🚀 go-pugleaf

> Szukam banku z jak najprostszą obsługą konta internetowego, bez żadnych
> apek, SMS-ów, dwuetapowych logowań i potwierdzeń przy wykonywaniu
> przelewów.
> Najbardziej pasowałoby, żeby potwierdzenia operacji były w postaci
> zdrapki, tak jak było kiedyś w PKOBP lub wydrukowanej karty kodów.
> Jakieś banki oferują w dzisiejszych czasach jeszcze takie archaiczne
> "cudeńka"?

Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
obowiązkowe.

--
Grzexs

W dniu 09.12.2024 o 21:23, Grzexs pisze:
>> Szukam banku z jak najprostszą obsługą konta internetowego, bez
>> żadnych apek, SMS-ów, dwuetapowych logowań i potwierdzeń przy
>> wykonywaniu przelewów.
>> Najbardziej pasowałoby, żeby potwierdzenia operacji były w postaci
>> zdrapki, tak jak było kiedyś w PKOBP lub wydrukowanej karty kodów.
>> Jakieś banki oferują w dzisiejszych czasach jeszcze takie archaiczne
>> "cudeńka"?
>
> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
> obowiązkowe.
>

Logowanie z przeglądarki teraz wszędzie dwuetapowe - np. hasło i sms lub
hasło i potwierdzenie w aplikacji w telefonie.

Ale już logowanie do aplikacji jest jednoetapowe i jakoś to wystarcza...

   MJ

W dniu 10 gru 2024 o 01:08, Michał Jankowski pisze:

> Ale już logowanie do aplikacji jest jednoetapowe i jakoś to wystarcza...

Bez logowania można zobaczyć stan konta; co po zalogowaniu? -- wrażliwe
operacje bywają dodatkowo zabezpieczane... (bywa, że trzeba znać więcej
niż jedno hasło -- bądź obrazek i hasło albo hasła) Lecz zanim smartfon
zezwoli na uruchomienie apki -- niekiedy domaga się odblokowania... Czy
smartfony z dwiema przednimi kamerami są często spotykane? -- Najlepiej
zabezpieczyć kamerami ulokowanymi w odległych narożnikach...

--
`_._     _,-'""`-._      .`'.-.      ._.                          .-.
(,-.`._,'(       |\`-/| '.'O`-,`  .,; o.'   eneuel@@gmail.com    '.O_'
    `-.-' \ )-`(  , o o)  `-:`-'.'.`\.'.'    '~'~'~'~'~'~'~'~'    o.`.,t
-bf-      `-    \`_`"'-.o'\:/.d`|'.p \; https://www.eneuel.ct8.pl \|/..s

W dniu 10.12.2024 o 01:08, Michał Jankowski pisze:
> W dniu 09.12.2024 o 21:23, Grzexs pisze:
>>> Szukam banku z jak najprostszą obsługą konta internetowego, bez
>>> żadnych apek, SMS-ów, dwuetapowych logowań i potwierdzeń przy
>>> wykonywaniu przelewów.
>>> Najbardziej pasowałoby, żeby potwierdzenia operacji były w postaci
>>> zdrapki, tak jak było kiedyś w PKOBP lub wydrukowanej karty kodów.
>>> Jakieś banki oferują w dzisiejszych czasach jeszcze takie archaiczne
>>> "cudeńka"?
>>
>> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
>> obowiązkowe.
>>
>
> Logowanie z przeglądarki teraz wszędzie dwuetapowe - np. hasło i sms lub
> hasło i potwierdzenie w aplikacji w telefonie.
>
> Ale już logowanie do aplikacji jest jednoetapowe i jakoś to wystarcza...
>
>    MJ
>

Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
logowania z przeglądarki.
Login, hasło i jestem na koncie.
City, Nest to samo.


--
Pozdrawiam,

On Tue, 10 Dec 2024 10:12:16 +0100, Picek wrote:
> W dniu 10.12.2024 o 01:08, Michał Jankowski pisze:
>> W dniu 09.12.2024 o 21:23, Grzexs pisze:
>>>> Szukam banku z jak najprostszą obsługą konta internetowego, bez
>>>> żadnych apek, SMS-ów, dwuetapowych logowań i potwierdzeń przy
>>>> wykonywaniu przelewów.
>>>> Najbardziej pasowałoby, żeby potwierdzenia operacji były w postaci
>>>> zdrapki, tak jak było kiedyś w PKOBP lub wydrukowanej karty kodów.
>>>> Jakieś banki oferują w dzisiejszych czasach jeszcze takie archaiczne
>>>> "cudeńka"?
>>>
>>> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
>>> obowiązkowe.
>>>
>> Logowanie z przeglądarki teraz wszędzie dwuetapowe - np. hasło i sms lub
>> hasło i potwierdzenie w aplikacji w telefonie.
>>
>> Ale już logowanie do aplikacji jest jednoetapowe i jakoś to wystarcza...
>>
> Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
> logowania z przeglądarki.
> Login, hasło i jestem na koncie.

