witam szanownych i szanowne,
zalogowalem sie do mbank przez chrome, wpisałem login i hasło i chrome mnie się pyta czy ma zapamietac haslo. a n iech sonei zapamieta, przeciez to https więc nie zadziała. wylogowałem się zamknąłem przeglądarkę, otworzyłem uruchomiłem mbank i chrome podpowiada mi login i hasło.
nie znam się na tym za dobrze, ale wydawało mi się że przez https przeglądarka "nie widzi" co sie tam dzieje w środku. jak to jest z innymi bankami? czy coś takiego nie świadczy czasem że coś jest nie tak z bezpieczeństwem logowania w mbanku?

pozdrawiam

Świadczy to jedynie o błędzie w kodzie strony, który powinien blokować zapamiętywanie hasła. Ta zmiana nie była celowa i od pewnego czasu trwa jej łatanie.

Konfabulator wystukał, co następuje:

Świadczy to jedynie o błędzie w kodzie strony, który powinien blokować
zapamiętywanie hasła. Ta zmiana nie była celowa i od pewnego czasu trwa
jej łatanie.

ta... mbank znowu się 'popisał'... i do tego 'łata' (dodanie jednego atrybutu, ale pewnie zajmie im to kilka tygodni), zupełnie ignorując fakt, że i tak nowe chrome będzie to miało w 4 literach (v. http://www.dobreprogramy.pl/Google-Chrome-34-responsywne-obrazki-i-pelnia-
wladzy-dla-menedzera-hasel,News,53540.html).

Konfabulator <konfabulator@10g.pl> writes:

Świadczy to jedynie o błędzie w kodzie strony, który powinien blokować zapamiętywanie hasła. Ta zmiana nie była celowa i od pewnego czasu trwa jej łatanie.

Ty tak ... serio?
KJ

--
http://blogdebart.pl/2010/03/17/dalsze-przygody-swinki-w-new-jersey/

Dnia Mon, 28 Apr 2014 13:02:18 -0700 (PDT), Konfabulator napisał(a):

Świadczy to jedynie o błędzie w kodzie strony, który powinien blokować zapamiętywanie hasła. Ta zmiana nie była celowa i od pewnego czasu trwa jej łatanie.

Najnowsze Chrome pozwala na ignorowanie atrybutu autocomplete="off".
Całkiem wygodna rzecz, w Fx trzeba było wtyczek do tego.

--
Borys Pogoreło
borys(#)leszno,edu,pl

"vvvvvv" <wlewszy@porsche.de> writes:

[...]

nie znam się na tym za dobrze, ale wydawało mi się że przez https
przeglądarka "nie widzi" co sie tam dzieje w środku. jak to jest z

OCzywiście, że "widzi". Jak inaczej mogłaby wyświetlić to co przychodzi
z banku?

innymi bankami? czy coś takiego nie świadczy czasem że coś jest nie
tak z bezpieczeństwem logowania w mbanku?

Nie. KJ
--
http://wolnelektury.pl/wesprzyj/teraz/

"vvvvvv" <wlewszy@porsche.de> wrote in message news:ljmaqq$75d$1speranza.aioe.org...

witam szanownych i szanowne,
zalogowalem sie do mbank przez chrome, wpisałem login i hasło i chrome mnie się pyta czy ma zapamietac haslo. a n iech sonei zapamieta, przeciez to https więc nie zadziała. wylogowałem się zamknąłem przeglądarkę, otworzyłem uruchomiłem mbank i chrome podpowiada mi login i hasło.
nie znam się na tym za dobrze, ale wydawało mi się że przez https przeglądarka "nie widzi" co sie tam dzieje w środku. jak to jest z innymi bankami? czy coś takiego nie świadczy czasem że coś jest nie tak z bezpieczeństwem logowania w mbanku?

pozdrawiam

a zaszyfrowane wychodzi wprost z twojej klawiatury...

pozdro
george

Użytkownik "vvvvvv" <wlewszy@porsche.de> napisał w wiadomości news:ljmaqq$75d$1speranza.aioe.org...

witam szanownych i szanowne,
zalogowalem sie do mbank przez chrome, wpisałem login i hasło i chrome mnie się pyta czy ma zapamietac haslo. a n iech sonei zapamieta, przeciez to https więc nie zadziała. wylogowałem się zamknąłem przeglądarkę, otworzyłem uruchomiłem mbank i chrome podpowiada mi login i hasło.

