasz? Nie, bo z serwisu bankowego korzystam stale w różnych opcjach. Tymczasem ZUS przez kilka lat wysyłał mi list gdzieś tam w kosmos. I masz rację - nie powinno tak być. Stąd postanowiłem się zająć tematem. Po co to trzymać w papierze? Po co marnować te drzewa? Ten papier Nie trzymam na papierze - zapoznaję się i do kosza. Nie mam zaufania do ZUS i serwisów tego typu. Potencjalny włam zawsze może coś tam namieszać, bo różne rzeczy są przez ten serwis dostępne - totalnie mi niepotrzebne. Zalogowałem się poprzez serwis bankowy. Generalnie unikam podawania danych na stronach innych niż strony konkretnego banku - z przyczyn oczywistych. A tu tak wyszło. Jak będziesz potrzebował jakiegokolwiek zaświadczenia z ZUS bo OK. Więc jak będzie potrzeba to sobie otworzę ponownie. Tymczasem jest to pierwsza rzecz, którą od ZUS potrzebuję... Hmm... Nawet nie ja - albo nawaliła księgowa (mało prawdopodobne, bo US ma dobry adres po zmianie) albo ktoś tam nie przeklepał w ZUS. Generalnie - "cokolwiek" mi się nie zdarzyło od początku pracy zawodowej i pewnie nie zdarzy. No i widzisz, czy np. pracodawca nie ma opóźnień w płaceniu składek. Nie mam takiego ryzyka. Raczej interesowało mnie ile na teraz miałbym emerytury. Krzysztof Cugowski chwalił się w mediach, że ma 570 zł emerytury. Rodowicz 1600 zł to pomyślałem sobie, że też zobaczę ile moja wynosi. ;-) Czy naprawdę tylko mnie się to wydaje nienormalne? Masz rację, ale być może inaczej to rozwiążą. PIT od lat składam Internetem. Z każdym rokiem jakby coraz łatwiej. Email mi pasuje, natomiast nie lubię serwisów, w których po przejęciu hasła można sporo nabroić. Ew. takich, gdzie do głupstwa trzeba podawać hasło "bankowe". |
|
| Data: 2019-08-23 21:46:56 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 21:38, Szymon pisze:
Po co to trzymać w papierze? Po co marnować te drzewa? Ten papier Jeszcze odnośnie papieru i marnowania drzew: Uwierzyłeś w akcje ekologów? Oszczędzasz papier, nie drukujesz maili, by oszczędzać drzewa w lesie? Błąd. Lasy Państwowe obalają ten mit: ,,Duże nadużycie. Nie ma to żadnego znaczenia dla lasów". ,,Drzewa i tak muszą być ścięte".Hasło ,,oszczędzaj papier" ma w wyszukiwarce Google ponad 500 tys. wyników. Zazwyczaj we wszelkich ekologicznych poradnikach można przeczytać, że statystyczny Polak zużywa co roku 90 kg papieru. Działalność 11 osób (czyli ok. 1 tona papieru) przekłada się na wycięcie 17 drzew. Żeby je uratować, powinniśmy np. zadrukowywać kartki dwustronnie (to kosztuje więcej wysiłku przy drukarce). ,,Pomyśl, zanim wydrukujesz ten mail" - zachęca zielony napis w stopce e-maila z Ministerstwa Środowiska i wielu firm. Chodzi oczywiście o papier i energię zużytą do drukowania informacji, którą zazwyczaj odkładamy na bok po pierwszym czytaniu. Ministerstwo Finansów oraz Zakład Ubezpieczeń Społecznych zachęcają Polaków do elektronicznej komunikacji również odwołując się do ekologicznych uczuć obywateli. Najbardziej oblegany Urząd Skarbowy Warszawa Praca przyjmuje ponad 20 mln dokumentów rocznie. W ubiegłym roku polscy podatnicy złożyli 3,5 mln eDeklaracji PIT (oszczędzając w papierze każda liczy minimum 2-4 kartki - jakieś kilkadziesiąt tysięcy ryz papieru. W tym samym czasie przedsiębiorcy złożyli ponad 8 mln elektronicznych formularzy- również oszczędzając papier. Zachęceni liczbami zapytaliśmy Lasy Państwowe. Ile dzięki temu udało się oszczędzić drzew? Odpowiedź brzmi: żadnego. - Czy jeśli prawie wszyscy z 24 mln podatników rozliczą się z fiskusem przez internet, a ponad 2 mln firm przejdzie na elektroniczną korespondencję z urzędami to jaki będzie efekt? Ile drzew potencjalnie do wycięcia na papier uda sie uratować - pytamy. - Nie będzie to miało żadnego znaczenia dla lasów - odpowiada Anna Malinowska, rzecznik prasowy Lasów Państwowych. - Do papierni bowiem trafia drewno pochodzące z tzw. cięć pielęgnacyjnych. Usuwa się wtedy część młodych drzew, by dać przestrzeń do wzrostu pozostałym. Drzewa te i tak zostałyby wycięte - tłumaczy. |
|
| Data: 2019-08-23 22:05:48 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
W dniu 2019-08-23 o 21:38, Szymon pisze: IMHO słuchanie "Lasów państwowych" w tym temacie, to jak słuchanie coca-coli w temacie zdrowego odżywania. - Nie będzie to miało żadnego znaczenia dla lasów - odpowiada Anna Malinowska, rzecznik prasowy Lasów Państwowych. - Do papierni bowiem trafia drewno pochodzące z tzw. cięć pielęgnacyjnych. Usuwa się wtedy część młodych drzew, by dać przestrzeń do wzrostu pozostałym. Drzewa te i tak zostałyby wycięte - tłumaczy. Ależ oczywiście. :-) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 22:22:02 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 22:05, Wojciech Bancer pisze:
IMHO słuchanie "Lasów państwowych" w tym temacie, to jak słuchanie Mam koleżankę, która jest biologiem i twierdzi podobnie. |
|
| Data: 2019-08-24 09:51:20 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
[...] IMHO słuchanie "Lasów państwowych" w tym temacie, to jak słuchanieMam koleżankę, która jest biologiem i twierdzi podobnie. W skali mikro pewnie nie będzie większych zmian, w skali makro jak najbardziej. Jakby zużycie papieru nieustannie rosło, musieliby i wycinać więcej drzew, albo przeznaczać większe tereny na zalesianie "gpspodarcze", czy to kosztem lasów nie-gospodarczych, czy kosztem terenów niezalesionych. Odpowiedź na to jakie byłyby to liczby, to już raczej zadanie dla naukowców. Pojedyncze "nie wezmę torby plastikowej", "nie wydrukuję kartki", "złożę PIT elektronicznie" nic nie zmieni, ale kształtuje pewne trendy, co doprowadzi do presji na szukanie rozwiązań alternatywnych w gospodarce i w konsekwencji do przedstawienia sensownej alternatywy. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 21:58:55 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
[...] Nie prościej było zadzwonić? Od razu byś dopytał. No ja mam 19,90 za abonament z no-limit, ale to firmowy. A z tego co widziałem są też plany "na kartę" gdzie za 10 zł kupujesz ten pakiet na 30 dni, też no limit. Miałem inny pomysł - przejść się na spacer do ZUS w trakcie urlopu i na miejscu rozwiązać ten problem. Nie rozwiązałbyś problemu. Dowiedziałbyś się, że trzeba to załatwić przez pracodawcę. Niemniej dałeś mi do myślenia wątkiem o dokumentach elektronicznych i postanowiłem błysnąć! ;-) 9 sierpnia napisałem do ZUS. Dziś odebrałem i znów mnie podkusiło przestać być dinozaurem. Tom narobił. ;-) Ale nic. Załatwię problem - przy odrobinie szczęścia jeszcze w tym roku. Za to elektronicznie! ;-) Ale jaki problem znowu? 4. Dostaję tu informację, iż świetnie mi poszło tylko korzystanie z PUE Jest trochę kont które IMHO warto mieć: - PUE (żeby mieć rozliczenia składkowe, wgląd w ZLA), ew. do korespondencji z ZUS - e-sąd, żeby otrzymać informację o pozwie - epuap, żeby ogarniać coraz więcej w administracji, bez stania w kolejkach zostawiać po sobie bałaganu. Wychodzę z założenia, iż gdy bank będzie miał ciekawą ofertę to zawsze mogę na nowo wszystko pootwierać (zazwyczaj jeszcze w promo jako nowy klient). Ale urząd to nie bank. Banki się zamyka po to by się złapać na kolejne wisienki. Ten serwis ZUS nie jest mi do niczego potrzebny. Poczekam, aż księgowa skoryguje i gdy zobaczę poprawny adres to nie zamierzam tam zaglądać. To poczekaj aż zdecydują co z OFE. Jeśli będziesz chciał przenieść środki do ZUS, to zapewne przez PUE też będzie można wniosek złożyć. [...] No i widzisz, czy np. pracodawca nie ma opóźnień w płaceniu składek. Ale oni nie płacili składek, jak to artyści. Dzieło i dzieło. [...] Masz rację, ale być może inaczej to rozwiążą. PIT od lat składam Internetem. Z każdym rokiem jakby coraz łatwiej. Email mi pasuje, natomiast nie lubię serwisów, w których po przejęciu hasła można sporo nabroić. No ale z tego co pisałeś, to nie masz hasła, tylko logujesz się przez bankowość elektroniczną. Ew. takich, gdzie do głupstwa trzeba podawać hasło "bankowe". I już niedługo, potwierdzać SMSem :-) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-23 22:16:47 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 21:58, Wojciech Bancer pisze:
No ja mam 19,90 za abonament z no-limit, ale to firmowy. A ja mam za 5 zł na rok aktywną kartę. A za minutę 29 gr. Na szczęście jest coś takiego w Plusie jak Teleprzelew - nie gromadzą mi się te piątki dzięki temu. Obecnie mam... czekaj... 13,42 zł na karcie. Za dwa lata (2x5) będzie ponad 20 zł i wtedy przeleję odchudzając kartę. Miałem inny pomysł - przejść się na spacer do ZUS w trakcie urlopu i na Żaden problem. Dam znać księgowej i już. Widzisz - gdyby mi ZUS napisał, że faktycznie adresy się nie zgadzają i trzeba zwrócić się do pracodawcy - po sprawie. Dziwne jest dla mnie to, że gdy piszę, iż zależy mi na zestawieniu rocznym to odsyłają mnie do serwisu po zalogowaniu do którego to zestawienie do mnie nie dotrze. Trochę tak, jakbym poszedł z prośbą o diagnozę do lekarza, a ten przepisałby truciznę, by na sekcji określić co mi było i jak leczyć. ;-) Niemniej dałeś mi do myślenia wątkiem o dokumentach elektronicznych Z zamknięciem tego, co tak łatwo się otworzyło. ;-) Nic nic, nie denerwuj się. ;-) Jest trochę kont które IMHO warto mieć: Naprawdę nie korzystam i nie mam potrzeby. - e-sąd, żeby otrzymać informację o pozwie Nie wiem co to. W sądzie byłem ze 2 razy w życiu jako świadek. Jakoś tam do mnie dotarli (polecony). - epuap, żeby ogarniać coraz więcej w administracji, bez stania Ja jestem zwykłym Kowalskim. Nie bardzo wiem, co miałbym robić w tych kolejkach. Ale urząd to nie bank. Banki się zamyka po to by się złapać Bardziej zależy mi na tym, aby się nie okazało, iż np. darmowe konto zostawione ot tak, za jakiś czas przestanie być darmowe i wpadnie w debet. Poza tym staram się mieć kontrolę nad serwisami, które jednak mogą "nabroić". To poczekaj aż zdecydują co z OFE. Jeśli będziesz chciał przenieść OK, może to jest jakieś wyjście. Ale... Tak szczerze mówiąc Szanowny Wojciechu... nie wierzę w emeryturę. W gruncie rzeczy podejrzewam, że za parę lat wszyscy będą mieli tzw. obywatelską, minimalną. W PPK też nie wierzę, podobnie jak 20 lat temu nie miałem przekonania do OFE (nie mówiąc o 3 filarze). Generalnie planuję mieć oszczędności i inwestycje na starość, a to, co mi tam ZUS da to na waciki. Innymi słowy czy tam przenosić czy nie przenosić - nie bardzo mnie to interesuje. Byle nie dopłacać jak w PPK. Nie mam takiego ryzyka. Wcale tego nie neguję. Po prostu pytałeś po co mi ten papier - dla śmiechu. A po co Cugowskiemu czy Rodowicz, która podobno bierze 50.000 zł/koncert? No ale z tego co pisałeś, to nie masz hasła, tylko logujesz się przez Tak. Niemniej login wygenerowało. Hasła nie. Naprawdę nie znam się na tym - sam widzisz. A jak się nie znam - wolę tego nie mieć, skoro niepotrzebne. Ew. takich, gdzie do głupstwa trzeba podawać hasło "bankowe". Akurat w Millenium raz na 90 dni podobno. Dziwnie trochę. Jestem bardzo ciekawy e-kantorów. Cinkciarz zapowiada SMS, Alior też. Jak to będzie co 5 minut wylogowywać to wścieklizny będzie można dostać obserwując kursy. |
|
| Data: 2019-08-24 07:14:10 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Bo im się wydawało, że są tacy sprytni.
Jakoś w latach 80-tych (?) wprowadzono emerytury dla twórców jako alternatywę zwykłej ZUS-owskiej (można było sobie wybrać) , trzeba było deklarować dochód i płacić składki, emerytury były (są) całkiem dobre. A piosenkarze wiadomo: alkohol, narkotyki, tantiemy , ... ;-) -- -- - Ale oni nie płacili składek, jak to artyści. |
|
| Data: 2019-08-24 10:17:55 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
[...] No ja mam 19,90 za abonament z no-limit, ale to firmowy. Czyli swój własny czas, który sprzedajesz komuś wyceniasz mniej niż te kilka złotych za telefon, można i tak. Ja dzięki jednej rozmowie, która mi oszczędzi dojazdów (nie za darmo), stania w kolejce (czas) pewnie zarobię na abonament na 3 lata "z góry". :) Nie rozwiązałbyś problemu. Ale zwróć uwage, że przepisów nie tworzy ZUS, tylko Wybrańcy Narodu z wiejskiej. Do kogo więc masz pretensje? Załatwię problem - przy odrobinie szczęścia jeszcze w tym roku. Zadzwoń i dowiedz się jak odwołać zgodę i już. To żaden problem. - e-sąd, żeby otrzymać informację o pozwie No, ale posiadanie konta zabezpiecza przed takimi sytuacjami: https://niebezpiecznik.pl/post/co-sie-moze-stac-gdy-wycieknie-twoj-pesel-historia-aleksandry-to-dobra-odpowiedz/ Twój PESEL już komuś wyciekł (poczta z ZUS do Ciebie nie dotarła). :-) To poczekaj aż zdecydują co z OFE. Jeśli będziesz chciał przenieść A co jest alternatywą? Rynki kapitałowe? Smiech. A swoją drogą, to czy w historii świata jak jakieś państwo bankrutuje, to czy emerytury są wstrzymywane, czy nadal wypłacane? W gruncie rzeczy podejrzewam, że za parę lat wszyscy będą mieli tzw. obywatelską, minimalną. W PPK też nie wierzę, podobnie jak 20 lat temu nie miałem przekonania do OFE (nie mówiąc o 3 filarze). Ale co 3-ci filar? IKE/IKZE to po prostu zwykłe "oszczędności i inwestycje". na starość, a to, co mi tam ZUS da to na waciki. Innymi słowy czy tam przenosić czy nie przenosić - nie bardzo mnie to interesuje. Byle nie dopłacać jak w PPK. Czyli jesteś pewny, że przez X lat ile Ci zostało do końca życia nie zdarzy się żaden kryzys który Cię pozbawi środków emerytalnych do życia? No myślę, że ludzie w wielu krajach (w tym i USA) tak myśleli i się na tym przejechali. Nie warto więc ZUS tak do końca wykluczać z równania. [...] to pomyślałem sobie, że też zobaczę ile moja wynosi. ;-)Ale oni nie płacili składek, jak to artyści. Dzieło i dzieło. Żeby nie musieć pracować. W ich przypadku pewnie mają też tantiemy od sprzedanych utworów, co im pewnie pozwoli na życie, ale bez tego konieczność "pracy do śmierci" (a taki koncert to jednak jest wysiłek), to trochę lipa. Jedyną realną alternatywą do ZUS jest zbudowanie "przedsiębiorstwa" działającego "bez Ciebie", które będzie w stanie zapewniać dochód w sposób pasywny. Taka najprostsza (i najpopularniejsza) forma obecnie to wynajem mieszkań, ale jeśli nie chcesz zarabiać jak to powiedziałeś "wacików", to trochę ich by warto było mieć. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-24 10:23:11 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
W krs i kw jest parę milionów peseli z adresami.
-- -- - Twój PESEL już komuś wyciekł |
|
| Data: 2019-08-24 08:31:29 | |
| Autor: Dawid Rutkowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
W KRS już nie ma - tzn. przynajmniej w netowej przeglądarce nie ma PESELi członków zarządu spółek.
Hmm, a 1-os. DG w KRS też nie ma. KW to oczywiście kopalnia wiedzy. |
|
| Data: 2019-08-24 19:20:59 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-24, Dawid Rutkowski <drutkow1@wp.pl> wrote:
W KRS już nie ma - tzn. przynajmniej w netowej przeglądarce nie ma PESELi członków zarządu spółek. Jest na wydruku danych aktualnych. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-25 00:57:41 | |
| Autor: Dawid Rutkowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Racja, to marnie ukryli.
I są PESELe nie tylko członków zarządu, ale i wspólników. Ale adresów nie ma. |
|
| Data: 2019-08-25 11:52:23 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-25, Dawid Rutkowski <drutkow1@wp.pl> wrote:
Racja, to marnie ukryli. Jak pokazują ostatnie kazusy, niespecjalnie wyłudzaczom jest potrzebny. Na szczęście fikcja doręczenia przestaje obowiązywać. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-25 13:35:34 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
Są.