Dziwne.
Nie masz przeglądarki dodanej do zaufanych?
Przy pomocy apki ... choc może sms jeszcze jest możliwe.

> City, Nest to samo.

Citi istotnie mi się otwarło na samo hasło.
Ale czy to tak dla wszystkich, czy mam zaufaną przeglądarkę, to nie
wiem.

Nest wymaga potwierdzenia w apce - ale może da się wyłączyć.

J.

On Tue, 10 Dec 2024 01:08:41 +0100, Michał Jankowski wrote:
> W dniu 09.12.2024 o 21:23, Grzexs pisze:
>>> Szukam banku z jak najprostszą obsługą konta internetowego, bez
>>> żadnych apek, SMS-ów, dwuetapowych logowań i potwierdzeń przy
>>> wykonywaniu przelewów.
>>> Najbardziej pasowałoby, żeby potwierdzenia operacji były w postaci
>>> zdrapki, tak jak było kiedyś w PKOBP lub wydrukowanej karty kodów.
>>> Jakieś banki oferują w dzisiejszych czasach jeszcze takie archaiczne
>>> "cudeńka"?
>>
>> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
>> obowiązkowe.
>>
> Logowanie z przeglądarki teraz wszędzie dwuetapowe - np. hasło i sms lub
> hasło i potwierdzenie w aplikacji w telefonie.
>
> Ale już logowanie do aplikacji jest jednoetapowe i jakoś to wystarcza...

Ale apki mają limity kwotowe, i to niskie :-)

J.

W dniu 2024-12-10 o 10:12, Picek pisze:
> Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
> logowania z przeglądarki.
> Login, hasło i jestem na koncie.

Jeszcze tylko pozwolić przeglądarce zapamiętać login i hasło i będzie
zero-etapowe logowanie. Jak zawsze wygoda kosztem bezpieczeństwa.

Mi mBank zawsze wysyła kod, ale nigdy nie zgodziłem się na dodanie
komputera do zaufanych.

Od kilku miesięcy jak mi wysyłają ten kod to piszą, że loguję się z
przeglądarki Chrome 109. Dawniej nie pisali z czego według nich się
loguję, więc nie mogę stwierdzić, czy to ich błąd, czy może zawsze
loguję się za pośrednictwem jakiegoś 'Man in the middle' bo ja się
loguję z przeglądarki Opera.
A może Opera == Chrome 109.

> City, Nest to samo.

City raz na jakiś czas (ale bardzo rzadko) postanawia przysłać mi kod i
poprosić o wpisane. Tylko ten ich chory system nie ustawia wtedy kursora
w miejscu wpisywania i zawsze po przepisaniu kodu z telefonu zauważam,
że całe moje przepisywanie poszło w próżnię (no chyba, że mam jakiegoś
key-loggera to się przynajmniej dane nie zmarnowały).
A potem z kolei jak wpiszę ostatnią cyfrę to chciałbym zweryfikować, że
jest ok a on już wie, że ok i idzie dalej. Się zastanawiam, co by było
jakbym wpisał błędny kod, ale wolę nie sprawdzać.
Dla mnie normalne jest, że wpisuję, weryfikuję, akceptuję, ale to nie w
City..
P.G.

W dniu 2024-12-10 o 10:35, J.F pisze:
> Citi istotnie mi się otwarło na samo hasło.
> Ale czy to tak dla wszystkich, czy mam zaufaną przeglądarkę, to nie
> wiem.

U mnie też (w znakomitej większości przypadków) samo hasło. Bym pamiętał
jakbym dodał przeglądarkę do zaufanych bo chyba musiałbym to zrobić
kilka razy (no bo to chyba zapisują nie u siebie, a lokalnie).

Raz na rok/dwa robię przeglądarce wyczyść historię przeglądania
'wszystko i od zawsze'. Zostało mi z czasów, gdy kiedyś robiąc partycję
C: nie przewidziałem, że system ją zabagni. Jak zaczęły być z tym
problemy to odkryłem, że głównym śmieciowym jest przeglądarka i
wyczyszczenie historii pomaga.
Po wyczyszczeniu historii loguję się do wybranych miejsc (nie banków) i
zgadzam się na zapamiętanie loginu i hasła. Po czym wyłączam komputer i
nie włączam przez 24h. A potem po każdym używaniu robię wyczyść historię
'wszystko, ostatnie 24h'. Według mnie tak jest higienicznie dla komputera.
Zapamiętywanie pobranych danych miało sens gdy się człowiek wdzwaniał
gdzieś słabym modemem, ale jak się ma dobre łącza to jest to tylko
zaśmiecanie dysku.
P.G.

W dniu 09.12.2024 o 21:23, Grzexs pisze:

> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
> obowiązkowe.