Login i hasło wpisujesz nie zakodowane (to nie Ty musisz kodować) więc po stronie interfejsu użytkownika to są informacje jawne i w takiej formie mogą być zapamiętane, a potem podpowiedziane.
Jak jesteś pewien, że:
- nikt nie zaufany nigdy przy Twoim komputerze nie usiądzie,
- nikt Ci nigdy komputera nie ukradnie,
- żaden wirus się nie zainstaluje, który miałby dostęp do wszystkiego na HDD,
to można chyba zezwalać na zapamiętywanie haseł.
P.G.

Dnia Tue, 29 Apr 2014 10:06:32 +0200, Piotr Gałka napisał(a):

Użytkownik "vvvvvv" <wlewszy@porsche.de> napisał w wiadomości news:ljmaqq$75d$1speranza.aioe.org...

witam szanownych i szanowne,
zalogowalem sie do mbank przez chrome, wpisałem login i hasło i chrome mnie się pyta czy ma zapamietac haslo. a n iech sonei zapamieta, przeciez to https więc nie zadziała. wylogowałem się zamknąłem przeglądarkę, otworzyłem uruchomiłem mbank i chrome podpowiada mi login i hasło.

Login i hasło wpisujesz nie zakodowane (to nie Ty musisz kodować) więc po stronie interfejsu użytkownika to są informacje jawne i w takiej formie mogą być zapamiętane, a potem podpowiedziane.
Jak jesteś pewien, że:
- nikt nie zaufany nigdy przy Twoim komputerze nie usiądzie,
- nikt Ci nigdy komputera nie ukradnie,
- żaden wirus się nie zainstaluje, który miałby dostęp do wszystkiego na HDD,
to można chyba zezwalać na zapamiętywanie haseł.

Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
jakim kompie bym się logował. Poza tym to jakaś dziwna metoda, że trzeba podać całe hasło które jest w
100% "pełne". Chodzi mi  o rozwiązania takie jak np. Sync, gdzie podajesz
tylko kilka wybranych literek z pełnego hasła (nigdy nie pełne) albo
powiązania stałego hasła z dynamicznie generowanym ciągiem (token).

Natomiast zapamiętywanie haseł to wg mnie must-have w obecnych czasach.
Zobacz, że duża większość stron wymaga logowania - inaczej dostajesz
takiego trochę kastrata.

--
Franc

W dniu wtorek, 29 kwietnia 2014 10:53:36 UTC+2 użytkownik Franc napisał:

Dnia Tue, 29 Apr 2014 10:06:32 +0200, Piotr Ga�ka napisa�(a):
Poza tym to jaka� dziwna metoda, �e trzeba poda� ca�e has�o kt�re >jest w
100% "peďż˝ne". Chodzi mi  o rozwiďż˝zania takie jak np. Sync, gdzie podajesz
tylko kilka wybranych literek z pe�nego has�a (nigdy nie pe�ne) albo
powi�zania sta�ego has�a z dynamicznie generowanym ci�giem (token).

W syncu masz wybór czy chcesz maskowane czy nie. Wg mnie brak maskowani ato żaden problem.
Zresztą hasło to dopiero pierwszy etap i nawet jak ktoś niepowołany je pozna/wykradnie to niewiele złego zrobi. Jest przecież jeszcze autoryzacja większości operacji.

Użytkownik "Franc" <wp@wp.pl> napisał w wiadomości news:rvpvd6ola4xf$.3ll89htkqljh.dlg40tude.net...