Dlatego jak czytam w plotku, że jakiś miliarder mieszka w dwóch pokoikach Za Żelazną Bramą, to wiem dlaczego. -- -- - Ale adresów nie ma. |
|
| Data: 2019-08-25 15:20:00 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-24 o 10:17, Wojciech Bancer pisze:
A ja mam za 5 zł na rok aktywną kartę. A za minutę 29 gr. Na szczęście A ja wolę się przejść w ramach spaceru niż dzwonić. ;-) Taka filozofia. Specjalnie dla Ciebie sprawdziłem - ostatnią rozmowę wykonałem 27 marca. Wkrótce mija 5 miesięcy od tego czasu. Ale zwróć uwage, że przepisów nie tworzy ZUS, tylko Wybrańcy Narodu Nie mam pretensji. No, ale posiadanie konta zabezpiecza przed takimi sytuacjami: Wiem do kogo trafił. Inna sprawa, że PESEL jest w tylu miejscach przetwarzany, iż jego pozyskanie nie jest jakoś specjalnie trudne. No cóż - Dziki Zachód. OK, może to jest jakieś wyjście. Ale... Tak szczerze mówiąc Szanowny Własne oszczędności. A swoją drogą, to czy w historii świata jak jakieś państwo bankrutuje, Pojęcia nie mam. na starość, a to, co mi tam ZUS da to na waciki. Innymi słowy czy tam Nie tylko "nie warto", ale nie da się. Natomiast inną kwestią jest wiara w ZUS. Oczywiście "wierzący" może sobie "dopłacić". Nie wiem jak na etacie, ale przy DG chyba można wpłacać więcej niż minimalne ca. 1300 zł. Żeby nie musieć pracować. W ich przypadku pewnie mają też tantiemy od Patrząc na poziom życia Mogielnickiego czy Cygana, którzy wszak nie śpiewali, a jedynie napisali ogrom tekstów piosenek - życie z tantiem nie jest takie złe. Jedyną realną alternatywą do ZUS jest zbudowanie "przedsiębiorstwa" działającego Różne są pomysły na emeryturę. Oczywiście inwestycje w mieszkania to jeden z nich. Moim zdaniem - sprawa sprowadza się do tego, aby w ten wiek emerytalny wejść ze stanem konta możliwie wysokim. Za chwilę - zainspirowany rozmową z Tobą - założę nowy wątek z pomysłem pewnego Pana. Bitfilar - tak sobie wymyślił. ;-) |
|
| Data: 2019-08-26 10:13:56 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-25, Szymon <z@wp.pl> wrote:
[...] Czyli swój własny czas, który sprzedajesz komuś wyceniasz mniej niż te kilka W ramach spaceru to ja wolałbym do parku niż do urzędu (i stać w kolejce). Ale co kto lubi. :) No, ale posiadanie konta zabezpiecza przed takimi sytuacjami: I dlatego warto mieć zarejestrowane konto w e-sądzie. Chociaż teraz po likwidacji fikcji doręczenia dot. pierwszego pisma, to może już będzie lepiej. Zobaczymy jaka praktyka sądowa się wykształci. Własne oszczędności.OK, może to jest jakieś wyjście. Ale... Tak szczerze mówiąc SzanownyA co jest alternatywą? Rynki kapitałowe? Smiech. No ale co "własne oszczędności"? Że masz? I co dalej? Do skarpety wsadzisz gotówkę? To straci na wartości. Lokaty? Również stracą (nieco wolniej). A inne formy wiążą się z potrzebą posiadania wiedzy i mniejszym/większym ryzykiem. Więc może być super, można wszystko stracić, można dużo stracić i w sumie nie wiadomo nic. A swoją drogą, to czy w historii świata jak jakieś państwo bankrutuje,Pojęcia nie mam. https://tvn24bis.pl/wiadomosci-gospodarcze,71/czy-zus-moze-zbankrutowac-jego-bankructwo-to-bankructwo-panstwa,394850.html "pracy do śmierci" (a taki koncert to jednak jest wysiłek), to trochę Ale nie wszystkim się tak udaje. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-29 19:27:46 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-26 o 10:13, Wojciech Bancer pisze:
Własne oszczędności.OK, może to jest jakieś wyjście. Ale... Tak szczerze mówiąc SzanownyA co jest alternatywą? Rynki kapitałowe? Smiech. I na emeryturze warto je zacząć wydawać. Do emerytury oszczędności rosną, na emeryturze maleją. Do skarpety wsadzisz gotówkę? To straci na wartości. Lokaty? Również Dywersyfikacja załatwia sprawę. Ponieważ do emerytury jest solidna pensja - stały dopływ oszczędności podnosi ich wysokość. Z kolei przy niskiej emeryturze oszczędności "uzupełniają" ją do wartości oczekiwanych. |
|
| Data: 2019-08-23 21:18:57 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dopiero co opisałem podobną historię ;-))
-- -- - podejrzewam, że adres jest nieaktualny. |
|
| Data: 2019-08-23 21:38:58 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 21:18, ąćęłńóśźż pisze:
Swoją drogą ludzie się przenoszą, nie mieszkają w miejscu zameldowania etc. Ciekawe ile z tych 13 mln listów, które wysłał ZUS trafiło do adresata, a ile do osób niepowołanych. Dopiero co opisałem podobną historię ;-)) |
|
| Data: 2019-08-23 21:59:37 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-23, Szymon <z@wp.pl> wrote:
W dniu 2019-08-23 o 21:18, ąćęłńóśźż pisze: Do mnie trafił jeden niepowołany. Powołany nie trafił, bo mam PUE. :-) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-18 21:37:13 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN, Czy to jest szyfrowane zmutowanym PINem? Coś w stylu bcryptu albo innego pbkdf2? -- Krzysztof Hałasa |
|
| Data: 2019-08-18 23:31:00 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-18, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN, Jest szyfrowane kluczem wewnętrzny urządzenia (przechowywany w chipie) połączonym z passcodem. Przy nie-wyjętym dysku i działającym urządzeniu masz do złamania faktycznie tylko passcode, przy czym po 3 próbach urządzenie na godzinę się blokuje, a przy ustawieniu paranoicznym - po 10-ciu się zeruje. Opis masz tu: https://www.apple.com/business/docs/site/iOS_Security_Guide.pdf strona 15. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-20 00:07:04 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
Jest szyfrowane kluczem wewnętrzny urządzenia (przechowywany w chipie) połączonym z passcodem. Przy nie-wyjętym dysku i działającym urządzeniu masz do złamania faktycznie tylko passcode, przy czym po 3 próbach urządzenie na godzinę się blokuje, a przy ustawieniu To nie wiem dlaczego szyfrowanie wymaga ustawionego PINu. Ale może nie wymaga? -- Krzysztof Hałasa |
|
| Data: 2019-08-16 22:54:40 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
W KB była alternatywa, ale zdaje się tylko dla rach. gosp.
-- -- -- Z tym, że owe dwa banki od tokenów - CA i EB - nie miały karty kodów. |
|
| Data: 2019-08-13 16:01:42 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnql58kq.pp9.wojciech.bancer@pl-test.org...
On 2019-08-12, Szymon <z@wp.pl> wrote: [...] Niekoniecznie. Telefon można odebrać, wymusić groźbą zalogowanie do To może było praktyczne w latach 90, czy w pierwszej dekadzie 2000 roku. Gdyby byly bankowe ... bylbys troche nienormalny :-) za pomocą 2FA, a do których hacking mógłby się skończyć stratami o wiele No przyznaje - troche niewygodne. Ale ... co - udalo sie to wszystko wtloczyc w jeden telefon ? Czy majac ich 10 przestales wdrazac/kupowac rozwiazania, ktore tego nie oferowaly ? A co do karteczek, to w wielu miejscach czytałem, że ludzie sobie Jak najbardziej - czasem sie jednak przydaje mozliwosc dostepu poza domem, szczegolnie przedsiebiorcy. No i to zaleta, ze da sie zrobic kopie karteczki. Taki Revolut, czy N26 to są tego najlepszym dowodem, bo to są Ale to chyba efekt rozwoju technologii (NFC w smartfonach) i ciecia kosztow. Choc jak widac - przyjmuje sie wszedzie, "telefon mam zawsze przy sobie". Ze nie zawsze naladowany, to juz nie wspominaja. Ale dziala tez w druga strone - Revolut zwykle karty tez ma. J. |
|
| Data: 2019-08-13 16:35:15 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wtedy dzwoni do księgowej.
-- -- - czasem sie jednak przydaje mozliwosc dostepu poza domem, szczegolnie przedsiebiorcy. |
|
| Data: 2019-08-13 18:44:46 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] To może było praktyczne w latach 90, czy w pierwszej dekadzie 2000 roku. Bankowych miałem szczytowo chyba 8. Inteligo, PKO, BZWBK, mBank, Alior, Citibank, IDEA Bank i PEKAO. Sorry, ale trzymanie w domu, czy noszenie tych 30 urządzeń, czy Większość 2FA działa albo ze standardem TOTP (Time Based One-time Password), a do tego są aplikacje. Najpopularniejsza to Google Authenticator. Pozostałe albo wysyłają coś na maila, albo SMS. Banki niestety nie korzystają z tego i tworzą własne rozwiązania. Zapewne jakieś wskazania do tego są. Ale tak, można spokojnie to ogarnąć jednym telefonem. [...] Taki Revolut, czy N26 to są tego najlepszym dowodem, bo to są Ten sam argument jest prawidłowy dla tokenów sprzętowych :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-14 10:14:00 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-13 o 18:44, Wojciech Bancer pisze:
Ale to chyba efekt rozwoju technologii (NFC w smartfonach) i ciecia A masz jakieś dane nt. kosztów po stronie banku tokena sprzętowego vs. SMS? Pewnie dużo zależy od ilości SMS wysyłanych klientowi, w szczególności, gdy są darmowe, niemniej chętnie zapoznałbym się z danymi na ten temat. Jakoś nie mam przekonania, iż token sprzętowy jest droższy. |
|
| Data: 2019-08-14 10:51:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
Ale to chyba efekt rozwoju technologii (NFC w smartfonach) i cieciaTen sam argument jest prawidłowy dla tokenów sprzętowych :) Danych nie mam, bo to zazwyczaj są indywidualne ustalenia komercyjne, ale na bazie własnych umów, to myślę, że albo dogadali się na ryczałt, albo wręcz mają darmowe w ramach większego pakietu usług. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-14 11:18:05 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 10:51, Wojciech Bancer pisze:
A masz jakieś dane nt. kosztów po stronie banku tokena sprzętowego vs. SMS? Skoro przyjmujemy, iż Kowalski... no i ci przedsiębiorcy... muszą mieć telefon przy sobie, bo tyle tych autoryzacji dziennie mają... Pomnożymy to razy liczbę klientów banku to miesięcznie zrobią się dziesiątki milionów SMS-ów dla jednego banku. Może setki milionów dla większych... Tymczasem token sprzętowy wymaga pewnie wdrożenia stosownych mechanizmów, ale potem za każde hasło bank/klient już nie płaci. |
|
| Data: 2019-08-14 12:13:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
[...] A masz jakieś dane nt. kosztów po stronie banku tokena sprzętowego vs. SMS? Jak to ryczałtowa usługa, to koszt jest ryczałtowy, czyli nie jest rozliczany w pojedynczym przypadku. Tymczasem token sprzętowy wymaga pewnie wdrożenia stosownych mechanizmów, ale potem za każde hasło bank/klient już nie płaci. Mylisz "wygodę korzystania z czegoś" (tu autoryzacji którą masz przy sobie) z częstością. To po pierwsze. Po drugie nie liczysz kosztu TCO (np. szkolenie ludzi do rozwiązywania problemów, serwisowanie/wymiana urządzeń itp). Skoro w bankach to sobie policzyli i uznali że się opłaca, to znaczy że się opłaca. Chyba, że twierdzisz, że banki wbrew sobie chciały zaimplementować droższą technologię? -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-14 12:26:51 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 12:13, Wojciech Bancer pisze:
Skoro przyjmujemy, iż Kowalski... no i ci przedsiębiorcy... muszą mieć To jasne, ale ryczałt musi się opłacać obu stronom umowy. Ryczałt dla klient, który zamierza wysłać 1000 SMS-ów będzie pewnie inny niż ryczałt dla kogoś, kto wysyła milion. Mylisz "wygodę korzystania z czegoś" (tu autoryzacji którą masz Jedno z drugim się wiąże. Po drugie nie liczysz kosztu TCO (np. szkolenie ludzi do rozwiązywania problemów, Nie liczę, bo nie znam kosztów utrzymania tokenów vs. SMS. Skoro w bankach to sobie policzyli i uznali że się opłaca, Z pewnością bankom się opłaca. Pytanie tylko na czym zarabiają zmuszając klienta do korzystania z określonych rozwiązań, gdy tańsze są w zasięgu ręki. To trochę tak jak z paskiem na karcie. Nie jest potrzebny Kowalskiemu, który dokonuje transakcji w PL, głównie zbliżeniowo. Od czasu do czasu skorzysta z bankomatu - też na chip. Teoretycznie - nie kosztuje coś, czego nie ma. Zatem rezygnacja z pasków powinna być opłacalna dla banków. A jednak wskaż bank, który wydaje kartę z chipem, ale bez paska... |
|
| Data: 2019-08-14 19:42:49 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
[...] Jak to ryczałtowa usługa, to koszt jest ryczałtowy, czyli nie jest Zapewne. Ryczałt dla klient, który zamierza wysłać 1000 SMS-ów będzie pewnie inny niż ryczałt dla kogoś, kto wysyła milion. Ale szczegółów umów nie znamy więc to gdybologia. Mylisz "wygodę korzystania z czegoś" (tu autoryzacji którą masz Autoryzujesz się bo to wygodne, czy dlatego że potrzebujesz i bank tego od Ciebie wymaga? Skoro w bankach to sobie policzyli i uznali że się opłaca, Nie wiesz tego że tańsze, tylko domniemywasz. [...] -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-14 12:59:18 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Nie żartuj.
-- -- - Skoro w bankach to sobie policzyli i uznali że się opłaca, to znaczy że się opłaca. |
|
| Data: 2019-08-14 13:08:01 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnql7nm6.28g1.wojciech.bancer@pl-test.org...
On 2019-08-14, Szymon <z@wp.pl> wrote: [...] A masz jakieś dane nt. kosztów po stronie banku tokena sprzętowego vs. SMS? [...] Skoro w bankach to sobie policzyli i uznali że się opłaca, Przede wszystkim to token sprzetowy nie informuje co autoryzuje, wiec jest tak samo niebezpieczny jak lista hasel. Przy obecnych "atakach na banki" to jest powazny problem. J. |
|
| Data: 2019-08-14 14:23:52 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 13:08, J.F. pisze:
Przede wszystkim to token sprzetowy nie informuje co autoryzuje, wiec jest tak samo niebezpieczny jak lista hasel. Są ludzie, którzy uważają, iż mniejszym zagrożeniem jest fakt, iż "nie wiem co autoryzuję" niż noszenie ze sobą narzędzia autoryzacyjnego (de facto rozstawanie się z nim w wielu sytuacjach). Przy obecnych "atakach na banki" to jest powazny problem. Banki chcą byś tak myślał. Token może na Kowalskim wymusić korzystanie w domu z przelewów. Uczy go planowania wydatków, ale też nie kusi do korzystania z przygodnego sprzętu, bo akurat ma narzędzie autoryzacyjne przy sobie. Tak też możesz na to spojrzeć. |
|
| Data: 2019-08-14 14:36:17 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qj0uhs$1hdo$1@gioia.aioe.org...
W dniu 2019-08-14 o 13:08, J.F. pisze: Przede wszystkim to token sprzetowy nie informuje co autoryzuje, wiec jest tak samo niebezpieczny jak lista hasel. Są ludzie, którzy uważają, iż mniejszym zagrożeniem jest fakt, iż "nie wiem co autoryzuję" niż noszenie ze sobą narzędzia autoryzacyjnego (de facto rozstawanie się z nim w wielu sytuacjach). Akurat to narzedzie powinno byc zabezpieczone PIN, to bym sie tak bardzo nie bal. Ja sie tam bardziej boje utraty dalszej mozliwosci autoryzacji. Przy obecnych "atakach na banki" to jest powazny problem.Banki chcą byś tak myślał. To chyba jednak fakt. Token może na Kowalskim wymusić korzystanie w domu z przelewów. Uczy go planowania wydatków, ale też nie kusi do korzystania z przygodnego sprzętu, bo akurat ma narzędzie autoryzacyjne przy sobie. Tak też możesz na to spojrzeć. Zaraz - ty chcesz wymusic na Kowalskim planowania wydatkow, czy banki chca wymusic ? Bo Kowalski to akurat wybierze to, co dla niego wygodne :-P Jeden moze zostawi w domu, inny zabierze ze soba, co kto lubi. I moze nawet nie bedzie sie bal korzystania z przygodnego sprzetu, skoro ma takie super narzedzie autoryzacyjne. Tylko po co, skoro teraz coraz wiecej moze zrobic z telefonu. J. |
|
| Data: 2019-08-14 14:47:08 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 14:36, J.F. pisze:
Są ludzie, którzy uważają, iż mniejszym zagrożeniem jest fakt, iż "nie wiem co autoryzuję" niż noszenie ze sobą narzędzia autoryzacyjnego (de facto rozstawanie się z nim w wielu sytuacjach). Mnie nie przeszkadzał token bez pin. Podoba mi się też hasło maskowane i obrazek autoryzacyjny - jak w kantorze Aliora. Ja sie tam bardziej boje utraty dalszej mozliwosci autoryzacji. Czyli czego konkretniej? Przy obecnych "atakach na banki" to jest powazny problem.Banki chcą byś tak myślał. Ale te ataki to akurat są łatwe do wyeliminowania - oczywiście gdyby banki były tym zainteresowane. Zaraz - ty chcesz wymusic na Kowalskim planowania wydatkow, czy banki chca wymusic ? Ja nie chcę. Banki też nie chcą. Kowalski sam wybiera (ma wybór!) i odpowiednio do wybranej opcji działa. Bo Kowalski to akurat wybierze to, co dla niego wygodne :-P O ile będzie miał wybór. W Aliorze nie mogę wybrać tokena, bo go nie ma. Jeden moze zostawi w domu, inny zabierze ze soba, co kto lubi. To ja poproszę o obrazek w Mille, limit ponad 50.000 dziennie oraz autoryzację odciskiem palca. Zobaczysz czy prawdą jest, iż mam wybór. I moze nawet nie bedzie sie bal korzystania z przygodnego sprzetu, skoro ma takie super narzedzie autoryzacyjne. To trochę tak jak z chmurą. Są osoby wierzące, iż w chmurze jest bezpiecznie, są takie, które nawet doświadczyły minusów takiego rozwiązania. Tylko po co, skoro teraz coraz wiecej moze zrobic z telefonu. Tak, szczególnie umożliwić fraud, za który bank go obciąży. Przynajmniej nie będzie miał więcej problemów np. z lokowaniem oszczędności. ;-) |
|
| Data: 2019-08-14 16:30:39 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qj0vtf$1nb5$1@gioia.aioe.org...