I tak, i nie. W PKOBP można przy pierwszym logowaniu potwierdzić
konkretny komputer i przeglądarkę przy pomocy aplikacji lub karty kodów
jednorazowych, potem można się logować bez problemu tylko hasłem.
Ale oprócz logowania chodzi mi jeszcze o potwierdzanie poszczególnych
operacji, najlepiej właśnie żeby to były jakieś wpisywane kody, jak w
PKO, bo to ma być do obsługi konta przez starszą osobę po udarze, która
ma problemy z obsługą telefonów, szczególnie dotykowych.

W dniu 10.12.2024 o 10:35, J.F pisze:

>> Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
>> logowania z przeglądarki.
>> Login, hasło i jestem na koncie.
>
> Dziwne.
> Nie masz przeglądarki dodanej do zaufanych?
> Przy pomocy apki ... choc może sms jeszcze jest możliwe.

Dokładnie tak. Przy pierwszym logowaniu dodana.

>> City, Nest to samo.
>
> Citi istotnie mi się otwarło na samo hasło.
> Ale czy to tak dla wszystkich, czy mam zaufaną przeglądarkę, to nie
> wiem.
>
> Nest wymaga potwierdzenia w apce - ale może da się wyłączyć.
>
> J.

Nie kojarzę bym coś zaznaczał/odhaczał przy zakładaniu konta. Może.

--
Pozdrawiam,

W dniu 10.12.2024 o 15:03, Piotr Gałka pisze:

> City raz na jakiś czas (ale bardzo rzadko) postanawia przysłać mi kod i
> poprosić o wpisane. Tylko ten ich chory system nie ustawia wtedy kursora
> w miejscu wpisywania i zawsze po przepisaniu kodu z telefonu zauważam,
> że całe moje przepisywanie poszło w próżnię (no chyba, że mam jakiegoś
> key-loggera to się przynajmniej dane nie zmarnowały).
> A potem z kolei jak wpiszę ostatnią cyfrę to chciałbym zweryfikować, że
> jest ok a on już wie, że ok i idzie dalej. Się zastanawiam, co by było
> jakbym wpisał błędny kod, ale wolę nie sprawdzać.
> Dla mnie normalne jest, że wpisuję, weryfikuję, akceptuję, ale to nie w
> City..
> P.G.
>

Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
Wystarczy mi logowanie biometryczne go laptopa.

--
Pozdrawiam,

> Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
> Wystarczy mi logowanie biometryczne go laptopa.
>

Oczywiście miała być fobia :-)

--
Pozdrawiam,

W dniu 2024-12-10 o 16:15, Picek pisze:
> W dniu 10.12.2024 o 15:03, Piotr Gałka pisze:
>
>> City raz na jakiś czas (ale bardzo rzadko) postanawia przysłać mi kod
>> i poprosić o wpisane. Tylko ten ich chory system nie ustawia wtedy
>> kursora w miejscu wpisywania i zawsze po przepisaniu kodu z telefonu
>> zauważam, że całe moje przepisywanie poszło w próżnię (no chyba, że
>> mam jakiegoś key-loggera to się przynajmniej dane nie zmarnowały).
>> A potem z kolei jak wpiszę ostatnią cyfrę to chciałbym zweryfikować,
>> że jest ok a on już wie, że ok i idzie dalej. Się zastanawiam, co by
>> było jakbym wpisał błędny kod, ale wolę nie sprawdzać.
>> Dla mnie normalne jest, że wpisuję, weryfikuję, akceptuję, ale to nie
>> w City..
>> P.G.
>>
>
> Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
> Wystarczy mi logowanie biometryczne go laptopa.

Wydaje mi się, że to zdanie ma sens w odniesieniu do mBanku - że można
meć komputer 'zaufany', ale chyba ma się nijak do mojego opisu City pod
którym to napisałeś.
Nie kojarzę aby w City było pojęcie zaufany komputer/przeglądarka.
P.G.

Eneuel Leszek Ciszewski <Zapraszam@do.czytania.fontem.Lucida.Console>
writes:

> Bez logowania można zobaczyć stan konta; co po zalogowaniu? -- wrażliwe
> operacje bywają dodatkowo zabezpieczane... (bywa, że trzeba znać więcej
> niż jedno hasło -- bądź obrazek i hasło albo hasła) Lecz zanim smartfon
> zezwoli na uruchomienie apki -- niekiedy domaga się odblokowania... Czy
> smartfony z dwiema przednimi kamerami są często spotykane? -- Najlepiej
> zabezpieczyć kamerami ulokowanymi w odległych narożnikach...

Problem polega na tym, że wszystkie te rzeczy można często bardzo łatwo
podpatrzeć - ludzie używają telefonów (z aplikacjami bankowymi itd.)
w warunkach np. sklepowych. To nie jest sytuacja z pecetem zamkniętym
w domu.

Oba rozwiązania mają swoje minusy (i plusy).
--
Krzysztof Hałasa

On Tue, 10 Dec 2024 16:11:47 +0100, nadir wrote:
> W dniu 09.12.2024 o 21:23, Grzexs pisze:
>> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
>> obowiązkowe.
>
> I tak, i nie. W PKOBP można przy pierwszym logowaniu potwierdzić
> konkretny komputer i przeglądarkę przy pomocy aplikacji lub karty kodów
> jednorazowych, potem można się logować bez problemu tylko hasłem.