Login i hasło wpisujesz nie zakodowane (to nie Ty musisz kodować) więc po
stronie interfejsu użytkownika to są informacje jawne i w takiej formie mogą
być zapamiętane, a potem podpowiedziane.
Jak jesteś pewien, że:
- nikt nie zaufany nigdy przy Twoim komputerze nie usiądzie,
- nikt Ci nigdy komputera nie ukradnie,
- żaden wirus się nie zainstaluje, który miałby dostęp do wszystkiego na
HDD,
to można chyba zezwalać na zapamiętywanie haseł.

Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
jakim kompie bym się logował.

Ja też. Ale autor wątku chyba lubi więc podałem, moim zdaniem bezwzględne, warunki wstępne.

Poza tym to jakaś dziwna metoda, że trzeba podać całe hasło które jest w
100% "pełne". Chodzi mi  o rozwiązania takie jak np. Sync, gdzie podajesz
tylko kilka wybranych literek z pełnego hasła (nigdy nie pełne) albo
powiązania stałego hasła z dynamicznie generowanym ciągiem (token).

Z tego co pamiętam to byli tu zadowoleni jak któryś bank pozwolił zrezygnować z hasła maskowanego.
P.G.

Dnia Tue, 29 Apr 2014 10:53:36 +0200, Franc napisał(a):

Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
jakim kompie bym się logował.

No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
zapamietac".

Poza tym to jakaś dziwna metoda, że trzeba podać całe hasło które jest w
100% "pełne". Chodzi mi  o rozwiązania takie jak np. Sync, gdzie podajesz
tylko kilka wybranych literek z pełnego hasła (nigdy nie pełne) albo

BZWBK tak zaczynal, ale widac klientom sie nie podobalo, bo juz mowa
zeby mozna bylo ustawic zwykle.

powiązania stałego hasła z dynamicznie generowanym ciągiem (token).

Ale to drogo i banki od tego odchodza.

J.

Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisał(a):

Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
jakim kompie bym się logował.

No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
zapamietac".

Znaczy się, że sam się prosi o kłopoty. Wiem, że potem w razie draki będzie
zwalanie winy na innych, ale minimum odruchów obronnych człowiek powinien
jednak mieć - zwłaszcza jeżeli chodzi o finanse.
:-)
 

powiązania stałego hasła z dynamicznie generowanym ciągiem (token).

Ale to drogo i banki od tego odchodza.

Byłaby szkoda, bo mi token bardzo pasuje. Żałuję, że jednak sync nie ma
tokena - jakieś większe poczucice bezpieczeństwa mam.

Co ciekawe, w PKO SA przy okazji kredytu założyliśmy konto ROR (norma) i
póki co jest hasło na SMSa, ale mają powrócić do tokenów jak tylko coś
poprawią / naprawią w swoim systemie. --
Franc

Franc <wp@wp.pl> writes:

Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisał(a):

Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
jakim kompie bym się logował.

No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
zapamietac".

Znaczy się, że sam się prosi o kłopoty. Wiem, że potem w razie draki będzie
zwalanie winy na innych, ale minimum odruchów obronnych człowiek powinien
jednak mieć - zwłaszcza jeżeli chodzi o finanse.
:-)

Ale tu pojawia się pytanie czy większe jest ryzyko wykradzenia z
przeglądarki, czy też podejrzenie keyloggerem w czasie wpisywwania. KJ

--
http://blogdebart.pl/2009/12/22/mamy-chorych-dzieci/

Użytkownik "Kamil "Jońca""  napisał

Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisał(a):

Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
jakim kompie bym się logował.

No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
zapamietac".

Znaczy się, że sam się prosi o kłopoty. Wiem, że potem w razie draki będzie
zwalanie winy na innych, ale minimum odruchów obronnych człowiek powinien
jednak mieć - zwłaszcza jeżeli chodzi o finanse.  :-)

Ale tu pojawia się pytanie czy większe jest ryzyko wykradzenia z
przeglądarki, czy też podejrzenie keyloggerem w czasie wpisywwania.