W dniu 2019-08-14 o 14:36, J.F. pisze: Są ludzie, którzy uważają, iż mniejszym zagrożeniem jest fakt, iż "nie wiem co autoryzuję" niż noszenie ze sobą narzędzia autoryzacyjnego (de facto rozstawanie się z nim w wielu sytuacjach). Mnie nie przeszkadzał token bez pin. A jak ci sie w czasie urlopu zlodziej wlamie i ukradnie ? :-P Podoba mi się też hasło maskowane i obrazek autoryzacyjny - jak w kantorze Aliora. haslo maskowane - OK, choc to zabezpieczenie takie sobie. Obrazek ? Nie rozumiem tej idei - tak trudno bedzie hackerom go skopiowac ? Ja sie tam bardziej boje utraty dalszej mozliwosci autoryzacji.Czyli czego konkretniej? Ze np telefon/token ukradna, ja pieniadze mam, ale nie na tym koncie co trzeba. A przelac nie moge ... To chyba jednak fakt.Przy obecnych "atakach na banki" to jest powazny problem.Banki chcą byś tak myślał. Ale te ataki to akurat są łatwe do wyeliminowania - oczywiście gdyby banki były tym zainteresowane. Patrzac jak ostrzegaja - chyba sa zainteresowane. A jak proponujesz wyeliminowac ? Zaraz - ty chcesz wymusic na Kowalskim planowania wydatkow, czy banki chca wymusic ? Ja nie chcę. Banki też nie chcą. Kowalski sam wybiera (ma wybór!) i odpowiednio do wybranej opcji działa. Bo Kowalski to akurat wybierze to, co dla niego wygodne :-PO ile będzie miał wybór. W Aliorze nie mogę wybrać tokena, bo go nie ma. Bo za drogi :-) Tym niemniej Kowalski niekonieczne jest zainteresowany precyzyjnym planowaniem wydatkow na urlop ... Jeden moze zostawi w domu, inny zabierze ze soba, co kto lubi To ja poproszę o obrazek w Mille, limit ponad 50.000 dziennie oraz autoryzację odciskiem palca. Zobaczysz czy prawdą jest, iż mam wybór. Zawsze mozesz zmienic bank, jesli sie nie podoba .. I moze nawet nie bedzie sie bal korzystania z przygodnego sprzetu, skoro ma takie super narzedzie autoryzacyjne. To trochę tak jak z chmurą. Są osoby wierzące, iż w chmurze jest bezpiecznie, są takie, które nawet doświadczyły minusów takiego rozwiązania. Sie nie znaja, to wierza .. Tylko po co, skoro teraz coraz wiecej moze zrobic z telefonu.Tak, szczególnie umożliwić fraud, za który bank go obciąży. Przynajmniej nie będzie miał więcej problemów np. z lokowaniem oszczędności. ;-) Kowalski sie tego nie boi, bo jakby sie bal, to by musial ganiac do banku co chwila :-) J. |
|
| Data: 2019-08-14 19:39:39 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 16:30, J.F. pisze:
A jak ci sie w czasie urlopu zlodziej wlamie i ukradnie ? :-P Zdecydowanie mniejsze prawdopodobieństwo niż przechwycenie telefonu na ulicy. Obrazek ? Nie rozumiem tej idei - tak trudno bedzie hackerom go skopiowac ? Chyba tak. Jeśli strona jest "podstawiona" to obrazek się nie wyświetli. Skąd haker ma wiedzieć jaki mam ten obrazek? Ale te ataki to akurat są łatwe do wyeliminowania - oczywiście gdyby banki były tym zainteresowane. Ostrzegają, by potem móc dowodzić, iż to klient nie dochował należytej staranności. Bo Kowalski to akurat wybierze to, co dla niego wygodne :-PO ile będzie miał wybór. W Aliorze nie mogę wybrać tokena, bo go nie ma. I jak na razie nikt nie udowodnił, że tak jest. ;-) To ja poproszę o obrazek w Mille, limit ponad 50.000 dziennie oraz autoryzację odciskiem palca. Zobaczysz czy prawdą jest, iż mam wybór. Nie w sytuacji, gdy ich liczba maleje i konkurencja się kurczy. Tylko po co, skoro teraz coraz wiecej moze zrobic z telefonu.Tak, szczególnie umożliwić fraud, za który bank go obciąży. Przynajmniej nie będzie miał więcej problemów np. z lokowaniem oszczędności. ;-) Nie ma wyboru. |
|
| Data: 2019-08-14 20:31:10 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-14, Szymon <z@wp.pl> wrote:
[...] Obrazek ? Nie rozumiem tej idei - tak trudno bedzie hackerom go skopiowac ? E, to proste. Jak podasz numer klienta (na tej stronie jeszcze nie ma obrazka), to sobie pobierze ten właściwy obrazek i tyle. Te obrazki to są bardziej dla Ciebie, żebyś widział, że się nie jebłeś wpisując numer klienta, niż żeby przed hackowaniem zabezpieczyć. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-19 14:31:40 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qj1h1u$6bp$1@gioia.aioe.org...
W dniu 2019-08-14 o 16:30, J.F. pisze: A jak ci sie w czasie urlopu zlodziej wlamie i ukradnie ? :-PZdecydowanie mniejsze prawdopodobieństwo niż przechwycenie telefonu na ulicy. Niby mniejsze, ale zawsze. Obrazek ? Nie rozumiem tej idei - tak trudno bedzie hackerom go skopiowac ?Chyba tak. Jeśli strona jest "podstawiona" to obrazek się nie wyświetli. Skąd haker ma wiedzieć jaki mam ten obrazek? No jak skad - sprobuje sie zalogowac z twoim numerem uzytkownika i zobaczy. I jak na razie nikt nie udowodnił, że tak jest. ;-)Bo za drogi :-)Bo Kowalski to akurat wybierze to, co dla niego wygodne :-PO ile będzie miał wybór. W Aliorze nie mogę wybrać tokena, bo go nie ma. Chyba wszystkie banki udowodnily ... bo sie wycofaly, przynajmniej dla klientow prywatnych. Swoja droga dawno temu Lukas pobieral cos 30zl od tokena ... ale to byla oplata promocyjna, jak klient zgubil, to bylo juz 100 czy 150 zl ... To ja poproszę o obrazek w Mille, limit ponad 50.000 dziennie oraz autoryzację odciskiem palca. Zobaczysz czy prawdą jest, iż mam wybór. Nie w sytuacji, gdy ich liczba maleje i konkurencja się kurczy. Na razie jeszcze troche ich jest. No coz, mozesz tez umowic sie z kolegami i otworzyc wlasny bank :-P Tylko po co, skoro teraz coraz wiecej moze zrobic z telefonu.Tak, szczególnie umożliwić fraud, za który bank go obciąży. Przynajmniej nie będzie miał więcej problemów np. z lokowaniem oszczędności. ;-) Nie ma wyboru. Ma - moze sobie zalozyc konto bez dostepu z internetu. J. |
|
| Data: 2019-08-19 14:46:37 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 14:31, J.F. pisze:
Obrazek ? Nie rozumiem tej idei - tak trudno bedzie hackerom go skopiowac ?Chyba tak. Jeśli strona jest "podstawiona" to obrazek się nie wyświetli. Skąd haker ma wiedzieć jaki mam ten obrazek? Traktuję numer użytkownika jako dane wrażliwe. A zatem nie jest łatwo go pozyskać. Chyba wszystkie banki udowodnily ... bo sie wycofaly, przynajmniej dla klientow prywatnych. To, że produkt został wycofany nie znaczy, że był zbyt drogi. Swoja droga dawno temu Lukas pobieral cos 30zl od tokena ... ale to byla oplata promocyjna, jak klient zgubil, to bylo juz 100 czy 150 zl .. Zawsze miałem tokeny za darmo. W Lukasie, a potem CA też. Rzeczywiście opłaty za zgubienie/nieoddanie były wysokie. Pewnie chciano w ten sposób zachęcić klientów do trzymania w bezpiecznym miejscu, a nie noszenia przy sobie np. w formie breloczka. A może to nie wyszło i postanowili zlikwidować? Nie wiem. No coz, mozesz tez umowic sie z kolegami i otworzyc wlasny bank :-P https://www.bankier.pl/wiadomosc/Ustawa-antylichwiarska-szansa-dla-pozyczek-spolecznosciowych-7723057.html Czemu nie - ciekawy artykuł z dziś. Jeśli wróciłyby czasy kokos.pl, ale tym razem z weryfikacją pożyczkobiorców to w zasadzie już blisko "banku". Ma - moze sobie zalozyc konto bez dostepu z internetu. Absurdalny argument. |
|
| Data: 2019-08-19 14:56:18 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qje5ok$198m$1@gioia.aioe.org...
W dniu 2019-08-19 o 14:31, J.F. pisze: Obrazek ? Nie rozumiem tej idei - tak trudno bedzie hackerom go skopiowac ?Chyba tak. Jeśli strona jest "podstawiona" to obrazek się nie wyświetli. Skąd haker ma wiedzieć jaki mam ten obrazek? Traktuję numer użytkownika jako dane wrażliwe. A zatem nie jest łatwo go pozyskać. Ale w jakiej sytuacji ? Gdy np ktos Ci podstawi falszywa strone banku i poczeka az ten numer wpiszesz ? Chyba wszystkie banki udowodnily ... bo sie wycofaly, przynajmniej dla klientow prywatnych.To, że produkt został wycofany nie znaczy, że był zbyt drogi. Byl tanszy ale gorszy ? :-) Owszem - gorszy jest - bo ciagle nie wiesz, co autoryzujesz. Swoja droga dawno temu Lukas pobieral cos 30zl od tokena ... ale to byla oplata promocyjna, jak klient zgubil, to bylo juz 100 czy 150 zl .. Zawsze miałem tokeny za darmo. W Lukasie, a potem CA też. Rzeczywiście opłaty za zgubienie/nieoddanie były wysokie. Pewnie chciano w ten sposób zachęcić klientów do trzymania w bezpiecznym miejscu, a nie noszenia przy sobie np. w formie breloczka. A może to nie wyszło i postanowili zlikwidować? Nie wiem. Z drugiej strony to jednak porzadne tokeny byly, amerykanskie. To nie moglo byc zbyt tanie ... hm ... $9.99 w hurcie ? Dzis ... no, moze by sie dalo i taniej. Nawiasem mowiac - bateria starczala na ~3 lata. Tzn moze i dluzej dzialala, ale token po 3 latach wygaszal ekran. Producent sobie zapewnil staly dochod ? Ma - moze sobie zalozyc konto bez dostepu z internetu.Absurdalny argument. No skoro tak sie boisz obrabowania przez internet, to odetnij go. Tak czy inaczej - na razie klient wybor ma, i to dosc spory. J. |
|
| Data: 2019-08-19 15:06:01 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 14:56, J.F. pisze:
Traktuję numer użytkownika jako dane wrażliwe. A zatem nie jest łatwo go pozyskać. W każdej. Gdy np ktos Ci podstawi falszywa strone banku i poczeka az ten numer wpiszesz ? Nie loguję się na fałszywe strony. Chyba wszystkie banki udowodnily ... bo sie wycofaly, przynajmniej dla klientow prywatnych.To, że produkt został wycofany nie znaczy, że był zbyt drogi. Nie wiem. Owszem - gorszy jest - bo ciagle nie wiesz, co autoryzujesz. Może zaliczam się do świadomych użytkowników, którzy jednak wiedzą co robią. Nawiasem mowiac - bateria starczala na ~3 lata. Raz mi się zdarzyło wymienić z powodu utraty ważności. Nie wiem na ile była bateria, ale tokeny miały datę ważności - jak karty. Tzn moze i dluzej dzialala, ale token po 3 latach wygaszal ekran. Pierwsze słyszę. Mój działał inaczej. Pewnego dnia pojawiła się na nim liczba "3"... Potem "2", a potem wymieniłem - to była informacja, że kończy się termin ważności i wymaga wymiany (od ręki, w placówce wymieniłem). Producent sobie zapewnil staly dochod ? Nie umiem powiedzieć czym była powodowana wymiana. Ma - moze sobie zalozyc konto bez dostepu z internetu.Absurdalny argument. Ale zamierzasz w to brnąć? Tak czy inaczej - na razie klient wybor ma, i to dosc spory. Jaki wybór? Używania tokena? Czy oprocentowania? |
|
| Data: 2019-08-19 15:17:17 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qje6t0$1eb6$1@gioia.aioe.org...
W dniu 2019-08-19 o 14:56, J.F. pisze: W każdej.Traktuję numer użytkownika jako dane wrażliwe. A zatem nie jest łatwo go pozyskać.Ale w jakiej sytuacji ? To np moge sobie wstukac losowe numery i zobaczyc czy załapie. Gdy np ktos Ci podstawi falszywa strone banku i poczeka az ten numer wpiszesz ? Nie loguję się na fałszywe strony. Tzn masz nadzieje :-) Nie masz tez loggera klawiatury itp :-) Nie wiem.Byl tanszy ale gorszy ? :-)Chyba wszystkie banki udowodnily ... bo sie wycofaly, przynajmniej dla klientow prywatnych.To, że produkt został wycofany nie znaczy, że był zbyt drogi. Owszem - gorszy jest - bo ciagle nie wiesz, co autoryzujesz.Może zaliczam się do świadomych użytkowników, którzy jednak wiedzą co robią. Nie wiesz. Nawiasem mowiac - bateria starczala na ~3 lata.Raz mi się zdarzyło wymienić z powodu utraty ważności. Nie wiem na ile była bateria, ale tokeny miały datę ważności - jak karty. Tylko ze przy kartach data miala pewien sens, a przy tokenach zadnych. A bateria byla niewymienna. Tzn moze i dluzej dzialala, ale token po 3 latach wygaszal ekran. Pierwsze słyszę. Mój działał inaczej. Pewnego dnia pojawiła się na nim liczba "3"... Potem "2", a potem wymieniłem - to była informacja, że kończy się termin ważności i wymaga wymiany (od ręki, w placówce wymieniłem). No jakos tak. A jak poczekales jeszcze troche, to przestawal dzialac - tzn przestawal generowac uzyteczne kody, bo widac bylo, ze zasilanie jeszcze jest. Producent sobie zapewnil staly dochod ?Nie umiem powiedzieć czym była powodowana wymiana. Tak czy inaczej - bateria wieczna nie bedzie. Tak czy inaczej - na razie klient wybor ma, i to dosc spory.Jaki wybór? Używania tokena? Czy oprocentowania? Wyboru banku. I jak chce miec obrazek, tokena itp ... to musi sprawdzic - moze akurat ktorys to ma .. Tylko odejscie od tokenow jest chyba globalne ... J. |
|
| Data: 2019-08-19 15:46:42 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 15:17, J.F. pisze:
To np moge sobie wstukac losowe numery i zobaczyc czy załapie. A skąd będziesz wiedział, że akurat trafiłeś w mój? Nie loguję się na fałszywe strony. Stwierdzam fakt po dość długim okresie intensywnego korzystania. Tylko ze przy kartach data miala pewien sens, a przy tokenach zadnych. Być może. A wymiana kart co rok w mB na początku działalności miała sens? No jakos tak. A jak poczekales jeszcze troche, to przestawal dzialac - tzn przestawal generowac uzyteczne kody, bo widac bylo, ze zasilanie jeszcze jest. Tylko, że on był potrzebny do logowania, zatem po utracie ważności przestałby pełnić swoją funkcję. Tak czy inaczej - na razie klient wybor ma, i to dosc spory.Jaki wybór? Używania tokena? Czy oprocentowania? Coraz mniejszy. 2/3 banków komercyjnych wyparowało w ciągu ostatnich lat i konsolidacja trwa. Ostatnio naliczyłem 26 banków na stronie BFG. Realnie mógłbym skorzystać z kilku. I jak chce miec obrazek, tokena itp ... to musi sprawdzic - moze akurat ktorys to ma .. Nie ma. Już token staje się wyzwaniem nie do przejścia. Tylko odejscie od tokenow jest chyba globalne ... Właśnie. Jakiś czas temu napisałem dlaczego korzystam z tych, a nie innych banków. Każdy miał jakieś "naj". Nikt nie wskazał oferty lepszej. Wniosek pozostaje taki, iż mój wybór jest optymalny. |
|
| Data: 2019-08-19 16:54:55 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qje998$1pce$1@gioia.aioe.org...
W dniu 2019-08-19 o 15:17, J.F. pisze: To np moge sobie wstukac losowe numery i zobaczyc czy załapie.A skąd będziesz wiedział, że akurat trafiłeś w mój? Stwierdzam fakt po dość długim okresie intensywnego korzystania.Nie loguję się na fałszywe strony.Tzn masz nadzieje :-) Jak wszyscy. A potem jest ten pierwszy raz :-P Tylko ze przy kartach data miala pewien sens, a przy tokenach zadnych. Być może. A wymiana kart co rok w mB na początku działalności miała sens? Taki byl zwyczaj. Zreszta pasek magnetyczny mial ograniczona zywotnosc. No jakos tak. A jak poczekales jeszcze troche, to przestawal dzialac - tzn przestawal generowac uzyteczne kody, bo widac bylo, ze zasilanie jeszcze jest. Tylko, że on był potrzebny do logowania, zatem po utracie ważności przestałby pełnić swoją funkcję. No ale wlasnie czemu taka krotka ta utrata waznosci ... Tak czy inaczej - na razie klient wybor ma, i to dosc spory.Jaki wybór? Używania tokena? Czy oprocentowania? Coraz mniejszy. 2/3 banków komercyjnych wyparowało w ciągu ostatnich lat i konsolidacja trwa. Ostatnio naliczyłem 26 banków na stronie BFG. To ciagle duzo. Realnie mógłbym skorzystać z kilku. Chyba z wiekszej ilosci .. J. |
|
| Data: 2019-08-19 19:07:10 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-19 o 16:54, J.F. pisze:
Być może. A wymiana kart co rok w mB na początku działalności miała sens? Inne banki dawały na 2 lata. Zreszta pasek magnetyczny mial ograniczona zywotnosc. Większą niż rok. mB zresztą po jakimś czasie wydłużył ważność kart. Tylko, że on był potrzebny do logowania, zatem po utracie ważności przestałby pełnić swoją funkcję. Krótka? Jakoś 3-4 lata mój był ważny. Może więcej, ale z pewnością nie mniej. Coraz mniejszy. 2/3 banków komercyjnych wyparowało w ciągu ostatnich lat i konsolidacja trwa. Ostatnio naliczyłem 26 banków na stronie BFG. Dla Ciebie tak, dla mnie nie. Realnie mógłbym skorzystać z kilku. Nie. Większość nie spełnia moich oczekiwań. Niektóre są mi niedostępne (np. Mercedes-Benz Bank). |
|
| Data: 2019-08-20 00:27:26 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Z drugiej strony to jednak porzadne tokeny byly, amerykanskie. Przesuń kropkę o jedno miejsce w prawo. Przy czym to nawet nie zależało specjalnie od producenta. Nawiasem mowiac - bateria starczala na ~3 lata. No ba. -- Krzysztof Hałasa |
|
| Data: 2019-08-20 11:58:56 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Krzysztof Halasa" napisał w wiadomości grup dyskusyjnych:m38srolrjl.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes: Z drugiej strony to jednak porzadne tokeny byly, amerykanskie. Przesuń kropkę o jedno miejsce w prawo. Widac taka cena rynkowa :-) Ale ten token RSA ... maly i na oko prosty, wiec tani. Cena dla bankow w hurcie nie spadala ? Bo $99 .. sporo jakos. Szczegolnie ze wtedy $ byl wiecej warty. I wcale sie nie dziwie, ze banki byly niechetne. J. |
|
| Data: 2019-08-20 12:42:27 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 11:58, J.F. pisze:
Przesuń kropkę o jedno miejsce w prawo. Wątpliwe. RSA Security ma również bardzo duży udział w rynku (kilkadziesiąt procent), co powinno wpływać na poziom dopracowania oferowanych produktów. Z drugiej jednak strony nie ma co ukrywać, że tokeny tej firmy są kosztowną "zabawką" w porównaniu z konkurencją. Szczególnie nieciekawie wypada to w zderzeniu z tokenami IdentityGuard firmy Entrust, która wprowadzając je w tym roku w cenie ok. 5 USD za sztukę zachwiała rynkiem. Trochę droższe, ale w dalszym ciągu tanie "breloczki" (w porównaniu z RSA, za które zapłacimy 20 USD) oferuje firma Vasco - kosztują ok. 8 USD. -- -- -- -- - 20 USD. Dodajmy do tego promocje, np. https://www.events.arrowecs.pl/rsa-wiosna Dodatkowe rabaty na zakup tokenów w ilości min. 100 szt. Wreszcie przy zakupie setek, może tysięcy w skali banku cena niewątpliwie jeszcze mocno spadnie. Tu masz przykład przetargu Ministerstwa Finansów: http://www.komunikaty.pl/komunikaty/p/Przetargi/5067495/zakup+280+sztuk+sprzetowych+tokenow+rsa+securi |
|
| Data: 2019-08-20 13:05:49 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qjgirr$1r4g$1@gioia.aioe.org...