Uwaga - Firefox przy każdej aktualizacji traci to potwierdzenie,
i karta kodów się szybko skończy.

> Ale oprócz logowania chodzi mi jeszcze o potwierdzanie poszczególnych
> operacji, najlepiej właśnie żeby to były jakieś wpisywane kody, jak w
> PKO, bo to ma być do obsługi konta przez starszą osobę po udarze, która
> ma problemy z obsługą telefonów, szczególnie dotykowych.

Tylko czy PKOBP ma jeszcze karty kodów?
Wydaje mi się, że najchętniej to na apkę przechodzą,
aczkolwiek ... reklamują własnie klucze sprzętowe.
Może to jest rozwiązanie

https://www.pkobp.pl/klient-indywidualny/aplikacja-iko-ipko/bezpieczenstwo/logowanie-z-kluczem-bezpieczenstwa



J.

On Tue, 10 Dec 2024 15:21:47 +0100, Piotr Gałka wrote:
> W dniu 2024-12-10 o 10:35, J.F pisze:
>> Citi istotnie mi się otwarło na samo hasło.
>> Ale czy to tak dla wszystkich, czy mam zaufaną przeglądarkę, to nie
>> wiem.
>
> U mnie też (w znakomitej większości przypadków) samo hasło. Bym pamiętał
> jakbym dodał przeglądarkę do zaufanych bo chyba musiałbym to zrobić
> kilka razy (no bo to chyba zapisują nie u siebie, a lokalnie).

Gdzies u siebie zapisują, ale co dokładnie to nie wiem.
Dla Firefoxa wersje przeglądarki, bo po upgrade przestaje być zaufana.

Jest teraz jakis unikalny "identyfikator reklamowy".

> Raz na rok/dwa robię przeglądarce wyczyść historię przeglądania
> 'wszystko i od zawsze'. Zostało mi z czasów, gdy kiedyś robiąc partycję
> C: nie przewidziałem, że system ją zabagni. Jak zaczęły być z tym
> problemy to odkryłem, że głównym śmieciowym jest przeglądarka i
> wyczyszczenie historii pomaga.

Ale to raczej nie historia, tylko cookies.
A dla banków nawet nie cookie.

> Po wyczyszczeniu historii loguję się do wybranych miejsc (nie banków) i
> zgadzam się na zapamiętanie loginu i hasła. Po czym wyłączam komputer i
> nie włączam przez 24h. A potem po każdym używaniu robię wyczyść historię
> 'wszystko, ostatnie 24h'. Według mnie tak jest higienicznie dla komputera.

Nie wiem czy to czekanie 24h cos daje.

> Zapamiętywanie pobranych danych miało sens gdy się człowiek wdzwaniał
> gdzieś słabym modemem, ale jak się ma dobre łącza to jest to tylko
> zaśmiecanie dysku.

A to z kolei cache, i może jakies "obiekty".

I też nie unikniesz, jest, czasem zbędny, czasem da się ustawić, można
skasować.


J.

On Tue, 10 Dec 2024 15:03:01 +0100, Piotr Gałka wrote:
> W dniu 2024-12-10 o 10:12, Picek pisze:
>> Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
>> logowania z przeglądarki.
>> Login, hasło i jestem na koncie.
>
> Jeszcze tylko pozwolić przeglądarce zapamiętać login i hasło i będzie
> zero-etapowe logowanie. Jak zawsze wygoda kosztem bezpieczeństwa.
>
> Mi mBank zawsze wysyła kod, ale nigdy nie zgodziłem się na dodanie
> komputera do zaufanych.
>
> Od kilku miesięcy jak mi wysyłają ten kod to piszą, że loguję się z
> przeglądarki Chrome 109. Dawniej nie pisali z czego według nich się
> loguję, więc nie mogę stwierdzić, czy to ich błąd, czy może zawsze
> loguję się za pośrednictwem jakiegoś 'Man in the middle' bo ja się
> loguję z przeglądarki Opera.
> A może Opera == Chrome 109.

Moze być, bo przeglądarki często kłamią serwerowi, dla
kompatybilności.

https://www.whatsmyua.info/
https://www.whatismybrowser.com/detect/what-is-my-user-agent/
https://www.whatismyip.com/user-agent/

Ale 109 ... wersja Opery?

Opera ma ponoć chronic prywatność, to może zawsze podaje Chrome 109

J.

W dniu 11.12.2024 o 16:20, J.F pisze:

> Uwaga - Firefox przy każdej aktualizacji traci to potwierdzenie,
> i karta kodów się szybko skończy.

Wiem, ale wyłączenie aktualizacji FF rozwiązuje ten problem.

> Tylko czy PKOBP ma jeszcze karty kodów?

Ma, nawet wydaje nowe karty jak skończą się kody na starej, nie wiem
tylko czy dla nowo założonych kont można sobie wybrać ten fjuczer?