Jak ci sie keylogger zainstalowal, to bez problemu moze takze hasla z przegladarki wyslac.
One tam niby jakos zaszyfrowane, ale chyba kiepsko.

J.
\

W dniu wtorek, 6 maja 2014 13:43:43 UTC+2 użytkownik J.F napisał:

Uďż˝ytkownik "Kamil "Joďż˝ca""  napisaďż˝

> Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisaďż˝(a):

>>>> Has�a do banku bym "nie zapami�ta�" w przegl�darce bez wzgl�du na >>>> to, na

>>>> jakim kompie bym siďż˝ logowaďż˝.

>>> No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,

>>> zapamietac".

>> Znaczy si�, �e sam si� prosi o k�opoty.. Wiem, �e potem w razie >> draki b�dzie

>> zwalanie winy na innych, ale minimum odruch�w obronnych cz�owiek >> powinien

>> jednak mieďż˝ - zwďż˝aszcza jeďż˝eli chodzi o finanse.  :-)

>Ale tu pojawia si� pytanie czy wi�ksze jest ryzyko wykradzenia z

>przegl�darki, czy te� podejrzenie keyloggerem w czasie wpisywwania.



Jak ci sie keylogger zainstalowal, to bez problemu moze takze hasla z przegladarki wyslac.

One tam niby jakos zaszyfrowane, ale chyba kiepsko.



J.

\

Przecież keylogger działa tak, że loguje to co ktoś wystukał na klawiaturze,
a nie co przeglądarka trzyma

On 2014-04-29, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:

[...]

to można chyba zezwalać na zapamiętywanie haseł.

IMHO to jest lepsze rozwiązanie:
https://agilebits.com/onepassword

--
Wojciech Bańcer
proteus@post.pl

Wojciech Bancer <proteus@post.pl> writes:

On 2014-04-29, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:

[...]

to można chyba zezwalać na zapamiętywanie haseł.

IMHO to jest lepsze rozwiązanie:
https://agilebits.com/onepassword

A na czym polega jego "lepszość"?
KJ

--
http://modnebzdury.wordpress.com/2009/10/01/niewiarygodny-list-prof-majewskiej-wprowadzenie/

On 2014-04-30, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

IMHO to jest lepsze rozwiązanie:
https://agilebits.com/onepassword

A na czym polega jego "lepszość"?

Hasła lokalnie są przechowywane w formie zaszyfrowanej, a sam program jest uniwersalny, pozwala np. na ich synchronizację bazy z tel. kom i użycie
w różnych przeglądarkach tego samego zestawu haseł.

--
Wojciech Bańcer
proteus@post.pl

Wojciech Bancer <proteus@post.pl> writes:

On 2014-04-30, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

IMHO to jest lepsze rozwiązanie:
https://agilebits.com/onepassword

A na czym polega jego "lepszość"?

Hasła lokalnie są przechowywane w formie zaszyfrowanej, a sam program jest uniwersalny, pozwala np. na ich synchronizację bazy z tel. kom i użycie
w różnych przeglądarkach tego samego zestawu haseł.

Ale linuksowej wersji nie widzę[1]...
KJ
[1] Tak, Androida zobaczyłem.

--
http://wolnelektury.pl/wesprzyj/teraz/

On 2014-04-30, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

Hasła lokalnie są przechowywane w formie zaszyfrowanej, a sam program jest uniwersalny, pozwala np. na ich synchronizację bazy z tel. kom i użycie
w różnych przeglądarkach tego samego zestawu haseł.

Ale linuksowej wersji nie widzę[1]...
KJ
[1] Tak, Androida zobaczyłem.

Jakoś nie skojarzyłem że musi chodzić na linuksie. :)
Ale zakładam, że linuksy mają jakiś szyfrowany keystore wbudowany.
Fakt, że o mniejszych możliwościach, ale cóż... 1-2% rynku na desktopach robi swoje niestety.