W dniu 2019-08-20 o 11:58, J.F. pisze: Przesuń kropkę o jedno miejsce w prawo. Wątpliwe. Ciekawe bylby jeszcze ceny z okolic roku 2000, gdy sie to decydowalo w bankach ... 20 USD. Dodajmy do tego promocje, np. https://www.events.arrowecs.pl/rsa-wiosna Dodatkowe rabaty na zakup tokenów w ilości min. 100 szt. Wreszcie przy zakupie setek, może tysięcy w skali banku cena niewątpliwie jeszcze mocno spadnie. ale to jest 280 sztuk. Przy 280 tys sztuk promocja jest caly czas :-) I to model z klawiaturką, wiec drozszy. Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie widac gdzie bardziej wytarte ? A propos ... a ten seed to jest jakos zabezpieczony, ze ministerstwo sie nie boi, ze dostawca bedzie go znal ? J. |
|
| Data: 2019-08-20 13:29:57 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
A propos ... a ten seed to jest jakos zabezpieczony, ze ministerstwo Normalnie to tej firmie nikt by nie wierzył, ale ministerstwa to inna sprawa. -- Krzysztof Hałasa |
|
| Data: 2019-08-20 14:24:44 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 13:05, J.F. pisze:
Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie widac gdzie bardziej wytarte ? Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji przelewu to przepisuję go w całości. Tymczasem kod wyświetlony na tokenie stanowił jedynie część hasła. Kradzież tokena nie jest zatem problemem, bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS - owszem. Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu bezpieczeństwa? Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom. Tu token także lepiej się sprawdza. Ale w kombinacji hasło+SMS samo przejęcie SMSa nie będzie miało poważnych konsekwencji. Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na podstawioną stronę, podaje login/hasło, powiedzmy że się nie orientuje, iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy mają login, hasło, SMS. Logują się na właściwą i dokonują przelewu. W przypadku tokena i fałszywej strony działania hakera musiałby się odbyć w tym samym czasie. Czyli logowanie, przelew. Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce te same pola, o które poprosi hakera oryginalna strona są małe. A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo? Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na fałszywkę. Chcę zrobić przelew, w znakomitej większości korzystam ze zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest nie tak? |
|
| Data: 2019-08-20 05:28:47 | |
| Autor: Kris | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu wtorek, 20 sierpnia 2019 14:25:27 UTC+2 użytkownik Szymon napisał:
Chcę zrobić przelew, w znakomitej większości korzystam ze zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest nie tak? Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie tak |
|
| Data: 2019-08-20 14:35:52 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Kris" napisał w wiadomości grup dyskusyjnych:c772e8a8-065f-4897-b15b-f3c4a9efc14d@googlegroups.com...
W dniu wtorek, 20 sierpnia 2019 14:25:27 UTC+2 użytkownik Szymon napisał: Chcę zrobić przelew, w znakomitej większości korzystam ze Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie tak Przeciez przy wejsciu na falszywa strone jej serwer moze sie polaczyc z oryginalna i pokazac Ci wszystko co trzeba. I jeszcze wyswietli komunikat "zgodnie z nowa unijna dyrektywa PSD2 stare przelewy zdefininowane stracily waznosc i musza byc ponownie aktywowane. Czy chcesz aktywowac niniejszego odbiorce ?" Po czym oczywiscie bedzie "podaj haslo potwierdzajace" :-P J. |
|
| Data: 2019-08-20 14:39:40 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 14:28, Kris pisze:
Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie tak A jednak tylu ludzi się nabiera... Jak to tłumaczyć? W sumie masz rację - saldo widać nawet szybciej niż zdefiniowane przelewy. |
|
| Data: 2019-08-20 14:49:36 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-20, Kris <kszysztofc@gmail.com> wrote:
[...] Chcę zrobić przelew, w znakomitej większości korzystam ze zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest nie tak? Napisanie "proxy" które będzie pobierało dane ze strony banku to nie jest jakaś skomplikowana rzecz. W pierwszym kroku zawsze podajesz login i hasło, więc wyczytanie tych informacji to dość trywialna sprawa. Kwestia tylko i wyłącznie tego jak porządnie ktoś przygotuje się do działania pod konkretny bank. Pozatym ostatnie wektory ataku to są ataki nie bezpośrednio na konto, tylko bardziej udające strony do płatności online. Tam to już w ogóle jest łatwiej, bo przecież masz tylko dwa ekrany: - formatka do loginu i hasła - stronę do autoryzacji transakcji I jedyne miejsce gdzie możesz wychwycić że coś się nie zgadza, to komunikat autoryzacyjny w SMS lub Push, bo na ekranie Ci się wszystko będzie zgadzać. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-20 14:52:20 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqlnr31.2gb6.wojciech.bancer@pl-test.org...
On 2019-08-20, Kris <kszysztofc@gmail.com> wrote: [...] Pozatym ostatnie wektory ataku to są ataki nie bezpośrednio I jedyne miejsce gdzie możesz wychwycić że coś się nie A tak swoja droga - ta dyrektywa ma przeciez umozliwiac zarzadzanie kontem przez strony innej firmy. Jest przewidziana jakas procedura weryfikacji tych innych firm i dostepow przez nie, czy mozna sie spodziewac calej masy falszywek ? J. |
|
| Data: 2019-08-20 16:08:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-20, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] I jedyne miejsce gdzie możesz wychwycić że coś się nie Pewnie to trochę będzie tak jak z terminalami. By móc się podpiąć do systemu, musisz być wiarygodny, tzn. przejść weryfikację (w przypadku kart masz PCI DSS). Serwisy online które zapisują dane kart również muszą być zweryfikowane pod tym kątem. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-20 17:07:42 | |
| Autor: Pete | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 14:52, J.F. pisze:
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqlnr31.2gb6.wojciech.bancer@pl-test.org... https://legalgeek.pl/mala-instytucja-platnicza-licencja-dla-fintechu-wymogi-prawne/ -- Pete |
|
| Data: 2019-08-20 15:02:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-20, Wojciech Bancer <wojciech.bancer@gmail.com> wrote:
On 2019-08-20, Kris <kszysztofc@gmail.com> wrote: Żeby nie być gołosłownym, to takie najbardziej prymitywne rozwiązanie to chociażby: https://github.com/chimurai/http-proxy-middleware -- - var express = require('express'); var proxy = require('http-proxy-middleware'); var app = express(); app.use('/', proxy({ target: 'http://strona.mojego.banku', changeOrigin: true })); app.listen(3000); -- - Czyli jakieś 6 linijek kodu i wszystko masz "przekazywane", tak że jedynie po domenie widzisz różnicę. Bank również dostaje wszystkie właściwe dane, nagłówki przeglądarki itp., wszystko od Ciebie. Oczywiście banki stosują pewne zabezpieczenia, ale jak ktoś wie co robi, to i je obejdzie. A w środku powyższego możesz dodać kod dowolnie modyfikujący wybrane fragmenty strony, czy tego co użytkownik przekazuje. Dopisanie więc, że przelew który użytkownik autoryzuje zamiast 1,00 zł, to <saldo konta>,00 zł, to dość prosta rzecz. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-20 14:46:07 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qjgork$m5b$1@gioia.aioe.org...
W dniu 2019-08-20 o 13:05, J.F. pisze: Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie widac gdzie bardziej wytarte ? Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji przelewu to przepisuję go w całości. Tymczasem kod wyświetlony na tokenie stanowił jedynie część hasła. Kradzież tokena nie jest zatem problemem, Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez zabezpieczenia. bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS - owszem. No, samym sms niewiele zrobisz - ciagle trzeba wpisac jakies haslo. Tzn mam nadzieje, ze w tej nowej PSD2 tak bedzie. Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja bedzie w aplikacji. I tam sie juz haslo moze pojawic. Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom. Jesli sie nie myle - to takowe juz istnieja. Tu token także lepiej się sprawdza. Ale sie gorzej sprawdza w kwestii informacji co autoryzujesz. Wrecz w ogole sie nie sprawdza. Ale w kombinacji hasło+SMS samo przejęcie SMSa nie będzie miało poważnych konsekwencji. Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na podstawioną stronę, podaje login/hasło, powiedzmy że się nie orientuje, iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy mają login, hasło, SMS. Logują się na właściwą i dokonują przelewu. A jak zainstaluja wirusa, to im nawet przepisanie SMS niepotrzebne. W przypadku tokena i fałszywej strony działania hakera musiałby się odbyć w tym samym czasie. Czyli logowanie, przelew. Zaden problem - raz oszukales komputer usera, to pewnie jeszcze pare razy oszukasz. Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce te same pola, o które poprosi hakera oryginalna strona są małe. Ale haslo jest stale ? To po paru probach ustali pelne haslo. A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo? IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac dokladnie tego samego co bank. W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo - mozna probowac w ciemno, a noz sie trafi .. J. |
|
| Data: 2019-08-20 15:17:39 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 14:46, J.F. pisze:
Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez zabezpieczenia. Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie tokena. Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja bedzie w aplikacji. Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji. >> W przypadku tokena i fałszywej strony działania hakera musiałby się odbyć w tym samym czasie. Czyli logowanie, przelew. Czyli zakładasz, że klient będzie kilkanaście/kilkadziesiąt razy korzystał z fałszywki, bo haker "zbiera" informację, aby mieć pełne hasło przy maskowanym? Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce te same pola, o które poprosi hakera oryginalna strona są małe. Tak, jest stałe. Potrzeba raczej kilkudziesięciu prób. W tym czasie fałszywka ma się zachowywać jak prawdziwa? Tzn. realizować przelewy itd., aby klient nie zorientował się, że np. nie dochodzą i coś jest nie tak? A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo? Masz rację. Wymagane byłoby pewne opóźnienie, ale z punktu widzenia klienta może być niezauważalne. W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo - mozna probowac w ciemno, a noz sie trafi .. To mało prawdopodobne. |
|
| Data: 2019-08-20 15:40:23 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qjgrur$144g$1@gioia.aioe.org...
W dniu 2019-08-20 o 14:46, J.F. pisze: Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez zabezpieczenia. Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie tokena. Ale to nie to samo co token z klawiaturka, ktorego zlodziej nie odblokuje. Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja bedzie w aplikacji. Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji. Byc moze, ale widac, ze pomysl im sie podoba, a przeciez "kazdy ma smartfona". W przypadku tokena i fałszywej strony działania hakera musiałby się Czyli zakładasz, że klient będzie kilkanaście/kilkadziesiąt razy korzystał z fałszywki, bo haker "zbiera" informację, aby mieć pełne hasło przy maskowanym? Tak. Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce te same pola, o które poprosi hakera oryginalna strona są małe. Tak, jest stałe. Potrzeba raczej kilkudziesięciu prób. IMO mniej - zakladajac ze haslo ma np 10 znakow, z ktorych naraz podajesz 4 czy 5. A jesli bank nie spyta o ten dziesiaty znak przez kilka logowan ... to moze do przelewu tez wystarczy 9 znanych. W tym czasie fałszywka ma się zachowywać jak prawdziwa? Tzn. realizować przelewy itd., aby klient nie zorientował się, że np. nie dochodzą i coś jest nie tak? tak, jakies proxy uwazam za sensowne ... i chyba nawet mialy miejsce w rzeczywistosci, bo jakby omineli hasla jednorazowe z listy ? ale nawet jesli nie - tak trudno zasugerowac, ze cos jest zle ? wysypac przegladarke, zamknac okno, napisac "serwer przeciazony, sprobuj za kilka minut", czy "haslo nieprawidlowe - wprowadz jeszcze raz" - i przekierowac na oryginalna strone. A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo? Masz rację. Wymagane byłoby pewne opóźnienie, ale z punktu widzenia klienta może być niezauważalne. Jak bedzie realizowal komputer - to niezauwazalnie male. W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo - mozna probowac w ciemno, a noz sie trafi ..To mało prawdopodobne. 1:1000. Tysiac prob i trafiles. Robiac dwie dziennie - efekt w ciagu niecalych dwoch lat. Ale majac namierzonych 10 frajerow - juz co dwa miesiace. Pytanie tylko czy bank wczesniej nie zareaguje, bo zlicza te nieudane proby ... albo podejrzany mu sie wyda adres IP ktory tak czesto sie myli .. J. |
|
| Data: 2019-08-20 16:12:21 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 15:40, J.F. pisze:
Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji. Tak, masz rację. Jednocześnie Alior na swoich stronach podaje: "Urządzenie z którego korzystasz do obsługi aplikacji Google Pay (wczesniej Android Pay) musi być skutecznie zabezpieczone przed zagrożeniami poprzez zainstalowanie aktualnego oprogramowania antywirusowego renomowanego producenta." Ciekawe czy ten wymóg może potem skutkować jakimiś problemami dla klienta (np. z odrzuceniem reklamacji). I dalej: "Pamiętaj, że Twoje urządzenie mobilne to klucz do Twoich finansów! Jego utrata lub przejęcie przez przestępców może skutkować przejęciem konta bankowego, a w rezultacie utratą środków pieniężnych." Myślę, że część klientów woli mieć do dyspozycji klawiaturę obsługując system transakcyjny. Jeszcze innych przekona większy ekran monitora. Stąd smartfonowe aplikacje będą mieć raczej ograniczony zasięg. No - może do autoryzacji (wzorem tokenuGSM w EB). Swoją drogą do obsługi foreksu często są dostępne aplikacje mobilne i na komputery. Banki rozwijają te pierwsze, ale niekoniecznie drugie. Pewnie mają swoje powody, ale być może aplikacja komputerowa dałaby większy poziom bezpieczeństwa niż przez przeglądarkę. |
|
| Data: 2019-08-20 16:30:10 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qjgv5d$1ig0$1@gioia.aioe.org...
W dniu 2019-08-20 o 15:40, J.F. pisze: Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji. Tak, masz rację. Jednocześnie Alior na swoich stronach podaje: Ciekawe czy ten wymóg może potem skutkować jakimiś problemami dla klienta (np. z odrzuceniem reklamacji). Nieznane sa wyroki sadow rejonowych :-) Z jednej strony - oczywiscie moze, z drugiej ... a gdzie lista renomowanych (dla banku) producentow ? I dalej: Ale to samo mialbys z tokenem. Myślę, że część klientów woli mieć do dyspozycji klawiaturę obsługując system transakcyjny. Jeszcze innych przekona większy ekran monitora. Stąd smartfonowe aplikacje będą mieć raczej ograniczony zasięg. No - może do autoryzacji (wzorem tokenuGSM w EB). Dokladnie o autoryzacji pisalem ... ale mysle, ze sporo klientow bedzie wolalo obslugiwac konto z telefonu. Ewentualnie - odbiorce sobie zdefiniuja na komputerze, przelewac potem beda z telefonu. No i zobacz kolejne pomysly rozwojowe - np platnosci przez QR-kod. A komputera nie odczytasz. Co prawda ... fajnie sie to skanuje z papieru, ale papier jest drogi. mozna zeskanowac e-maila z ekranu komputera ... ale jak ktos woli e-maile czytac na telefonie ? :-) Swoją drogą do obsługi foreksu często są dostępne aplikacje mobilne i na komputery. Banki rozwijają te pierwsze, ale niekoniecznie drugie. Ale tu inna sprawa - tu trzeba byc czujnym. I miec aplikacje zawsze pod reka ... czyli w telefonie. Pewnie mają swoje powody, ale być może aplikacja komputerowa dałaby większy poziom bezpieczeństwa niż przez przeglądarkę. A to swoja droga - czemu na telefonie dedykowany program, a na komputerze przegladarka. Przegladarka kompa wystarcza, a przegladarka z telefonu nie wyrabia ? Nie akceptuje ActiveX ? ... od tego sie chyba odchodzi, javascript potrafi duzo. Strona duzo danych transmituje ? Czy jednak bezpieczenstwo dedykowanej aplikacji ... czy po prostu chca przy okazji wiecej danych zgromadzic - liste kontaktow np :-) J. |
|
| Data: 2019-08-20 17:00:20 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 16:30, J.F. pisze:
Tak, masz rację. Jednocześnie Alior na swoich stronach podaje: Jeśli jednak MUSI to wydaje się, iż bank stawia to za warunek. Z drugiej strony są osoby, które twierdzą, że wirusów na Androida nie jest dużo. Z jednej strony - oczywiscie moze, z drugiej ... a gdzie lista renomowanych (dla banku) producentow ? No widzisz... Dziwnie. Przeglądałem sobie stronę dot. KK w Aliorze i tam czytam: Zasada zerowej odpowiedzialności (Mastercard Zero Liability) chroni posiadaczy kart przed odpowiedzialnością za nieautoryzowane transakcje na kartach kredytowych oraz debetowych Mastercard. Zasada zerowej odpowiedzialności to zapewnienie posiadacza karty, że jeśli przeprowadzona zostanie jakakolwiek nieautoryzowana transakcja na karcie Mastercard, posiadacz karty nie będzie ponosił odpowiedzialności za tę transakcję, o ile zachowa należytą ostrożność w zabezpieczeniu karty kredytowej oraz karty debetowej przed nieautoryzowanym użyciem i bezzwłocznie zgłosi jej nieuprawnione wykorzystanie. Jak widać ta "należyta ostrożność" jest kluczowa. Swoją drogą do obsługi foreksu często są dostępne aplikacje mobilne i na komputery. Banki rozwijają te pierwsze, ale niekoniecznie drugie. Nie masz racji. Podstawą jest komputer i niejednokrotnie z dwoma monitorami. Trzeba bowiem śledzić kurs - wykresy trochę zajmują. To najważniejsza cecha. Trochę mniej istotna, ale też ważna - zdecydowanie łatwiej jest posługiwać się klawiaturą komputerową niż telefoniczną, która Ci zasłonie znaczną część i tak maciupkiego ekraniku. |
|
| Data: 2019-08-21 05:53:13 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 20 Aug 2019 17:00:20 +0200, Szymon napisał(a):
W dniu 2019-08-20 o 16:30, J.F. pisze: I to ladnie wyglada w zarzucie dla sadu - wymagal, ale sie nie okreslil, wiec klient mogl uwazac ze ... :-) Przeglądałem sobie stronę dot. KK w Aliorze i tam czytam: IMO - jakas duza niepewnosc prawna, bo co dokladnie meli na mysli ... i to w calosci, co to np jest "nieautoryzowane uzycie" ? Ale dalej ... i po to nacisk na aplikacje, zeby klientowi mozna bylo zarzucic zwloke w zglaszaniu ? :-) Swoją drogą do obsługi foreksu często są dostępne aplikacje mobilne i na komputery. Banki rozwijają te pierwsze, ale niekoniecznie drugie. No, jak robisz zawodowo to tak, ale potem wychodzisz do toalety w a miedzyczasie frank skacze, wiec smartfon potrzebny :-) Trochę mniej istotna, ale też ważna - zdecydowanie łatwiej jest posługiwać się klawiaturą komputerową niż telefoniczną, która Ci zasłonie znaczną część i tak maciupkiego ekraniku. Na forexie ? Tam przeciez tylko liczby wprowadzasz, i to rzadko. Nawiasem mowiac mozna by chyba te liczby wprowadzac w wykresy klikajac. Tak czy inaczej to nie nie tlumaczy tej dwoistosci podejscia bankow. J. |
|
| Data: 2019-08-21 19:59:15 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-21 o 05:53, J.F. pisze:
Z jednej strony - oczywiscie moze, z drugiej ... a gdzie lista Pamiętam reportaż w TVN, gdy bank odrzucił reklamację. Klient udowadniał, iż miał oprogramowanie antywirusowe oraz korzystał z licencjonowanych programów i wszystko na bieżąco aktualizował. Fakt, że materiał sprzed paru lat, ale najwyraźniej to są słabe punkty w postępowaniu reklamacyjnym. Jak widać ta "należyta ostrożność" jest kluczowa. Jw. Myślę, że mogą sprawdzać czy miałeś aktualizacje, antywirusa itd. Sęk w tym, iż gdyby się uparli - bardzo łatwo można udowodnić brak należytej staranności. Liczba aktualizacji jest tak duża, iż często odkłada się je na potem. No, jak robisz zawodowo to tak, ale potem wychodzisz do toalety w a Zdecydowanie nie. To raczej spekulanci, a nie inwestorzy. Trochę mniej istotna, ale też ważna - zdecydowanie łatwiej jest Jeśli chcesz zobaczyć jak to jest - zainstaluj sobie demo. To tak nie wygląda, jak sobie wyobrażasz. W zasadzie standardowo ekran jest dzielony na 4 części. To pozwala obserwować 4 instrumenty. A to mało! Nawiasem mowiac mozna by chyba te liczby wprowadzac w wykresy Klawiatura numeryczna jest tu kluczem. No i spróbuj sobie wyobrazić ekran smartfona podzielony na 4 i w połowie czy tam 1/3 zasłonięty klawiaturą. ;-) Tak czy inaczej to nie nie tlumaczy tej dwoistosci podejscia bankow. Aplikacja działa zdecydowanie szybciej niż operowanie na koncie przez www. |
|
| Data: 2019-08-22 08:58:06 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qjk0qs$cl0$1@gioia.aioe.org...