> Wydaje mi się, że najchętniej to na apkę przechodzą,
> aczkolwiek ... reklamują własnie klucze sprzętowe.

To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
innego producenta tego przy niektórych mailach, ale jakoś przed
bankowością mam opory.

> Może to jest rozwiązanie
>
> https://www.pkobp.pl/klient-indywidualny/aplikacja-iko-ipko/bezpieczenstwo/logowanie-z-kluczem-bezpieczenstwa

Jeżeli to klucz tylko do logowania, to nie rozwiązuje problemu, bo nadal
trzeba by apką potwierdzać przelewy, a właśnie z tym jest problem.

W skarbonce mo¿na mieæ jeszcze token sprzêtowy, wygl±da jak ma³a komórka 
starego typu.

Tylko w³a¶ciwie nie wiem, po co sobie komplikujesz - przepisywanie kodu z 
tokena mo¿e byæ jeszcze bardziej skomplikowane ni¿ kodu z komórki
(bo trzeba przepisaæ challenge, no bo po to ma klawiaturê, to nie taki
stary token jaki mia³em bodaj¿e w eurobanku czy mo¿e w VW-popierdó³ce,
a mo¿e nawet w obu - za³apa³em siê jeszcze na ostatnie chwile ich 
istnienia).

Karty kodów ju¿ nigdzie nie dostaniesz.

A czy ta osoba bêdzie bez przerwy robi³a nowe przelewy?
Trzeba zrobiæ zaufanych odbiorców, raz potwierdzasz a potem ju¿ nie 
trzeba.

Pozostaje logowanie - tu s± ró¿ne szko³y.

1) santander, mbank - trzeba raz "zaufaæ" konkretn± przegl±darkê lub 
komputer (w santander chyba komputer, bo pod Linuxem nie aktualizujê, 
ale na firefox aktualizujê i nie trzeba poprawiaæ) i potem spokój,
choæ chyba mi ostatnio santander kaza³ wpisaæ kod SMS przy logowaniu,
chyba po 3 latach spokoju
2) citek - co jakie¶ trzy miesi±ce trzeba raz wpisaæ kod z SMS,
niezale¿nie od tego, na ilu urz±dzeniach siê logujuesz
3) inteligo - tu w ogóle nie trzeba "zaufywaæ" - oni s± widaæ ponad prawem
4) kantor aliora - co 3 miesi±ce
5) milek, volkswagen - kod SMS przy ka¿dym logowaniu
6) pekao - nie pamiêtam, czy "zaufywa³em", ale od roku mam i przynajmniej
na tym jednym komputerze z nieaktualizowanym FF nie musia³em nic wpisywaæ

W dniu 2024-12-11 o 16:26, J.F pisze:
>> Po wyczyszczeniu historii loguję się do wybranych miejsc (nie banków) i
>> zgadzam się na zapamiętanie loginu i hasła. Po czym wyłączam komputer i
>> nie włączam przez 24h. A potem po każdym używaniu robię wyczyść historię
>> 'wszystko, ostatnie 24h'. Według mnie tak jest higienicznie dla komputera.
>
> Nie wiem czy to czekanie 24h cos daje.

Bardzo niewiele.
Używając wcześniej trzeba by nie czyścić i ileś tam śmieci z pierwszego
dni by sobie leżało - nic wielkiego.
P.G.

W dniu 2024-12-11 o 16:49, nadir pisze:

> Korzystam z klucza
> innego producenta tego przy niektórych mailach, ale jakoś przed
> bankowością mam opory.

Przesyłając krytyczne dane korzystam z jednorazowych kluczy, których,
jakby co, nie jestem w żaden sposób odtworzyć, choć sam je wygenerowałem.
P.G.

W dniu 11 gru 2024 o 21:10, Piotr Gałka pisze:

> Przesyłając krytyczne dane korzystam z jednorazowych kluczy, których,
> jakby co, nie jestem w żaden sposób odtworzyć, choć sam je wygenerowałem.

Bywa, że bank przesyła jednorazowe hasełko (żyjące/ważne chwil
kilka zaledwie) wraz z kategorycznym żądaniem nieujawniania
kiedykolwiek tego hasełka nikomu postronnemu...

--
`_._     _,-'""`-._      .`'.-.      ._.                          .-.
(,-.`._,'(       |\`-/| '.'O`-,`  .,; o.'   eneuel@@gmail.com    '.O_'
    `-.-' \ )-`(  , o o)  `-:`-'.'.`\.'.'    '~'~'~'~'~'~'~'~'    o.`.,t
-bf-      `-    \`_`"'-.o'\:/.d`|'.p \; https://www.eneuel.ct8.pl \|/..s