--
Wojciech Bańcer
proteus@post.pl

 kjonca@poczta.onet.pl (Kamil Jońca) Wrote in message:

Wojciech Bancer <proteus@post.pl> writes:

On 2014-04-30, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

[...]

IMHO to jest lepsze rozwiązanie:
https://agilebits.com/onepassword

A na czym polega jego "lepszość"?

Hasła lokalnie są przechowywane w formie zaszyfrowanej, a sam program jest uniwersalny, pozwala np. na ich synchronizację bazy z tel. kom i użycie
w różnych przeglądarkach tego samego zestawu haseł.

Ale linuksowej wersji nie widzę[1]...
KJ
[1] Tak, Androida zobaczyłem.

To ja polecam keepass
 http://keepass.info

--
pozdrawiam
Marcin "lolekanabolek"



-- -- Android NewsGroup Reader-- --
http://www.piaohong.tk/newsgroup

lolekanabolek <lolekanabolek_NOSPAM@gmail.com> writes:

To ja polecam keepass
 http://keepass.info

Nie rozumiemy się :) Ja potrafię sobie zapisać hasła. Ale tu padła nazwa
czegoś co miało być "lepsze". Tylko, że jakby dla mnie ta lepszość jest
wirtualna.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

Dnia Wed, 30 Apr 2014 20:40:39 +0200, Kamil Jońca napisał(a):

Nie rozumiemy się :) Ja potrafię sobie zapisać hasła. Ale tu padła nazwa
czegoś co miało być "lepsze". Tylko, że jakby dla mnie ta lepszość jest
wirtualna.

Nie jest "lepsze", jest wygodniejsze niż pamięć. Ale ma swoje wady: baza
haseł może być szyfrowana najlepszym algorytmem, ale wystarczy dorwać się
do klawiatury pozostawionego bez opieki komputera i pozamiatane, wszystko
jak na talerzu.

--
Borys Pogoreło
borys(#)leszno,edu,pl

On 2014-04-30, Borys Pogoreło <borys@pl.edu.leszno> wrote:

[...]

Nie rozumiemy się :) Ja potrafię sobie zapisać hasła. Ale tu padła nazwa
czegoś co miało być "lepsze". Tylko, że jakby dla mnie ta lepszość jest
wirtualna.

Nie jest "lepsze", jest wygodniejsze niż pamięć. Ale ma swoje wady: baza
haseł może być szyfrowana najlepszym algorytmem, ale wystarczy dorwać się
do klawiatury pozostawionego bez opieki komputera i pozamiatane, wszystko
jak na talerzu.

No niespecjalnie. Musisz najpierw odblokować bazę, a to jest czasowe.
Więc "okno" na dostanie się jest bardzo krótkie. :)

--
Wojciech Bańcer
proteus@post.pl

Dnia Wed, 30 Apr 2014 22:53:43 +0200, Wojciech Bancer napisał(a):

Nie jest "lepsze", jest wygodniejsze niż pamięć. Ale ma swoje wady: baza
haseł może być szyfrowana najlepszym algorytmem, ale wystarczy dorwać się
do klawiatury pozostawionego bez opieki komputera i pozamiatane, wszystko
jak na talerzu.

No niespecjalnie. Musisz najpierw odblokować bazę, a to jest czasowe.
Więc "okno" na dostanie się jest bardzo krótkie. :)

Kwestia konfiguracji, AFAIR domyślne ustawienia keepass nie włączają
blokowania.

BTW: czy próbowałeś jakichś niestandardowych metod uwierzytelniania w tym
programie (biometria, token, karta)?

--
Borys Pogoreło
borys(#)leszno,edu,pl

On 2014-04-30, Borys Pogoreło <borys@pl.edu.leszno> wrote:

[...]

No niespecjalnie. Musisz najpierw odblokować bazę, a to jest czasowe.
Więc "okno" na dostanie się jest bardzo krótkie. :)

Kwestia konfiguracji, AFAIR domyślne ustawienia keepass nie włączają
blokowania.

Pisałem o 1Password akurat. Domyślnie lockuje.