W dniu 2019-08-21 o 05:53, J.F. pisze: No, jak robisz zawodowo to tak, ale potem wychodzisz do toalety w a Zdecydowanie nie. To raczej spekulanci, a nie inwestorzy. pisales o aplikacjach (czemu nie "program"?) dla forexa, wiec zdecydowanie spekulanci. Ale inwestor walutowy to nie moze stracic na naglej zmianie kursu ? Trochę mniej istotna, ale też ważna - zdecydowanie łatwiej jest Jeśli chcesz zobaczyć jak to jest - zainstaluj sobie demo. To tak nie wygląda, jak sobie wyobrażasz. W zasadzie standardowo ekran jest dzielony na 4 części. To pozwala obserwować 4 instrumenty. A to mało! Ok, malo, ale mowiles, ze klawiatura zaslania. Nawiasem mowiac mozna by chyba te liczby wprowadzac w wykresy Klawiatura numeryczna jest tu kluczem. No i spróbuj sobie wyobrazić ekran smartfona podzielony na 4 i w połowie czy tam 1/3 zasłonięty klawiaturą. ;-) Ale przeciez proponuje wlasnie bez klawiatury :-) Tak czy inaczej to nie nie tlumaczy tej dwoistosci podejscia bankow.Aplikacja działa zdecydowanie szybciej niż operowanie na koncie przez www. Hm, ten android tak ogolnie sie troche slimaczy. Moze trzeba aplikacje zlecic firmom od gier :-) J. |
|
| Data: 2019-08-23 08:48:41 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-22 o 08:58, J.F. pisze:
Ale inwestor walutowy to nie moze stracic na naglej zmianie kursu ? Nie. Klawiatura numeryczna jest tu kluczem. No i spróbuj sobie wyobrazić ekran smartfona podzielony na 4 i w połowie czy tam 1/3 zasłonięty klawiaturą. ;-) Nie wiem, co masz na myśli. Może tak: zwróć uwagę na rozwój monitorów. W zasadzie od 14" do... 21"? Chyba taki jest dziś standard, aczkolwiek coraz częściej zauważam w sprzedaży 24". Rosną, prawda? W smartfonach zaczęło się od 4", a dziś? 6? 6,3? Wniosek: użytkownicy potrzebują coraz większych powierzchni. Jeśli gdziekolwiek uda Ci się zobaczyć stanowisko tradera (niekoniecznie forex - miał okazję oglądać w Enerdze) to zazwyczaj ma od do dyspozycji 2 monitory. Czasami trzy. Zwróć uwagę, iż w bankach zazwyczaj także do obsługi klienta stosowany jest "komputer stacjonarny". Rzadziej - laptop (np. Idea). Jeszcze mi się nie zdarzyło, aby w placówce pracownik banku cokolwiek wprowadzał do systemu z poziomu komórki obsługując klienta. Tak czy inaczej to nie nie tlumaczy tej dwoistosci podejscia bankow.Aplikacja działa zdecydowanie szybciej niż operowanie na koncie przez www. Zauważyłem, iż program i aplikacja to synonimy. Uściślę: program na PC działa szybciej niż obsługa rachunku przez przeglądarkę. Więcej - nie wymaga wpisywania hasła za każdym razem. Jeszcze więcej - nie wylogowuje się po X minutach, a to strasznie upierdliwe. Wchodzę sobie na Alior Kantor i po ok. 30 min. następuje wylogowanie jeśli po prostu obserwuję kursy. Podobnie w każdym innym systemie przez przeglądarkę. W przypadku programu do PC - możesz godzinami sobie oglądać i nic takiego nie następuje. Wygoda. Dziś Alior poinformował, iż przez smartfona będzie wylogowywał po 5 min. Zatem obserwacja kursu praktycznie jest niemożliwa. |
|
| Data: 2019-08-23 12:07:40 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qjo29k$1qrv$1@gioia.aioe.org...
W dniu 2019-08-22 o 08:58, J.F. pisze: Ale inwestor walutowy to nie moze stracic na naglej zmianie kursu ?Nie. Dziwne rzeczy piszesz :-) Klawiatura numeryczna jest tu kluczem. No i spróbuj sobie wyobrazić ekran smartfona podzielony na 4 i w połowie czy tam 1/3 zasłonięty klawiaturą. ;-) Nie wiem, co masz na myśli. Zeby te kursy zlecen foreksowych wprowadzac klikajac na wykres. Może tak: zwróć uwagę na rozwój monitorów. W zasadzie od 14" do... 21"? Chyba taki jest dziś standard, aczkolwiek coraz częściej zauważam w sprzedaży 24". Rosną, prawda? W smartfonach zaczęło się od 4", a dziś? 6? 6,3? Od 3" nawet. Ale 3" to za malo, 4" za malo ... 6" za malo :-) Wniosek: użytkownicy potrzebują coraz większych powierzchni. Jeśli gdziekolwiek uda Ci się zobaczyć stanowisko tradera (niekoniecznie forex - miał okazję oglądać w Enerdze) to zazwyczaj ma od do dyspozycji 2 monitory. Czasami trzy. Ja tylko o tym, ze chyba lepiej miec program w telefonie, niz 4 monitory w toalecie :-) Zwróć uwagę, iż w bankach zazwyczaj także do obsługi klienta stosowany jest "komputer stacjonarny". Rzadziej - laptop (np. Idea). Jeszcze mi się nie zdarzyło, aby w placówce pracownik banku cokolwiek wprowadzał do systemu z poziomu komórki obsługując klienta. Bo tak sie zaczelo i tak sie trzymaja. I owszem - wygodniej, bezpieczniej ... az komus wpadnie do glowy, ze przydalby sie mobilny pracownik :-) Zauważyłem, iż program i aplikacja to synonimy. Uściślę: program na PC działa szybciej niż obsługa rachunku przez przeglądarkę.Hm, ten android tak ogolnie sie troche slimaczy.Tak czy inaczej to nie nie tlumaczy tej dwoistosci podejscia bankow.Aplikacja działa zdecydowanie szybciej niż operowanie na koncie przez www. No powinien, choc akurat programow do obslugi konta bankowego z peceta to chyba coraz mniej. Więcej - nie wymaga wpisywania hasła za każdym razem. Eee ... aby na pewno nie wymaga ? Bezpieczenstwo. Przegladarka akurat moze hasla pamietac, tylko banki to raczej blokuja. Jeszcze więcej - nie wylogowuje się po X minutach, a to strasznie upierdliwe. To akurat mozna ustawic, i to dowolnie. Wchodzę sobie na Alior Kantor i po ok. 30 min. następuje wylogowanie jeśli po prostu obserwuję kursy. Podobnie w każdym innym systemie przez przeglądarkę. W przypadku programu do PC - możesz godzinami sobie oglądać i nic takiego nie następuje. Wygoda. A to przeciez dedykowany program :-) J. |
|
| Data: 2019-08-23 13:09:58 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 12:07, J.F. pisze:
Nie wiem, co masz na myśli. Nie umiem Ci tego wyjaśnić. Ale naprawdę polecam demo - będziesz wiedział jak to działa. Wniosek: użytkownicy potrzebują coraz większych powierzchni. Jeśli gdziekolwiek uda Ci się zobaczyć stanowisko tradera (niekoniecznie forex - miał okazję oglądać w Enerdze) to zazwyczaj ma od do dyspozycji 2 monitory. Czasami trzy. Decyzje podejmuje się zazwyczaj poprzez analizę kilku wykresów. To praktycznie niemożliwe na telefonie. Toaleta nie ma tu nic do rzeczy. Zauważyłem, iż program i aplikacja to synonimy. Uściślę: program na PC działa szybciej niż obsługa rachunku przez przeglądarkę. A w ogóle jakiś jest? Praktycznie każdy bank ma program do smartfona (tzw. aplikację mobilną). Ale na PC - nie znam. Więcej - nie wymaga wpisywania hasła za każdym razem. Na pewno. Raz wystarczy wpisać. Spróbuj demo. Jeszcze więcej - nie wylogowuje się po X minutach, a to strasznie upierdliwe. Doprawdy? A gdzie w kantorze Aliora jest tak opcja? Z przyjemnością przestawię. ;-) Nie spotkałem banku, który po zalogowaniu i braku aktywności nie wylogowywałby automatycznie po kilkudziesięciu minutach. Podobnie rzecz ma się z e-kantorami. Alior dziś o zmianach od 14.09: Jeśli zalogujesz się do bankowości internetowej i przez 5 minut nie wykonasz żadnej czynności, przerwiemy Twoją sesję i wylogujemy Cię automatycznie. Aby dalej korzystać z bankowości internetowej, wystarczy ponownie się zalogować. |
|
| Data: 2019-08-20 17:36:06 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-20, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] A to swoja droga - czemu na telefonie dedykowany program, a na komputerze przegladarka. Bo dedykowany program może odczytać kontakty, pozycję, może otrzymać pusha i obsłuży autoryzację biometryczną. Tak z grubsza. Czyli więcej i bezpieczniej niż przez stronę. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-21 05:42:08 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 20 Aug 2019 17:36:06 +0200, Wojciech Bancer napisał(a):
On 2019-08-20, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: No ale komputerow tez to dotyczy. Przyznaj, ze to o kontakty chodzi :-) J. |
|
| Data: 2019-08-21 10:15:03 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-21, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Bo dedykowany program może odczytać kontakty, pozycję, może otrzymać Znacznej części funkcjonalności to nie dotyczy. No i nie mają sandboksa. Przyznaj, ze to o kontakty chodzi :-) Marketingowo to bardziej np. lokalizacja się liczy. Takie mOkazje Ci wysyłają pusha jak jesteś w pobliżu czegoś co ma akurat jakąś zniżkę. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-22 09:03:15 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqlpvc7.17me.wojciech.bancer@pl-test.org...
On 2019-08-21, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: [...] Bo dedykowany program może odczytać kontakty, pozycję, może otrzymać Znacznej części funkcjonalności to nie dotyczy. I przez 30 lat nikt nie zaproponowal MS, ze by sie przydal ? Przyznaj, ze to o kontakty chodzi :-)Marketingowo to bardziej np. lokalizacja się liczy. Hm, nie zauwazylem, a wiekszosc ich okazji jest raczej "sieciowa". Ale w sumie ciekawy pomysl. J. |
|
| Data: 2019-08-22 09:52:37 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-22, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] I przez 30 lat nikt nie zaproponowal MS, ze by sie przydal ?Znacznej części funkcjonalności to nie dotyczy.pusha i obsłuży autoryzację biometryczną. Tak z grubsza.No ale komputerow tez to dotyczy. Zdaje się, że nowe kafelkowe aplikacje oferowane przez Microsoft Store są w jakiś sposób sandboksowane. Ale raczej nie byłbyś w stanie (jeszcze) działać tylko z nimi. :) Przyznaj, ze to o kontakty chodzi :-)Marketingowo to bardziej np. lokalizacja się liczy. Jak mieli BP, to mi się non-stop uruchamiało w pobliżu stacji. A inne najczęściej w okolicy centrum handlowego. Ale faktycznie ostatnio z tym spokój jest. Ale w sumie ciekawy pomysl. Stare. :) Kiedyś brałem udział w projekcie opartym o Beacony. Takie małe gadżety pozwalające na lokalizację "wewnątrz budynkową" (tzw. indoor location), pozwalające określić czy jesteś kilkadziesiąt, czy kilka metrów od nadajnika, czy poniżej 1 metra. np. https://estimote.com/ Wspiera to zarówno Android jak i iOS (chociaż różne formaty o różnych możliwościach) w samym systemie. Z takich zabawniejszych rzeczy, można dość łatwo zrobić system odgrywający marsz imperialny w momencie gdy np. prezes wchodzi do budynku lub pomieszczenia. ;) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-22 16:59:26 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqlsie5.12e.wojciech.bancer@pl-test.org...
On 2019-08-22, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: [...] Przyznaj, ze to o kontakty chodzi :-)Marketingowo to bardziej np. lokalizacja się liczy. Jak mieli BP, to mi się non-stop uruchamiało w pobliżu Hm, nie zauwazylem. Ale moze lokalizacje wylaczylem w telefonie. To teraz jeszcze sprzac sie z samochodem, zobaczyc ile paliwa zostalo, i przypomniec kierowcy o tankowaniu :-) Z przegladarki sie tego nie zrobi :-P A inne najczęściej w okolicy centrum handlowego. Bo teraz to tylko Flying Tiger jest z takich "zlokalizowanych" . Az sie przejde i sprawdze. J. |
|
| Data: 2019-08-22 17:59:09 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "J.F." napisał w wiadomości grup dyskusyjnych:5d5eae66$0$520$65785112@news.neostrada.pl...
Użytkownik "Wojciech Bancer" napisał w wiadomości grup [...] Marketingowo to bardziej np. lokalizacja się liczy. Jak mieli BP, to mi się non-stop uruchamiało w pobliżu Hm, nie zauwazylem. Ale moze lokalizacje wylaczylem w telefonie. A inne najczęściej w okolicy centrum handlowego. Bo teraz to tylko Flying Tiger jest z takich "zlokalizowanych" . No i w poblizu sklepu FTC nie zadzialalo. Ale moze powod byl inny - bo nawet na mapce apka nie pokazala tej mokazji. Czyli nie wprowadzili lokalizacji sklepow. Bo w ustawieniach apki sa powiadomienia przy mokazjach i domyslnie wlaczone. Swoja droga - jak to dzialalo ? Wlaczal co minute GPS i sprawdzal co w poblizu ? A ja sie zastanawiam co mi baterie rozladowuje :-) Czy czekali az inna apka wlaczy GPS ? J. |
|
| Data: 2019-08-22 19:47:02 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-22, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Ale moze powod byl inny - bo nawet na mapce apka nie pokazala tej mokazji. Czyli nie wprowadzili lokalizacji sklepow. Dzisiaj dostałem pusha z bonprix, no ale to tak chyba "przy okazji", bo to sklep online. Ale tak, nie wszystko ma lokalizacje prawidłowo wpisane. :) A kilka spraw kryminalnych zostało "rozwiązanych" przez powiązanie przestępcy z miejscem zdarzenia, właśnie dzięki danym GPS zebranym przez Google Maps. Swoja droga - jak to dzialalo ? Wlaczal co minute GPS i sprawdzal co w poblizu ? A ja sie zastanawiam co mi baterie rozladowuje :-) Lokalizacja w tle może co jakiś czas wysyłać sygnały do "zarejestrowanych" aplikacji. Nie jest to taki dokładny sygnał jak przy aktywnej aplikacji, jest to coś bardziej rzędu dziesiątek metrów, ale wiele sytuacji ogarnia. Z aplikacji śledzących w tle jest też oczywiście Google Maps, Revolut i wiele, wiele innych. System co jakiś czas swoje położenie raportuje do nich, często nie jest to sygnał czystego GPS, ale np. powiązany z BTSami, czy znajdującymi się nieopodal nadajnikami wifi. W nadchodzącym iOS13 jest fajny feature, system pokazuje Ci gdzie aplikacja używała geolokalizacji i zapyta, czy chcesz jej nadal pozwalać, ew. pozwalać tylko wtedy gdy jest aktywna. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-22 20:02:17 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqltl8m.uiv.wojciech.bancer@pl-test.org...