W dniu 11.12.2024 o 14:11, Piotr Gałka pisze:
> W dniu 2024-12-10 o 16:15, Picek pisze:
>> W dniu 10.12.2024 o 15:03, Piotr Gałka pisze:
>>
>>> City raz na jakiś czas (ale bardzo rzadko) postanawia przysłać mi kod
>>> i poprosić o wpisane. Tylko ten ich chory system nie ustawia wtedy
>>> kursora w miejscu wpisywania i zawsze po przepisaniu kodu z telefonu
>>> zauważam, że całe moje przepisywanie poszło w próżnię (no chyba, że
>>> mam jakiegoś key-loggera to się przynajmniej dane nie zmarnowały).
>>> A potem z kolei jak wpiszę ostatnią cyfrę to chciałbym zweryfikować,
>>> że jest ok a on już wie, że ok i idzie dalej. Się zastanawiam, co by
>>> było jakbym wpisał błędny kod, ale wolę nie sprawdzać.
>>> Dla mnie normalne jest, że wpisuję, weryfikuję, akceptuję, ale to nie
>>> w City..
>>> P.G.
>>>
>>
>> Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
>> Wystarczy mi logowanie biometryczne go laptopa.
>
> Wydaje mi się, że to zdanie ma sens w odniesieniu do mBanku - że można
> meć komputer 'zaufany', ale chyba ma się nijak do mojego opisu City pod
> którym to napisałeś.
> Nie kojarzę aby w City było pojęcie zaufany komputer/przeglądarka.
> P.G.
>

Dlatego napisałem,że mi wystarczy biometria.


--
Pozdrawiam,

On Thu, 12 Dec 2024 03:41:11 +0100, Eneuel Leszek Ciszewski wrote:
> W dniu 11 gru 2024 o 21:10, Piotr Gałka pisze:
>> Przesyłając krytyczne dane korzystam z jednorazowych kluczy, których,
>> jakby co, nie jestem w żaden sposób odtworzyć, choć sam je wygenerowałem.
>
> Bywa, że bank przesyła jednorazowe hasełko (żyjące/ważne chwil
> kilka zaledwie) wraz z kategorycznym żądaniem nieujawniania
> kiedykolwiek tego hasełka nikomu postronnemu...

Biorąc pod uwage modne obecnie oszustwa, to żądanie jest całkiem
uzasadnione ... nie przekazywać nikomu ... przez najblizsze pare
minut.
A w szczególności pracownikowi banku, policjantowi, i na kogo tam
jeszcze łapią :-)

J.

W dniu 11.12.2024 o 18:48, Dawid Andrzej Rutkowski pisze:

> Tylko właściwie nie wiem, po co sobie komplikujesz - przepisywanie kodu
> z tokena może być jeszcze bardziej skomplikowane niż kodu z komórki
> (bo trzeba przepisać challenge, no bo po to ma klawiaturę, to nie taki
> stary token jaki miałem bodajże w eurobanku czy może w VW-popierdółce,
> a może nawet w obu - załapałem się jeszcze na ostatnie chwile ich
> istnienia).

Żadna apka komórkowa nie jest prostsza w obsłudze niż sprzętowy token z
jednym czy dwoma przyciskami.

> A czy ta osoba będzie bez przerwy robiła nowe przelewy?

Tak, i tu jest problem.

> Trzeba zrobić zaufanych odbiorców, raz potwierdzasz a potem już nie trzeba.

Znani i lubiani odbiorcy są już dawno podefiniowani, z pomocą innej osoby.

> Pozostaje logowanie - tu są różne szkoły.

Logowanie nie jest problemem, kilka banków daje jeszcze możliwość
logowania jednoetapowego, ale już przelewy czy płatności online trzeba
potwierdzać przy pomocy innego źródła i w omawianym wypadku smartfon odpada.

On Thu, 12 Dec 2024, nadir wrote:

> W dniu 11.12.2024 o 18:48, Dawid Andrzej Rutkowski pisze:
>
>> Tylko właściwie nie wiem, po co sobie komplikujesz - przepisywanie kodu z 
>> tokena może być jeszcze bardziej skomplikowane niż kodu z komórki
>> (bo trzeba przepisać challenge, no bo po to ma klawiaturę, to nie taki
>> stary token jaki miałem bodajże w eurobanku czy może w VW-popierdółce,
>> a może nawet w obu - załapałem się jeszcze na ostatnie chwile ich 
>> istnienia).
>
> Żadna apka komórkowa nie jest prostsza w obsłudze niż sprzętowy token z 
> jednym czy dwoma przyciskami.

Hmm, a widziałeś kiedyś "token z jednym czy dwoma przyciskami"?
Co te przyciski robiły?

Ja widziałem tylko:
- albo takie bez żadnego przycisku (fajowe, takie miałem z eurobanku chyba 
i z VW, prawie na pewno, ale to dawno było niestety)
- albo z pełną klawiaturą, bo trzeba mieć możliwość wpisania "challenge"
(w to też wlicza się np. token pekao na Java2ME, ładnie mi działał na 
nokii E51)

>> A czy ta osoba będzie bez przerwy robiła nowe przelewy?
>
> Tak, i tu jest problem.

Hmmm, niech będzie, choć to nie jest zbyt dobre zadanie dla kogoś po 
udarze...