--
Wojciech Bańcer
proteus@post.pl

W dniu środa, 30 kwietnia 2014 16:29:50 UTC+2 użytkownik Wojciech Bancer napisał:

On 2014-04-30, Kamil Jo�ca <kjonca@poczta.onet.pl> wrote:



[...]



>> IMHO to jest lepsze rozwi�zanie:

>> https://agilebits.com/onepassword

>

> A na czym polega jego "lepszo��"?



Has�a lokalnie s� przechowywane w formie zaszyfrowanej, a sam program jest uniwersalny, pozwala np. na ich synchronizacj� bazy z tel. kom i u�ycie

w r�nych przegl�darkach tego samego zestawu hase�..



-- Wojciech Ba�cer

proteus@post.pl

Rozumiem, że hasło do tych haseł nie jest lokalnie przechowywane.
Po wpisaniu przez użytkownika jest konwertowane na jakiś klucz symetryczny, który deszyfruje hasła z bazy. Tak to działa?

Dnia Mon, 5 May 2014 09:43:32 -0700 (PDT), Zibo napisał(a):

Rozumiem, że hasło do tych haseł nie jest lokalnie przechowywane.
Po wpisaniu przez użytkownika jest konwertowane na jakiś klucz symetryczny, który deszyfruje hasła z bazy. Tak to działa?

Tak, do tego hasło główne może być różne - z głowy, z biometrii, ze
sprzętu, czy nawet na podstawie zawartości wybranego pliku na dysku.

--
Borys Pogoreło
borys(#)leszno,edu,pl

W dniu 2014-05-05 21:59, Borys Pogoreło pisze:

Dnia Mon, 5 May 2014 09:43:32 -0700 (PDT), Zibo napisał(a):

Rozumiem, że hasło do tych haseł nie jest lokalnie przechowywane.
Po wpisaniu przez użytkownika jest konwertowane na jakiś klucz symetryczny,
który deszyfruje hasła z bazy. Tak to działa?

Tak, do tego hasło główne może być różne - z głowy, z biometrii, ze
sprzętu, czy nawet na podstawie zawartości wybranego pliku na dysku.

W KeePass można również (dla megaparanoików) otwierać bazę z zaszyfrowanymi hasłami z innej lokalizacji, niż program KP na dysku, z jeszcze innej (np. pendrive) ładować plik z kluczem do odszyfrowywania zawartości + wpisywać dodatkowe hasło (czyli zabezpieczenie dwuelementowe: klucz w pliku + hasło).

K.

--
http://www.krystek.art.pl/

Użytkownik "Piotr Gałka" <piotr.galka@cutthismicromade.pl> napisał w wiadomości news:ljnmir$cgd$1srv.chmurka.net...

Użytkownik "vvvvvv" <wlewszy@porsche.de> napisał w wiadomości news:ljmaqq$75d$1speranza.aioe.org...

witam szanownych i szanowne,
zalogowalem sie do mbank przez chrome, wpisałem login i hasło i chrome mnie się pyta czy ma zapamietac haslo. a n iech sonei zapamieta, przeciez to https więc nie zadziała. wylogowałem się zamknąłem przeglądarkę, otworzyłem uruchomiłem mbank i chrome podpowiada mi login i hasło.

Login i hasło wpisujesz nie zakodowane (to nie Ty musisz kodować) więc po stronie interfejsu użytkownika to są informacje jawne i w takiej formie mogą być zapamiętane, a potem podpowiedziane.
Jak jesteś pewien, że:
- nikt nie zaufany nigdy przy Twoim komputerze nie usiądzie,
- nikt Ci nigdy komputera nie ukradnie,
- żaden wirus się nie zainstaluje, który miałby dostęp do wszystkiego na HDD,
to można chyba zezwalać na zapamiętywanie haseł.
P.G.

dzięki za odpowiedzi.
wolę nie pozostawiać tego przypadkowi i nie zapamiętywać haseł dostępowych do ważnych danych.

pozdrawiam