On 2019-08-22, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Ale moze powod byl inny - bo nawet na mapce apka nie pokazala tej Dzisiaj dostałem pusha z bonprix, no ale to tak chyba "przy okazji", W ustawieniach apki sa powiadomienia -Nowe mokazje w ofercie i naliczenie zwrotu -jestem w poblizu wybranej mokazji. bonprix raczej nie ma lokalizacji ... ale czemu ja nie dostalem ? Oba powiadomienia mam domyslnie wlaczone. No i teraz sporo nie wymaga "zapisania sie" czy co oni maja na mysli w "wyborze". A kilka spraw kryminalnych zostało "rozwiązanych" przez powiązanie U nas czy w USA ? Niebezpezpieczne ... twoj telefon cie sledzi :-) Swoja droga - jak to dzialalo ? Wlaczal co minute GPS i sprawdzal co w Lokalizacja w tle może co jakiś czas wysyłać sygnały do "zarejestrowanych" Tylko "co jakis czas" to moze byc za rzadko, szczegolnie jak klient samochodem jedzie ... aplikacji. Nie jest to taki dokładny sygnał jak przy aktywnej z wifi i BTS ? Z aplikacji śledzących w tle jest też oczywiście Google Maps, Osobiscie mam wrazenie, ze "usluga lokalizacji" co pewien czas odpala GPS, chocby po to, aby zaraportowac do googla sieci wifi w okolicy. W nadchodzącym iOS13 jest fajny feature, system pokazuje Cos takiego chyba jest i w androidzie ... J. |
|
| Data: 2019-08-23 11:15:30 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Tak swoją drogą czy sieci wifi mają swoje unikalne identyfikatory?
Co jeśli każdy by nazwał swoją sieć tak samo np. ciociania? -- -- - "usluga lokalizacji" co pewien czas odpala GPS, chocby po to, aby zaraportowac do googla sieci wifi w okolicy. |
|
| Data: 2019-08-23 11:58:24 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "ąćęłńóśźż" napisał w wiadomości grup dyskusyjnych:5d5faeb3$0$505$65785112@news.neostrada.pl...
Tak swoją drogą czy sieci wifi mają swoje unikalne identyfikatory? MAC adresy AP sa unikalne. No prawie .. -- -- - "usluga lokalizacji" co pewien czas odpala GPS, chocby po to, aby zaraportowac do googla sieci wifi w okolicy. J. |
|
| Data: 2019-08-23 12:49:00 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "J.F." napisał w wiadomości grup dyskusyjnych:5d5ed941$0$514$65785112@news.neostrada.pl...
Użytkownik "Wojciech Bancer" napisał w wiadomości grup On 2019-08-22, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Ale moze powod byl inny - bo nawet na mapce apka nie pokazala tej Dzisiaj dostałem pusha z bonprix, no ale to tak chyba "przy okazji", W ustawieniach apki sa powiadomienia bonprix raczej nie ma lokalizacji ... ale czemu ja nie dostalem ? No i tak sie zaczynam zastanawiac ... od pewnego czasu chyba zadnego powiadomienia od mbanku nie dostalem. apka dziala, uprawnienia powiadomien ma, mogl sie jakos proces zawiesic ? Zrestartowalem, tylko jakby to sprawdzic - przelew sobie wyslac, czy jest cos szybszego ? .... hm, a moze cos z oszczedzaniem baterii/danych - czy wtedy nie blokuje aplikacji w tle ? J. |
|
| Data: 2019-08-23 17:22:20 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "J.F." napisał w wiadomości grup dyskusyjnych:5d5fc533$0$525$65785112@news.neostrada.pl...
No i tak sie zaczynam zastanawiac ... od pewnego czasu chyba zadnego powiadomienia od mbanku nie dostalem. apka dziala, uprawnienia powiadomien ma, mogl sie jakos proces zawiesic ? po restarcie przyszlo powiadomienie o przerwie technicznej i o konkursie ubezpieczen. Dostaliscie tez ok 13-tej, czy wczesniej ? .... hm, a moze cos z oszczedzaniem baterii/danych - czy wtedy nie blokuje aplikacji w tle ? J. |
|
| Data: 2019-08-23 13:57:50 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-22, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Dzisiaj dostałem pusha z bonprix, no ale to tak chyba "przy okazji", Wiesz, ja się spodziewam, że taka opcja jest dodatkowo płatna (dla partnera) i niekoniecznie każdy taką kampanię uruchamia. Tym niemniej apka takie możliwości (jak widzisz) ma. A kilka spraw kryminalnych zostało "rozwiązanych" przez powiązanie To wyżej to o Androidach pisałem akurat :) Ale fakt, każdy smartfon "śledzi", nie ma co się oszukiwać. Kwestia tego czy jesteś tego świadomy, czy nie. Lokalizacja w tle może co jakiś czas wysyłać sygnały do "zarejestrowanych" Może. :) Z aplikacji śledzących w tle jest też oczywiście Google Maps, To działa w obie strony, ale tak. W nadchodzącym iOS13 jest fajny feature, system pokazuje Pokazuje też mapkę, tak jak tu? https://9to5mac.com/2019/06/08/ios-13-location-permissions/ Czasem można się przerazić :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-09-01 00:10:02 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
A tak w sumie to jak odróżnić smartfona od niesmartfona?
Były różne modele przejściowe, np. z javą i innymi systemami, z wifi i nawet z internetem (przeglądarka, nawigacja, multimedia), które jednak ciężko byłoby nazwać smartfonami. |
|
| Data: 2019-09-01 00:16:42 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "ąćęłńóśźż" napisał w wiadomości grup dyskusyjnych:5d6af03b$1$503$65785112@news.neostrada.pl...
A tak w sumie to jak odróżnić smartfona od niesmartfona? Czemu ? Java J2ME ... prawie smartfon. J. |
|
| Data: 2019-08-20 21:12:21 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
I dalej: Jasne że nie. Zakładając, że ktoś w ogóle nosiłby token przy sobie (żeby dało się go ukraść, zgubić itd) - sam token nic nie daje nikomu. Nawet nie wiadomo, że to token z banku (chociaż oczywiście można to założyć). Nie akceptuje ActiveX ? ... od tego sie chyba odchodzi, javascript A w ogóle były jakieś strony bankowe z ActiveX? Przecież tego nie dałoby się używać nie z MS Explorerem(?). Czy jednak bezpieczenstwo dedykowanej aplikacji ... czy po prostu chca Pewnie tak, aplikacja może móc więcej niż jakaś tam strona. Z drugiej strony, teoretycznie aplikacja może zorientować się, że ktoś używa nie takiego sprzętu/oprogramowania (np. starego, ze znanymi dziurami, z odpalonym trojanem itd). Aczkolwiek liczyć na to bym nie liczył. -- Krzysztof Hałasa |
|
| Data: 2019-08-20 21:16:04 | |
| Autor: Kamil Jońca | |
| PSD2 mBank i pewnie nie tylko... | |
|
Krzysztof Halasa <khc@pm.waw.pl> writes:
[...]
Była chyba jakaś chora implementacja w śp. BPH w zeszłym tysiącleciu. Przecież tego nie dałoby się używać nie z MS Explorerem(?). No i sie nie dało. KJ -- http://wolnelektury.pl/wesprzyj/teraz/ Accordion, n.: A bagpipe with pleats. |
|
| Data: 2019-08-21 05:40:24 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 20 Aug 2019 21:12:21 +0200, Krzysztof Halasa napisał(a):
"J.F." <jfox_xnospamx@poczta.onet.pl> writes: Gdzies jest - wiec ukrasc sie da. W domowym sejfie przechowujesz ? Fakt - tokena mozna jakos zabezpieczyc, a banki wlasnie wymuszaja przejscie na urzadzenie osobiste, ktore z natury zabierasz ze soba, czasem w niebezpieczne miejsca - basen, plaza ... Nawet nie wiadomo, że to token z banku (chociaż oczywiście można to No, jak Wojtek ma 30 tokenow, to moze byc pewien problem ... choc pewnie sobie opisal ktory do czego :-) Nie akceptuje ActiveX ? ... od tego sie chyba odchodzi, javascript Zeszlo na forex - a tam wykresy i wykresy ... java ? Czy jednak bezpieczenstwo dedykowanej aplikacji ... czy po prostu chca Lokalizacje zapamietac, fotke zrobic, odcisk palca. Moze nawet karte autoryzowac tylko gdy telefon w poblizu ... Z drugiej strony, teoretycznie aplikacja może zorientować się, że ktoś Tez bym specjalnie nie liczyl. Za to komunikacja moze byc lepiej sprawdzana. Ale poszlo o to, ze na telefony banki aplikacje robia, a na komputery nie. Czemu? W czym komputery lepsze/gorsze. J. |
|
| Data: 2019-08-20 16:15:34 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
"Dbaj o bezpieczeństwo Twojego telefonu komórkowego - nie pozostawiaj go w miejscach, w których narażony może być na kradzież lub dostęp osób niepowołanych. "
Zdaje się, że Alior ma świadomość, iż największym niebezpieczeństwem w przypadku urządzenia mobilnego jest jego mobilność. ;-) Tylko jak tu spełnić ten warunek? I czy nie będzie on potem wykorzystany przeciwko klientowi (mimo ostrzeżeń banku zostawił telefon gdzieś tam i nie dochował należytej staranności)... |
|
| Data: 2019-08-20 21:06:30 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie Różnica nieistotna - założenie jest takie że złodziej, który ma dostęp do komputera ofiary, nie ma dostępu do tokena (innego niż gdy user wpisuje kod z tokena). W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo - mozna probowac w ciemno, a noz sie trafi ..To mało prawdopodobne. W przypadku botnetu, który "jest obecny" na 300 tysiącach komputerów - może nawet nieco szybciej. -- Krzysztof Hałasa |
|
| Data: 2019-08-21 06:00:34 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 20 Aug 2019 21:06:30 +0200, Krzysztof Halasa napisał(a):
"J.F." <jfox_xnospamx@poczta.onet.pl> writes: Ale ten token jednak mozna ukrasc. W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo - mozna probowac w ciemno, a noz sie trafi ..To mało prawdopodobne. Szybciej moze wzbudzic podejrzenia banku, chyba ze masz na mysli 300 tys komputerow klientow ... Za to na pewno sie przyda 300 tys roznych IP - pojedyncza nieudana proba autoryzacji nie wzbudzi podejrzenia banku. J. |
|
| Data: 2019-08-28 10:44:51 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Różnica nieistotna - założenie jest takie że złodziej, który ma dostęp Założenie jest takie, że jeśli złodziej ma dostęp do dwóch różnych (uznawanych za bezpieczne) metod komunikacji z (w tym przypadku) bankiem, to sprawa jest pozamiatana. Można podnieść poprzeczkę, ale to się raczej nie kalkuluje nikomu. Poza tym, jeśli złodziej uzyskał dostęp do 2 kanałów, to zapewne będzie w stanie uzyskać dostęp do ich dowolnej liczby - nie jest to przypadkowy, masowy atak. W przypadku botnetu, który "jest obecny" na 300 tysiącach komputerów - No tak - przecież z tego składa się botnet. Tzn. to nie muszą być klienci konkretnego banku, oczywiście. Za to na pewno sie przyda 300 tys roznych IP - pojedyncza nieudana Owszem. Tak właściwie, różnych IP jest zwykle mniej niż różnych komputerów. -- Krzysztof Hałasa |
|
| Data: 2019-08-20 16:58:20 | |
| Autor: Animka | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-20 o 14:46, J.F. pisze:
W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo - mozna probowac w ciemno, a noz sie trafi .. Po trzech nieudanych razach konto jest już zablokowane. -- animka |
|
| Data: 2019-08-20 21:02:49 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja To jest niebezpieczne rozwiązanie, ponieważ telefon staje się jedynym punktem oporu. Przejęcie kontroli nad telefonem = kontrola nad kontem. Hasła SMS nie dlatego są mocne że nie da się ich przechwycić, zmienić itd. (owszem da się), tylko dlatego, że to jest kanał informacyjny praktycznie całkowicie niezależny od komputera. Oczywiście, jeśli komputerem nie jest telefon, który dostaje owe SMSy. -- Krzysztof Hałasa |
|
| Data: 2019-08-21 07:55:59 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 20 Aug 2019 21:02:49 +0200, Krzysztof Halasa napisał(a):
"J.F." <jfox_xnospamx@poczta.onet.pl> writes: Tylko ze SMS daje sie przechwycic z latwoscia. Tego, co pokaze aplikacja - juz z trudnoscia. Tak czy inaczej - wychodzi na to, ze w przyszlosci przydaloby sie miec telefony dwa - jeden do autoryzacji, drugi do aplikacji bankowej. I trzeci sluzbowy :-( Ale banki chyba nie zamierzaja rozdzielac tych funkcji ... i trzeba bedzie dbac o telefon ... albo ktorys bank przegra w sadzie i pomysla nad lepsza autoryzacja :-) J. |
|
| Data: 2019-08-28 10:46:42 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Tylko ze SMS daje sie przechwycic z latwoscia. Nic o tym nie wiem. W każdym razie nie w kontekście masowego ataku. -- Krzysztof Hałasa |
|
| Data: 2019-08-20 20:55:29 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Szymon <z@wp.pl> writes:
Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji Nie, wtedy także potrzebne jest hasło - do logowania. Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu Tak już przecież jest. Tyle że nie wpisujemy hasła w tym samym czasie, a nieco wcześniej - różnica nieistotna. Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom. Nie, zakładając, że ktoś czyta treść SMSa i porównuje ją z tym, co chciał zrobić. Tu token także lepiej się sprawdza. Nie, token nie ma związku z treścią dyspozycji. Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na To wymaga zignorowania treści SMSa. Możliwe, ale jednak mało prawdopodobne, zwłaszcza jeśli np. suma się (bardzo) nie zgadza. W przypadku tokena i fałszywej strony działania hakera musiałby się Nie, to robi automat, niezależnie od rodzaju haseł, tokenów itd. Dla niego bez różnicy. Sytuacja jednak Dla automatu bez różnicy. Fałszywa strona prosi klienta o te same pola, których chce bank. Nie ma tu żadnych komplikacji, hasła maskowane, wpisywane myszą itd. nic w tym kontekście nie zmieniają. A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 Nie, byłoby gorzej - szansa na trafienie 3 znaków to 0,1% - przy ataku na 1000 osób statystycznie ok. 1 osobę uda się trafić w ogóle bez dostępu do kodu z tokena. To obecnie nieistotne oczywiście. Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na Lista nie jest pusta (dlaczego miałaby być), ale oczywiście zagrożeniem jest wykonywanie przelewu - lub innej operacji - która wymaga dodatkowego kodu. Jeśli przelewy na zdefiniowane konta nie wymaga takiego kodu, to - zakładając że owe konta są bezpieczne - nie ma tu wielkiego zagrożenia (innego niż późniejsza konieczność odzyskiwania pieniędzy od np. wspólnoty mieszkaniowej itp). -- Krzysztof Hałasa |
|
| Data: 2019-08-20 13:27:35 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
Cena dla bankow w hurcie nie spadala ? Bo $99 .. sporo jakos. No wiesz, nie jestem bankiem, ale przy 1000 szt cena nie była wiele niższa (nie żebym był świadkiem kupowania 1000 szt). I trzeba pamiętać, że to były proste tokeny. I wcale sie nie dziwie, ze banki byly niechetne. Coś w tym jest. No i nie zapewniały ważnej rzeczy - nie wiadomo było, co się autoryzuje. Przy dostępie do pomieszczeń itp. - nie ma problemu, ale w bankowości to od dawna powinny być cyfrowo podpisane dyspozycje (w bankowości korporacyjnej takie rzeczy istnieją). -- Krzysztof Hałasa |
|
| Data: 2019-08-20 13:32:06 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Krzysztof Halasa" napisał w wiadomości grup dyskusyjnych:m34l2ckrfc.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes: Cena dla bankow w hurcie nie spadala ? Bo $99 .. sporo jakos. No wiesz, nie jestem bankiem, ale przy 1000 szt cena nie była wiele I dlatego zalozylem, ze tansze. A bank nie kupuje 1 tys sztuk :-) I wcale sie nie dziwie, ze banki byly niechetne. Coś w tym jest. No i nie zapewniały ważnej rzeczy - nie wiadomo było, co Wtedy jeszcze chyba banki tego tematu sie nie baly. Bo zamiast tokenow wprowadzaly listy hasel jednorazowych. Widac umowa z Poczta dawala im przesylki znacznie tansze niz RSA ... J. |
|
| Data: 2019-08-14 09:58:49 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-13 o 16:01, J.F. pisze:
Ale dziala tez w druga strone - Revolut zwykle karty tez ma. Z dzisiejszego Bankiera: ,,Revolut posiada upoważnienie Urzędu ds. Postępowania Finansowego na mocy ustawy o elektronicznych instrumentach płatniczych z 2011 roku (FCA nr: 900562) do emisji pieniądza elektronicznego" - taki fragment znajdziemy w stopce strony internetowej firmy. Dla klientów korzystających z Revoluta ma to dwie najważniejsze konsekwencje: Środków nie chroni FSCS (Financial Services Compensation Scheme) - brytyjski odpowiednik Bankowego Funduszu Gwarancyjnego. Przypomnijmy, że w razie upadłości banku, depozyty gwarantowane są do kwoty min. 100 tys. euro na jednego deponenta. Fintech w zeszłym roku uzyskał licencję bankową, ale na razie z niej nie korzysta. Wiadomość, która odbiła się szerokim echem w mediach, nie ma zatem wpływu na status prawny naszych pieniędzy w ,,portfelach" Revoluta. -- -- -- -- -- -- -- -- -- -- To tyle jeśli chodzi o bezpieczeństwo środków w tego typu firmach. |
|
| Data: 2019-08-14 13:27:20 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Szymon" napisał w wiadomości grup dyskusyjnych:qj0f0t$199u$1@gioia.aioe.org...