Swoją drogą przy takim zajęcu karty kodów kończyłyby się zatrważająco 
szybko, a w swoich ostatnich wcieleniach były całkiem nietanie.

>> Pozostaje logowanie - tu są różne szkoły.
>
> Logowanie nie jest problemem, kilka banków daje jeszcze możliwość logowania 
> jednoetapowego, ale już przelewy czy płatności online trzeba potwierdzać przy 
> pomocy innego źródła i w omawianym wypadku smartfon odpada.

Które banki dają logowanie jednoetapowe?
No dobra, skarbonka i żubr (chyba), oni są ponad prawem ;P
Ale inni to tylko pseudo.

Nie wiem czemu tak demonizujesz ten smarkofon.
Np. mbąk ma apkę "token-only", jeśli nie chcesz "pełnej"
(ale chyba tylko mbąk jest na tyle sprytny, aż dziw bierze).

Wg mnie łatwiej potwierdzić paluchem lub uśmiechem niż przepisywać
z tokena czy karty kodów.

Ale jeśli nie smarkofon, to pozostaje komórka z klawiaturą
do odbioru SMSów z banku - bo tokeny sprzętowe to chyba tylko
w skarbonce, ale "challengowy", więc jednak trudniej niż
przepisać SMSa.

W dniu 12.12.2024 o 18:24, Dawid Andrzej Rutkowski pisze:

> Hmm, a widziałeś kiedyś "token z jednym czy dwoma przyciskami"?

Siur, nawet w rękach trzymałem.
Coś w ten deseń jak na pierwszej fotografii, nie pamiętam tylko z
jakiego to było banku.
https://pl.wikipedia.org/wiki/Token_(generator_kod%C3%B3w)

> Co te przyciski robiły?

Generował kod.

> Swoją drogą przy takim zajęcu karty kodów kończyłyby się zatrważająco
> szybko, a w swoich ostatnich wcieleniach były całkiem nietanie.

PKOBP wysyła karty na bieżąco, za darmo.

> Które banki dają logowanie jednoetapowe?

Na pewno PKOBP i PKOSA, do niedawna banki spółdzielcze, nie wiem czy
wszystkie i czy nadal to mają.

> Nie wiem czemu tak demonizujesz ten smarkofon.

Osoba nie "czuje" ekranu dotykowego, fizyczne przyciski już bardziej.
Klawiaturą komputerową posługuje się na przykład patykiem/długopisem, no
w każdym razie jakimś "przedłużaczem" palca. Do tego dochodzą kłopoty ze
wzrokiem.

> Wg mnie łatwiej potwierdzić paluchem lub uśmiechem niż przepisywać
> z tokena czy karty kodów.

No nie każdemu.

> Ale jeśli nie smarkofon, to pozostaje komórka z klawiaturą
> do odbioru SMSów z banku - bo tokeny sprzętowe to chyba tylko
> w skarbonce, ale "challengowy", więc jednak trudniej niż
> przepisać SMSa.

Telefon z SMS też jest brany pod uwagę, ale fizyczna kara/kartka z
kodami, powiększona na ksero o 200-300% sprawdza się obecnie najbardziej.

On Thu, 12 Dec 2024, nadir wrote:

> W dniu 12.12.2024 o 18:24, Dawid Andrzej Rutkowski pisze:
>
>> Hmm, a widziałeś kiedyś "token z jednym czy dwoma przyciskami"?
>
> Siur, nawet w rękach trzymałem.
> Coś w ten deseń jak na pierwszej fotografii, nie pamiętam tylko z jakiego to 
> było banku.
> https://pl.wikipedia.org/wiki/Token_(generator_kod%C3%B3w)

Na taj stronie to taki bez przycisków akurat ;P

>> Co te przyciski robiły?
>
> Generował kod.

A, no dobra.
To pewnie tak jak zegarek Jamesa Bonda bodajże w "Octopussy" - był piękny,
elektroniczny, z diodowym wyświetlaczem.
Ale te diody żarły tyle prądu, że trzeba było naciskać guziczek żeby 
odczytać godzinę - coś jak w obecnych smarkozegarkach - no tyle że 
smarkozegarki mają jeszcze czujnik położenia.

>> Swoją drogą przy takim zajęcu karty kodów kończyłyby się zatrważająco 
>> szybko, a w swoich ostatnich wcieleniach były całkiem nietanie.
>
> PKOBP wysyła karty na bieżąco, za darmo.

O, to się im to chwali - ale pewnie tylko im, nikt więcej już takiej 
usługi nie ma.

>> Które banki dają logowanie jednoetapowe?
>
> Na pewno PKOBP i PKOSA, do niedawna banki spółdzielcze, nie wiem czy 
> wszystkie i czy nadal to mają.