W dniu 2019-08-13 o 16:01, J.F. pisze: Ale dziala tez w druga strone - Revolut zwykle karty tez ma. Z dzisiejszego Bankiera: Dla klientów korzystających z Revoluta ma to dwie najważniejsze konsekwencje: Środków nie chroni FSCS (Financial Services Compensation Scheme) - brytyjski odpowiednik Bankowego Funduszu Gwarancyjnego. Przypomnijmy, że w razie upadłości banku, depozyty gwarantowane są do kwoty min. 100 tys. euro na jednego deponenta. Fintech w zeszłym roku uzyskał licencję bankową, ale na razie z niej nie korzysta. Wiadomość, która odbiła się szerokim echem w mediach, nie ma zatem wpływu na status prawny naszych pieniędzy w ,,portfelach" Revoluta. Po brexicie moze sie zmienic. -- -- -- -- -- -- -- -- -- -- Przy czym w Revolucie raczej nikt duzych pieniedzy nie bedzie trzymal. Tylko te drobne 50k euro na urlop, ale to ci, ktorych stac :-P No to poza tematem dyskusji - Revolut faktycznie wystartowal wirtualnie, a teraz karty ma - widac nie wszyscy klienci lubia placic telefonem :-) J. |
|
| Data: 2019-08-14 14:29:47 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-14 o 13:27, J.F. pisze:
Przy czym w Revolucie raczej nikt duzych pieniedzy nie bedzie trzymal. Nie chodzi o trzymanie, ale obrót. Nie zapominaj o wymianie walut. Tylko te drobne 50k euro na urlop, ale to ci, ktorych stac :-P Walutomat bierze prowizję 0,2%. Ale już pow. 200.000 PLN w miesiącu zaczynają się rabaty. Największy przy 10 mln obrotu. Jeśli Revolut przewiduje wymianę walut, przelewy itd. to z pewnością myślą tam o dużych obrotach. Na razie to startup - na cukierki czy tam coś możesz sobie wpłacić. Przy inwestowaniu w waluty dopiero zaczyna się zabawa. No to poza tematem dyskusji - Revolut faktycznie wystartowal wirtualnie, a teraz karty ma - widac nie wszyscy klienci lubia placic telefonem :-) W opcjach płatnych znieśli limit na wymianę walut. To dość istotny kierunek rozwoju. |
|
| Data: 2019-08-10 13:25:37 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
Dokładnie. W kontekście dyskusji, czyli przeprowadzania Daj spokój. "Bezpieczeństwo" podobnych rozwiązań opiera się na tym, że są możliwości jeszcze gorsze. Gdyby tylko np. bank sobie życzył, może to załatwić naprawdę bezpiecznie (szacowany koszt to ułamek ceny telefonu, do powiedzmy ceny taniego telefonu). Wersje z biometrią wprowadzają zagrożenie, które jest niezależne od klienta, klient nie ma na to żadnego wpływu, a jednak skutki mogą go obciążać (przynajmniej w praktyce). Ja wiem, że biometria jest mniej niebezpieczna niż klienci podający hasła jednorazowe podrobionym stronom (itp). Równie dobrze można argumentować, że zamek "bębenkowy" noname jest bezpieczniejszy niż zamknięcie na drewniany skobel. -- Krzysztof Hałasa |
|
| Data: 2019-08-10 17:59:46 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-10, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych i znanych osób też umieściłem. Mhm. Mówisz o tokenach sprzętowych z zerową dostępnością np. dla osób niewidomych, czy o czymś jeszcze równie ciekawym? A zarówno "kartę kodów" jak i token sprzętowy ta sama osoba która Cię "grzmotnie" w celu nałożenia okularów spokojnie ukradnie i wykorzysta bez żadnych dodatkowych przeszkód. Albo nawet nie będzie musiała Cię grzmotnoć. Wersje z biometrią wprowadzają zagrożenie, które jest niezależne od Biometria nie jest jedynym zabezpieczeniem, tylko "jednym z wielu". I jak na razie wszystkie pomysły jej przełamania wymagają kontaktu z ofiarą. Ja wiem, że biometria jest mniej niebezpieczna niż klienci podający No ale serio, trzeba iść w ekstremum i argumentować, że ekstremalnie trudna do złamania technologia jest słaba i niemalże bezużyteczna, bo złamali ją wietnamczycy raz, w warunkach laboratoryjnych, mając nieograniczony dostęp? I pewnie sygnalizacja świetlna to też się nadaje "do kosza", bo przecież nie raz się słyszało, że pieszy na przejściu mimo "zielonego" został potrącony, nie? Więc się nie sprawdza, niech panuje zasada "jak kto chce". -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-11 01:06:24 | |
| Autor: Krzysztof Halasa | |
| PSD2 mBank i pewnie nie tylko... | |
|
Wojciech Bancer <wojciech.bancer@gmail.com> writes:
No ale serio, trzeba iść w ekstremum i argumentować, że ekstremalnie trudna do złamania technologia jest słaba i niemalże bezużyteczna, bo Tak jak napisałem, to jest tylko dodatkowe, słabe zabezpieczenie. Ale możesz sobie wierzyć w co chcesz. -- Krzysztof Hałasa |
|
| Data: 2019-08-05 15:16:27 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] a jak apki nagle zabraknie ?Nie rozumiem. No weź już nie wymyślaj jakiejś fikcji, tylko zapytaj w banku. :) Na to istnieją odpowiednie procedury przecież. Wpisanie złego hasła 3x też Ci blokuje dostęp, niezależnie od tego ile urządzeń do weryfikacji masz i jakie, i musisz przejść wtedy procedurę pdzyskiwania dostępu. Jest to ciut bardziej upierdliwe, bo wymaga kontaktu, ale do zrobienia. albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy "czymbądź". Jest dużo większa szansa, że skorzystasz z cudzego komputera (np, kiosku w banku) niż że skorzystasz z cudzego smartfona. No i smartfona masz w kieszeni dużo częściej niż komputer w teczce. Jeśli z bankowości korzystasz wyłącznie z własego komputera, to myślę, że nie będziesz miał roblemów z dodaniem go jako "zaufanego urządzenia" (banki to zapowiadają) i logowania się tam bez dodatkowej autoryzacji i której mowa w dyrektywie. 2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputer Mówimy o dodatkowym źródle autoryzacji. 3) aplikacje na telefonach mają swoje zaufane źródło pobierania Na iOS nie ma na pewno. Mogą przez krotki czas żyć aplikacje które udają inne, by zmanipulować użytkownika, ale to raczej na zasadzie wyjątku (jak faktycznie reviewer przepuści). Na Androidzie, z racji innego procesu weryfikacji jest to łatwiejsze. Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło, czy (w przypadku iOS) dostało się do jakichkolwiek jej danych. Na komputerze z Windows jest z tym dużo łatwiej. Komputery z macOS wprowadzają już powoli blokady na dostęp do konkretnych folderów użytkownika, ale to więc powoli idą w tym kierunku, ale to jescze długo nie będzie taki poziom. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-05 17:02:34 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqkgb1c.1jsq.wojciech.bancer@pl-test.org...
On 2019-08-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: [...] a jak apki nagle zabraknie ?Nie rozumiem. No weź już nie wymyślaj jakiejś fikcji, tylko zapytaj w banku. :) Jaka fikcja, normalne przeciez :-) Na to istnieją odpowiednie procedury przecież. No i w sumie napisali, ze moga poprosic o pin do apki ... tej starej ? Albo haslo do strony ... Wpisanie złego hasła 3x też Ci blokuje dostęp, niezależnie od tego ile Pytanie czy to nie jest dziura w bezpieczenstwie. albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy Jest dużo większa szansa, że skorzystasz z cudzego komputera (np, kiosku No to tam przeciez nie bede instalowal takiej apki, skorzystam z autoryzacji na telefon. niż że skorzystasz z cudzego smartfona. A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z jednego telefonu ? Np swoje, firmowe, rodzicow ... No i smartfona masz w kieszeni dużo częściej niż komputer w teczce. Temat wyplynal, bo widac ktos woli na komputerze :-) Jeśli z bankowości korzystasz wyłącznie z własego komputera, to myślę, że nie będziesz Zapowiadaja, a wyjdzie ... zobaczymy. I zauwaz ze ja nie proponuje "bez autoryzacji", tylko autoryzacja za pomoca programu na komputerze. Mówimy o dodatkowym źródle autoryzacji.2) wszystkim nie dogodzisz, a więcej ludzi ma smartfona niż komputerchyba jednak klient wlasnie pokazal, ze chce uzyc komputera. O podstawowym ! 3) aplikacje na telefonach mają swoje zaufane źródło pobierania Na iOS nie ma na pewno. Mogą przez krotki czas żyć aplikacje które udają Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz A musi podmieniac ? Zainstaluje druga, o nazwie mbank-pro np, i zobaczymy w co klikniesz palcem. A przy tych milionach aplikacji to reviewer chyba latwo przepusci. Na komputerze z Windows jest z tym dużo łatwiej. Komputery z macOS wprowadzają taaa ... i przestaniesz byc wlascicielem swojego komputera :-( J. |
|
| Data: 2019-08-06 10:20:47 | |
| Autor: Pete | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-05 o 17:02, J.F. pisze:
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqkgb1c.1jsq.wojciech.bancer@pl-test.org... Już dawno temu, w nieistniejącym już systemie Pl@net ś.p. Fortis Banku trzeba było mieć wgrany do przeglądarki swój certyfikat, żeby móc się zalogować na swoje (i tylko swoje) konto z tej przeglądarki. Z innej się nie dało. -- Pete |
|
| Data: 2019-08-07 10:18:15 | |
| Autor: jureq | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu Mon, 05 Aug 2019 17:02:34 +0200, użytkownik J.F. napisał:
A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z W przyzwoitej aplikacji to się powinno załatwiać pełnomocnictwem do konta. Wtedy w SWOJEJ aplikacji widzisz wszystkie konta, do których masz pełnomocnictwa. |
|
| Data: 2019-08-07 13:43:36 | |
| Autor: Michał Jankowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 07.08.2019 o 12:18, jureq pisze:
W dniu Mon, 05 Aug 2019 17:02:34 +0200, użytkownik J.F. napisał: Tak to działa w ipko. W innych bankach - nie wiem. MJ |
|
| Data: 2019-08-07 12:54:03 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z jednego telefonu ? Np swoje, firmowe, rodzicow ... Konto as in "numer klienta" możesz powiązać jeden. A w tymże koncie możesz mieć przypisane rachunki osobiste, firmowe, czy te do których masz pełnomocnictwo. i logowania się tam bez dodatkowej autoryzacji i której mowa w dyrektywie. Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie radośnie wrzucać. Mówimy o dodatkowym źródle autoryzacji.O podstawowym ! Podstawowe źródło to mózg usera i hasło. Drugi czynnik (second factor) to urządzenie mobilne. Większy sens ma by drugim czynnikiem było coś "zewnętrznego" co posiada użytkownik niż komputer z którego się użytkownik chce zalogować. do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło, A po co miałby tą drugą instalowac? więc powoli idą w tym kierunku, ale to jescze długo nie będzie taki poziom.taaa ... i przestaniesz byc wlascicielem swojego komputera :-( Nie chcę Cię martwić, ale nigdy nim nie byłes. Jesteś właścicielem sprzętu, swoich danych i w sumie tyle. Oprogramowanie to masz licencjonowane i nie jesteś jego właścicielem. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-07 13:25:56 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqklbeb.kh6.wojciech.bancer@pl-test.org...
On 2019-08-05, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z Konto as in "numer klienta" możesz powiązać jeden. Zawsze to cos, ale czy takie dobre ... A jak w innych bankach i ich apkach to wyglada ? i logowania się tam bez dodatkowej autoryzacji i której mowa wZapowiadaja, a wyjdzie ... zobaczymy. Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie Mowisz, ze Androidy lepiej ? Podstawowe źródło to mózg usera i hasło.Mówimy o dodatkowym źródle autoryzacji.O podstawowym ! Komputery sa slabo zabezpieczone :-P Drugi czynnik (second factor) to urządzenie mobilne. A na apce mobilnej jakos nie uwazacie, zeby bylo potrzebne dodatkowe urzadzenie :-P A po co miałby tą drugą instalowac?do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło,A musi podmieniac ? Zainstaluje druga, o nazwie mbank-pro np, i Przez przypadek, z reklamy, z e-maila "nowa aktualizacja" ... więc powoli idą w tym kierunku, ale to jescze długo nie będzie takitaaa ... i przestaniesz byc wlascicielem swojego komputera :-( Nie chcę Cię martwić, ale nigdy nim nie byłes. Ale kiedys robilo to co ja chce, a dzis jest odwrotnie :-( J. |
|
| Data: 2019-08-07 14:52:48 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-07, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Zawsze to cos, ale czy takie dobre ...A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da zKonto as in "numer klienta" możesz powiązać jeden. Z tego co kojarzę, jest to najbardziej popularne. A jak w innych bankach i ich apkach to wyglada ? iPKO, mBank, Alior Bank i BZWBK mają powiązanie z konkretnym numerem klienta. Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie Tak. Mimo wszystko lepiej niż komputery. Android (obecnie) się Ciebie *zapyta* czy chcesz dać innej apce dostęp do Twoich maili itp. Aplikacja na komputerze (Windows) nie musi tego robić jeśli działa w kontekście danych do jakich Ty masz dostęp. Komputery sa slabo zabezpieczone :-PPodstawowe źródło to mózg usera i hasło.Mówimy o dodatkowym źródle autoryzacji.O podstawowym ! Dlatego potrzebne będzie drugie źródło autoryzacji :) Drugi czynnik (second factor) to urządzenie mobilne. Bo smarfon jest uważany za bardziej osobiste urządzenie. Zabezpieczenia na smartfonie to: - konieczność powiązania "urządzenia" jako zaufanego - pytanie o PIN (nie o hasło) LUB autoryzacja biometryczna We wszystkich aplikacjach jakie widziałem występują oba czynniki. Przez przypadek, z reklamy, z e-maila "nowa aktualizacja" ...zobaczymy w co klikniesz palcem.A po co miałby tą drugą instalowac? Przy takim mass-mailingu taka aplikacja zniknie bardzo szybko, bo dużo kumatych osób to zgłosi. No i kurcze, bank wypisuje często i gęsto jak postępować i skąd instalować aplikacje oraz ostrzega przed fałszywymi aplikacjami. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-07 15:12:14 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnqklid0.cs6.wojciech.bancer@pl-test.org...
On 2019-08-07, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da zKonto as in "numer klienta" możesz powiązać jeden. Zawsze to cos, ale czy takie dobre ...Z tego co kojarzę, jest to najbardziej popularne. Rozrozniaja sie te konta jakos wyraznie na stronie czy w apce ?? A jak w innych bankach i ich apkach to wyglada ?iPKO, mBank, Alior Bank i BZWBK mają powiązanie Taa ... nie mam zdrowia z PKO wyjasniac, ale mialem tam jakies lokaty walutowe, zlikwidowalem niedawno ... i sie okazuje, ze pobierali pare zl co miesiac. A powiadomili o zmianie "elektronicznie". Co jest o tyle ciekawe, ze juz nic wiecej nie mialem z nimi wspolnego. Tylko bylem pelnomocnikiem do konta ojca ... i chyba uznali, ze to wystarczy. No, mam jeszcze konto w Inteligo, ale dla nich to osobny bank. Hm, a moze by jednak wyskrobac reklamacje ? :-) Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie Tak. Mimo wszystko lepiej niż komputery. A ciemny lud pozwoli, a jasny ... byc moze tez da sie nabrac. Bo te zabezpieczenia to jakies takie malo funkcjonalne. Przez przypadek, z reklamy, z e-maila "nowa aktualizacja" ...zobaczymy w co klikniesz palcem.A po co miałby tą drugą instalowac? Przy takim mass-mailingu taka aplikacja zniknie bardzo szybko, Zaczac od niekumatych :-) No i kurcze, bank wypisuje często i gęsto jak postępować i skąd instalować aplikacje no przeciez ze sklepu instalowana :-) J. |
|
| Data: 2019-08-06 07:31:31 | |
| Autor: Dominik Ałaszewski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia 05.08.2019 Wojciech Bancer <wojciech.bancer@gmail.com> napisał/a:
Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz W przypadku Androida też- piaskownica jest zrealizowana porządnie. Fakt, aplikacja może (za pozwoleniem użytkownika) np. czytać esemesy, dzięki czemu możesz sobie obsługiwać esemesy przez inną aplikację, jak dajmy na to fejsbukowego mesendżera. A jeśli ktoś instaluje "bitcoin pro trader" i daje mu uprawnienia do czytania sms- no cóż... Dużo więcej zastrzeżeń można mieć do samego sklepu (jak choćby aplikacje pseudobankowe), ale i tak chyba gros malware Androidowego to wirusy (niemalże) albańskie- zainstaluj apk spoza sklepu i nadaj uprawnienia administratora urządzenia... -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
| Data: 2019-08-06 09:46:49 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> wrote:
[...] Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz Piszę o czymś w tym stylu: https://www.mbank.pl/informacje-dla-klienta/post,7969,szkodliwa-aplikacja-atakujaca-smartfony-z-systemem-operacyjnym-android.html A jeśli ktoś instaluje "bitcoin pro trader" i daje mu uprawnienia do czytania sms- no cóż... Ja pamiętam aplikację latarki, która prosiła o uprawnienia literalnie do wszystkiego, a to jeszcze było w czasach gdy uprawnienia były udzielane na etapie instalacji :-) Dużo więcej zastrzeżeń można mieć do samego sklepu (jak choćby No i to jest chyba clue. Na iOS nie możesz fizycznie nadać takich uprawnień. Z jednej strony są narzekania użytkowników, że nie mogą np. podmienić ikonek wszystkich aplikacji, czy zmienić aplikacji do SMS, ale z drugiej strony jest to bezpieczniejsze środowisko. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 09:02:05 | |
| Autor: Dominik Ałaszewski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia 06.08.2019 Wojciech Bancer <wojciech.bancer@gmail.com> napisał/a:
Piszę o czymś w tym stylu: No właśnie, klasyk- szemrana aplikacja prosząca o uprawienia do wszystkiego. Ja pamiętam aplikację latarki, która prosiła o uprawnienia literalnie Niestety, Google był swego czasu stanowczo za mało restrykcyjny i poniekąd przyzwyczaił userów do takich sytuacji. Obecnie wytyczne są jasne: aplikacja może prosić tylko o takie uprawnienia, które jawnie wynikają z jej przeznaczenia. https://play.google.com/about/privacy-security-deception/permissions/ No i to jest chyba clue. Na iOS nie możesz fizycznie nadać No, jak to powiada sudo, "with great power comes great responsibility". Choć warto nadmienić też, że istnieje coś takiego jak MDM- dla iOS też- i bodajże w Indiach swego czasu był atak fiszingowy wymierzony w jabłkochwalców z jego wykorzystaniem ;-) A tak BTW to ja wolę, żeby mnie producent OSa (czy to mobilnego, czy to stacjonarnego) traktował jak dorosłego, świadomego swoich wyborów i ich konsekwencji, niż jak dziecko, którego trzeba pilnować, żeby sobie krzywdy nie zrobiło :-) że nie mogą np. podmienić ikonek wszystkich aplikacji, czy zmienić aplikacji do SMS, ale z drugiej strony jest to bezpieczniejsze środowisko. Tak, bezpieczniejsze (bo mniej funkcjonalne). Ale ani w 100% bezpieczne, ani też nie znacząco bardziej bezpieczne od Androida, gdy wykorzystuje się choć odrobinę swoich szarych komórek. -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
| Data: 2019-08-06 12:41:39 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> wrote:
[...] A tak BTW to ja wolę, żeby mnie producent OSa (czy to mobilnego, Sam też naprawiasz sobie samochód, telewizor, kładziesz kafelki? Sam też zarządzasz własnym serwerem email? Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej po stronie "dev" niż "ops", przez co wybór urządzenia które ode mnie wymaga mniejszej wiedzy jest lepszym wyborem. Podobnie jak to, że zrzucam część obowiązków w systemach które projektuję na dostawcę cloud, bo nie chcę zajmować się zabezpieczaniem wszystiego, tylko wolę czas i wiedzę pożytkować na tworzenie nowych usług, a zestaw reguł zabezpieczających które muszę opanować to 1% tego co bym musiał wiedzieć jakbym miał taką usługę świadczyć na klasycznych platformach. że nie mogą np. podmienić ikonek wszystkich aplikacji, czy zmienić aplikacji do SMS, ale z drugiej strony jest to bezpieczniejsze środowisko. A jakbyś odpowiadał za cudze urządzenia i cudze wykorzystanie szarych komórek, (np. jako administrator/manager w firmie), to jakie byś wybrał? :P Banki mają podobną sytuację, bo sądy orzekają, że to banki są winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę by kiedykolwiek upowszechniła się autoryzacja na komputerach. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 12:31:52 | |
| Autor: Dominik Ałaszewski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia 06.08.2019 Wojciech Bancer <wojciech.bancer@gmail.com> napisał/a:
Sam też naprawiasz sobie samochód, telewizor, kładziesz kafelki? Ale po co sprowadzać sprawę do absurdu? Nie, telefonu sobie nie produkuję, systemu operacyjnego na niego też nie piszę. Ale jak już mam takowe, to wolę więcej funkcji (nawet potencjalnie niebezpiecznych, ale użytecznych) niż wykastrowany, ale super bezpieczny system. Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej Ależ Android nie wymaga żadnej wiedzy technicznej. Wystarczy wiedzieć, co się akceptuje. Ładnie jest to opisane w wielu miejscach, np. https://plblog.kaspersky.com/android-8-permissions-guide/9820/ Zatem na przykład wolę mieć funkcję wyświetlania przez aplikację treści nad inną, dzięki czemu mam pływającą ikonę Yanosika na Google Maps, licząc się z tym, że malware może wykorzystać te uprawnienia (które user musi mu jawnie nadać), żeby wyświetlić treść nad aplikacją bankową i przejąć hasło. Wolę taką funkcję, niż jej brak. Co tu jest niezrozumiałe? A jakbyś odpowiadał za cudze urządzenia i cudze wykorzystanie Jeden pies. MDMy są też na Androida (np. Airwatch) i można telefony tak pozabezpieczać, że user za przeproszeniem nie pierdnie bez pozwolenia ;-) Banki mają podobną sytuację, bo sądy orzekają, że to banki są Sądy orzekają na podstawie prawa. A prawo stanowi, że to bank odpowiada za nieautoryzowaną transakcję, chyba że użytkownik dopuścił się _rażącego niedbalstwa_. Rażącego, czyli np. z premedytacją dał komuś kartę z pinem, a nie dał się nabrać na fiszing. Wystarczy zmienić prawo. -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
| Data: 2019-08-06 17:22:26 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> wrote:
[...] Ale jak już mam takowe, to wolę więcej funkcji (nawet Tuż gdzieś obok było podane info, że tylko 5% użytkowników wie co robi. :) Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej To nie jest wiedza z gatunku "wystarczy". Telefon to nie jest urzędzenia dla specjalistów, którzy sobie będą szukać po necie sposobów na jego zabezpieczenie. Zatem na przykład wolę mieć funkcję wyświetlania Nic, ale po co to mówisz? Dorosły jesteś, masz zdolność do czynności prawnyc i używaj czego chcesz. Tylko zauważam, że takich "myślących że wiedzą" jest więcej niż realnie coś wiedzących. Banki mają podobną sytuację, bo sądy orzekają, że to banki są Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy najlepiej zmienić prawo tak by użytkownik był wszystko-wiedzącą, za-wszystko-odpowiedzialną istotą? No jakaś myśl to jest. :-) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-06 17:18:05 | |
| Autor: Dominik Ałaszewski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia 06.08.2019 Wojciech Bancer <wojciech.bancer@gmail.com> napisał/a:
Tuż gdzieś obok było podane info, że tylko 5% użytkowników Może być, gdzieś mi się przewinęło swego czasu info ile procent ludzi rozumie informacje zawarte w rozkładzie jazdy :-( To nie jest wiedza z gatunku "wystarczy". Poważnie ludzie są aż tak głupi, żeby nie wiedzieć, że uprawnienia odczytu sms dla aplikacji oznaczają, że aplikacja będzie mogła odczytać sms- w tym te z banku? Cóź, w takim razie pozostaje dla nich tylko Apple... Telefon to nie jest urzędzenia dla specjalistów, którzy Smartfon. Jeśli ktoś potrzebuje tylko telefonu, to zdecydowanie lepiej sprawdzi się "feature phone", pieszczotliwie zwane dumbphone. Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy Akurat w tym przypadku uważam, że zamiast rażącego niedbalstwa spokojnie wystarczyłoby "niezachowanie należytej staranności". Zabezpieczenie systemów? Owszem, jeśli bank da swoje urządzenie służące tylko do bankowania, wtedy może go sobie kastrować i zabezpieczać dowolnie. -- Dominik Ałaszewski (via raspbianowy slrn) "W życiu piękne są tylko chwile..." (Ryszard Riedel) Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP Pisząc na priv zmień domenę na gmail. |
|
| Data: 2019-08-07 12:47:21 | |
| Autor: Piotr Gałka | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-06 o 19:18, Dominik Ałaszewski pisze:
Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy Nie widzę żadnego powodu, aby banki traktować w jakiś specjalnie łagodniejszy sposób od innych firm. Jeśli założymy, że to problem użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej staranności to od razu można zmniejszyć wymagania bezpieczeństwa np. sprzętu elektrycznego. Każdy sprzęt przewidziany do zasilania z gniazdka z bolcem uziemiającym może być śmiertelnie niebezpieczny gdy użytkownik podłączy go do gniazdka bez bolca. Kopnęło go - no cóż - był zobowiązany dochować należytej staranności a nie dochował - jego wina. Rosnąca złożoność otaczającego nas świata wymusiła podejście zakładające, że użytkownik nie musi się znać na tym co używa. Producentowi zależy, aby sprzedać swój wyrób jak największej grupie użytkowników więc musi przewidzieć, że znaczna część z nich nie będzie rozumiała jakie zagrożenia dany produkt powoduje i jego zadaniem jest zapewnienie bezpieczeństwa użytkownika nawet, gdy ten popełni dające się przewidzieć błędy wynikające z braku wiedzy. Skutek jest taki, że obecnie dostępne wyroby są znacznie bardziej bezpieczne niż dawniej. Jak miałem 4 lata i 4 miesiące byłem w stanie tak wetknąć wtyczkę do gniazdka, że gdy bolce miały już kontakt z blaszkami w gniazdku między wtyczką a gniazdkiem zmieścił się mój palec wskazujący dotykający obu bolców (wtyczkę trzymałem w garści). Obecnie nie znajdzie się już gniazdek z tak niskim rantem. Tak samo bank, jako producent aplikacji, powinien odpowiadać za dające się przewidzieć błędy użytkownika. Na moje wyczucie użytkownicy aplikacji na telefonach popełniają więcej błędów dotyczących bezpieczeństwa niż użytkownicy komputerów. Np. nie słyszałem aby użytkownik komputera nie korzystał z drugiego kanału dla otrzymania hasła SMS potwierdzającego operację, natomiast chyba niewielu użytkowników telefonów korzysta w tym celu z drugiego aparatu. Jeśli bank nie jest w stanie zapewnić odpowiedniego poziomu bezpieczeństwa to proste - nie oferuje takiego rozwiązania. Jeśli oferuje to ponosi odpowiedzialność. Tylko taki układ wydaje mi się logiczny w obecnym świecie. P.G. |
|
| Data: 2019-08-07 13:37:18 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Piotr Gałka" napisał w wiadomości grup dyskusyjnych:qiea7n$pec$1$PiotrGalka@news.chmurka.net...
W dniu 2019-08-06 o 19:18, Dominik Ałaszewski pisze: Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy Nie widzę żadnego powodu, aby banki traktować w jakiś specjalnie łagodniejszy sposób od innych firm. Jeśli założymy, że to problem użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej staranności to od razu można zmniejszyć wymagania bezpieczeństwa np. Taaa ... tylko niech bank napisze, co to znaczy "nalezyta starannosc" - dokladnie :-) sprzętu elektrycznego. Każdy sprzęt przewidziany do zasilania z gniazdka z bolcem uziemiającym może być śmiertelnie niebezpieczny gdy użytkownik podłączy go do gniazdka bez bolca. Kopnęło go - no cóż - był zobowiązany dochować należytej staranności a nie dochował - jego wina. Hm, -chyba nadal sprzet kopac nie powinien ... i to producent bedzie mial klopoty -zauwaz, ze konsstrukcja naszych gniazdek jest taka, ze to raczej do gniazdka z bolcem nie wsadzisz wtyczki bez dziury. Czyli co - w tym pomieszczeniu wolno uzywac tylko urządzen uziemionych ? -zobacz np kuchenki/plyty grzejne. Nie ma gniazdka, "musi podlaczyc elektryk z uprawnieniami". -no i USA ... "nie wsadzaj kota do mikrofalowki". Tak samo bank, jako producent aplikacji, powinien odpowiadać za dające się przewidzieć błędy użytkownika. Na moje wyczucie użytkownicy aplikacji na telefonach popełniają więcej błędów dotyczących bezpieczeństwa niż użytkownicy komputerów. Np. nie słyszałem aby użytkownik komputera nie korzystał z drugiego kanału dla otrzymania hasła SMS potwierdzającego operację, No ba - komputery zasadniczo nie odbieraja SMS. natomiast chyba niewielu użytkowników telefonów korzysta w tym celu z drugiego aparatu. I proponujesz, zeby bank tego wymagal ? To 90% klientow straci :-) A tak swoja droga ... przechodza wlasnie na autoryzacje w apce mobilnej, bo SMS zbyt niebezpieczne ... ale czy ciagle apka nie chce potwierdzenia za pomoca SMS ? Sami sobie nie wierza ? :-) J. |
|
| Data: 2019-08-07 13:50:40 | |
| Autor: Piotr Gałka | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-07 o 13:37, J.F. pisze:
Nie widzę żadnego powodu, aby banki traktować w jakiś specjalnie łagodniejszy sposób od innych firm. Jeśli założymy, że to problem użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej staranności to od razu można zmniejszyć wymagania bezpieczeństwa np. Przeoczyłeś, że ja piszę o sytuacji po przyjęciu założenia że: "to problem użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej staranności to od razu _można_zmniejszyć_wymagania_bezpieczeństwa_ np. sprzętu elektrycznego." a nie rzeczywistości. Tak samo bank, jako producent aplikacji, powinien odpowiadać za dające się przewidzieć błędy użytkownika. Na moje wyczucie użytkownicy aplikacji na telefonach popełniają więcej błędów dotyczących bezpieczeństwa niż użytkownicy komputerów. Np. nie słyszałem aby użytkownik komputera nie korzystał z drugiego kanału dla otrzymania hasła SMS potwierdzającego operację, Ale fakt jest faktem :) P.G. |
|
| Data: 2019-08-12 11:25:11 | |
| Autor: Ä ÄÄĹĹóşş | |
| PSD2 mBank i pewnie nie tylko... | |
|
Nie masz płaskich wtyczek??
-- -- - konstrukcja naszych gniazdek jest taka, ze to raczej do gniazdka z bolcem nie wsadzisz wtyczki bez dziury. |
|
| Data: 2019-08-06 13:28:53 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Dnia Tue, 6 Aug 2019 12:41:39 +0200, Wojciech Bancer napisał(a):
On 2019-08-06, Dominik Ałaszewski <Dominik.Alaszewski@gazeta.pl.invalid> wrote: Kiedys chetnie, teraz "sie nie da". kładziesz kafelki? Jak to kolega rzekl "krzywo polozyc kafelki to i ja potrafie" :-) Sam też zarządzasz własnym serwerem email? A widzisz ... i potem klne, ze poczta nie przychodzi, a ona gdzies w spamie ... Banki mają podobną sytuację, bo sądy orzekają, że to banki są W zasadzie to juz sie upowszechnila, teraz moze byc kwestia przyszlosci i powrotu :-) Swoja droga - na ile rozumiem, to unijna dyrektywa wymusila "silna autoryzacje", banki sie dostosuja ... i czy nie bedzie w sadzie argumentu, ze autoryzacja zgodna z unijnymi wymogami, wiec bank niewinny ? J. |
|
| Data: 2019-08-06 17:23:46 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-06, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Swoja droga - na ile rozumiem, to unijna dyrektywa wymusila "silna No w sumie ciekawe. Zobaczymy pierwsze rozstrzygnięcia. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-12 11:18:50 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
OT, ale uświadomiłeś mi, jak bardzo się zmieniły relacje rodzinne.
Kiedyś telefon w domu był jeden, wszyscy na niego dzwonili i wszyscy z niego dzwonili, czasem była kolejka "mama kończ bo muszę...". Teraz dziecku dajemy komórkę, żeby nam nie zawracało d... "tata mogę telefon?". BTW mamy stacjonarny ale problemem nie jest technologia druciana, lecz stawki za rozmowy (zawsze kilka kroków do tyłu w porównaniu z komórkami). -- -- - 1) smartfon jest urządzeniem o wiele bardziej osobistym |
|
| Data: 2019-08-12 11:49:33 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "ąćęłńóśźż" napisał w wiadomości grup dyskusyjnych:5d512efb$0$534$65785112@news.neostrada.pl...
OT, ale uświadomiłeś mi, jak bardzo się zmieniły relacje rodzinne. A potem odwrotnie "dziecko, a ty znowu w internecie, oj bedzie bolalo jak przyjdzie rachunek" :-) Teraz dziecku dajemy komórkę, żeby nam nie zawracało d... "tata mogę telefon?". To jedno, ale pojdzie do szkoly i lacznosc sie przyda. Tylko choroba ... bateria sie rozladowala :-) Komorke (starego typu) i tableta mu dac ? BTW mamy stacjonarny ale problemem nie jest technologia druciana, lecz stawki za rozmowy (zawsze kilka kroków do tyłu w porównaniu z komórkami). eee - nie masz nielimitowanych na drucie ? J. -- -- - 1) smartfon jest urządzeniem o wiele bardziej osobistym |
|
| Data: 2019-08-12 12:41:48 | |
| Autor: ąćęłńóśźż | |
| PSD2 mBank i pewnie nie tylko... | |
|
Nie (na komórkowe), bo i po co.
To ekstra opłata lub ekstra abo. -- -- nie masz nielimitowanych na drucie? |
|
| Data: 2019-08-12 13:20:46 | |
| Autor: Wojciech Bancer | |
| PSD2 mBank i pewnie nie tylko... | |
|
On 2019-08-12, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] BTW mamy stacjonarny ale problemem nie jest technologia druciana, lecz stawki za rozmowy (zawsze kilka kroków do tyłu w porównaniu z komórkami). Z ciekawszych "dziwów bankowych", jak firma nie ma numeru stacjonarnego, to nie jest wiarygodna i jej pracownicy nie dostaną kredytu w banku. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2019-08-12 13:56:33 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnql2ise.2ti4.wojciech.bancer@pl-test.org...
On 2019-08-12, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: BTW mamy stacjonarny ale problemem nie jest technologia druciana, Z ciekawszych "dziwów bankowych", jak firma nie ma numeru stacjonarnego, Cos w tym jest, i to nie tylko bankow dotyczy, wielu ludzi tak ocenia. Ale ... co z VoIP ? J. |
|
| Data: 2019-08-20 08:15:57 | |
| Autor: Dawid Rutkowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Milek wczoraj ogłosił zmiany (też mają refleks, zmiany wchodzą od 14 września - ciekawe, czy ktoś się poskarży i czy dostaną karę) - ale dużo rozsądniejsze - choć z tym też można polemizować, czy nie będą jedynie upierdliwe - a bezpieczeństwa nie zwiększą:
1) raz na 90 dni poprosimy Cię o zatwierdzenie logowania H@słem SMS lub Autoryzacją Mobilną. (no i właśnie - upierdliwe będzie, a czy przed czymś ochroni? Może właśnie te 90 dni to stąd, że dopiero teraz zmiany ogłaszają) 2) gdy będziesz sprawdzać historię transakcji starszą niż 90 dni, możemy Cię poprosić również o potwierdzenie tej operacji H@słem SMS lub Autoryzacją Mobilną (ciekawe, przed czym ma to chronić) 3) transakcje kartami w Internecie z wykorzystaniem zabezpieczenia 3D-Secure także potwierdzisz H@słem SMS lub Autoryzacją Mobilną (a to jest w ogóle dziwne, przecież właśnie na tym polega 3DS - czy też może trzeba będzie podwójnie autoryzować? Swoją drogą paypal wciąż nie używa 3DS). |
|
| Data: 2019-08-23 02:48:02 | |
| Autor: Dawid Rutkowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
Do wprowadzających zmiany ze spóźnionym refleksem dołączyli:
- alior - dodatkowa autoryzacja przy każdym logowaniu - ale nie jest do końca jasne, czy to samo wprowadzą w kantorze, - santander (niestety, choć powiedzmy pół biedy) - również przy każdym, z możliwością zdefiniowania "zaufanego", gdzie dodatkowego nie będzie - plus jeszcze jakaś ciekawostka z "rejestrowaniem" komórek i tabletów - i tylko na "zarejestrowanych" będzie można używać apki. |
|
| Data: 2019-08-23 11:57:24 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Dawid Rutkowski" napisał w wiadomości grup dyskusyjnych:22f0ca94-1fa2-4851-a865-f3e87ceb6689@googlegroups.com...
Do wprowadzających zmiany ze spóźnionym refleksem dołączyli: A nie bylo tak zawsze ? Ze apke na telefonie trzeba jakos dodatkowo autoryzowac ? J. |
|
| Data: 2019-08-23 13:03:19 | |
| Autor: Szymon | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu 2019-08-23 o 11:48, Dawid Rutkowski pisze:
- alior - dodatkowa autoryzacja przy każdym logowaniu - ale nie jest do końca jasne, czy to samo wprowadzą w kantorze, W kantorze tak samo. |
|
| Data: 2019-08-29 07:57:33 | |
| Autor: Dawid Rutkowski | |
| PSD2 mBank i pewnie nie tylko... | |
|
W dniu piątek, 23 sierpnia 2019 13:04:04 UTC+2 użytkownik Szymon napisał:
W dniu 2019-08-23 o 11:48, Dawid Rutkowski pisze: O kantorze przysłali dziś. Z ew. dodatkiem (ew. - bo nie analizowałem tego maila o "dużym" aliorze) że będzie można zapisać "przeglądarkę" jako zaufaną. Czyli zapewne koniec z bezSMSowym logowaniem z "okna prywatnego" - już teraz za każdym razem jak otwieram nowe takie okno i loguję się z niego do IKA to dostaję maila "wykryto logowanie z nowego urządzenia". Pytanko, jak mają zamiar zrobić technicznie tą "zaufaną przeglądarkę" - cookiesem? |
|
| Data: 2019-08-31 16:34:40 | |
| Autor: J.F. | |
| PSD2 mBank i pewnie nie tylko... | |
|
Użytkownik "Dawid Rutkowski" napisał w wiadomości grup dyskusyjnych:6a05c7c8-5fe0-4d94-9c09-0a42c4aff5e3@googlegroups.com...
O kantorze przysłali dziś. Pewnie tak, bo jak inaczej ? Identyfikator reklamowy Google ? Plik certyfikat do zainstalowania ? J. |
|