W skarbonce i żubrze też się może skończyć jak się unia tego czepi.
Pół biedy jak skończy się tak jak w citku, santim czy mbąku,
ale może trafić się taki debil jak w milu czy VW i kazać wpisywać
SMS przy każdym logowaniu.
Swoją drogą jestem ciekawy co przyświecało milkowi przy wprowadzeniu 
takiej głupotki - zapewne chęć przekonania klientów do apki, ale jak tu 
się do niej przekonać skoro milek, jako jedyny, ma płatny blik?


>> Nie wiem czemu tak demonizujesz ten smarkofon.
>
> Osoba nie "czuje" ekranu dotykowego, fizyczne przyciski już bardziej. 
> Klawiaturą komputerową posługuje się na przykład patykiem/długopisem, no w 
> każdym razie jakimś "przedłużaczem" palca. Do tego dochodzą kłopoty ze 
> wzrokiem.

Ale możesz tak smarkofon ustawić, że na stałe będzie miał wyświetlane 
ostatnio przychodzące SMSy - i to powiększoną czcionką na sporym 
wyświetlaczu.

Jakoś chyba uparcie utożsamiasz smarkofon z apką.

>> Wg mnie łatwiej potwierdzić paluchem lub uśmiechem niż przepisywać
>> z tokena czy karty kodów.
>
> No nie każdemu.

Nie no, prostszego odblokowywania niż faceid chyba być nie może
(oczywiście dobrze działające faceid - no i jeszcze bywają sytuacje
"jak zmyję makijaż to mnie telefon nie poznaje" ;P )

Smarkofon możesz też ustawić bez jakiejkolwiek blokady ekranu.
No, jedyny problem to konieczność wybudzania - chyba że byłby na stałe
podłączony do ładowarki, wtedy można ustawić nawet brak usypiania.
Wtedy jeszcze warto byłoby znaleźć taki, co będzie działał bez baterii,
ale o to może być bardzo trudno niestety.

W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:

> Na taj stronie to taki bez przycisków akurat ;P

To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat
przycisk.
https://pl.wikipedia.org/wiki/Token_(generator_kod%C3%B3w)#/media/Plik:Token_Verisign.JPG
Dodatkowo cytat ze strony:
"Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie
posiadają przycisku lub posiadają tylko jeden przycisk wywołujący
wyświetlenie kodu."

On Thu, 12 Dec 2024 23:46:33 +0100, nadir wrote:
> W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:
>> Na taj stronie to taki bez przycisków akurat ;P
> To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat
> przycisk.
> https://pl.wikipedia.org/wiki/Token_(generator_kod%C3%B3w)#/media/Plik:Token_Verisign.JPG
> Dodatkowo cytat ze strony:
> "Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie
> posiadają przycisku lub posiadają tylko jeden przycisk wywołujący
> wyświetlenie kodu."

Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
biurku ...

J.

W dniu 13.12.2024 o 13:46, J.F pisze:

> Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
> biurku ...

Ale to jest ten drugi etap uwierzytelniana, wcześniej trzeba jeszcze
znać login i hasło.
Poza tym telefon też można ukraść/zgubić/zostawić na biurku, o
bezpieczeństwo trzeba odpowiednio zadbać. No i na taki token ma jeszcze
jedną zaletę, nikt się na niego nie włamie.

W dniu 13 gru 2024 o 15:50, nadir pisze:

> Poza tym telefon też można ukraść/zgubić/zostawić na biurku

Telefony czasami są zabezpieczone hasłami...

Ktoś kiedyś (ponoć zawodowiec) złamał takie zabezpieczenie -- SIMKą,
której wpisał kilkakrotnie zły PIN i którą odblokował PUKiem, przy
okazji odblokowując cały telefon...

--
`_._     _,-'""`-._      .`'.-.      ._.                          .-.
(,-.`._,'(       |\`-/| '.'O`-,`  .,; o.'   eneuel@@gmail.com    '.O_'
    `-.-' \ )-`(  , o o)  `-:`-'.'.`\.'.'    '~'~'~'~'~'~'~'~'    o.`.,t
-bf-      `-    \`_`"'-.o'\:/.d`|'.p \; https://www.eneuel.ct8.pl \|/..s

W dniu 13.12.2024 o 16:06, Eneuel Leszek Ciszewski pisze:

> Telefony czasami są zabezpieczone hasłami...

A tokeny można zabezpieczyć w sejfie, szufladzie, pod poduszką. Co kto woli.

On Fri, 13 Dec 2024 15:50:55 +0100, nadir wrote:
> W dniu 13.12.2024 o 13:46, J.F pisze:
>> Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
>> biurku ...
>
> Ale to jest ten drugi etap uwierzytelniana, wcześniej trzeba jeszcze
> znać login i hasło.
> Poza tym telefon też można ukraść/zgubić/zostawić na biurku, o
> bezpieczeństwo trzeba odpowiednio zadbać.

ale telefon ma hasło czy dwa.

> No i na taki token ma jeszcze
> jedną zaletę, nikt się na niego nie włamie.

Natomiast ma też wadę, że nie wiadomo co się autoryzuje.
To na wypadek, jak trafisz na fałszywą stronę, czy ktoś przechwyci
ruch.

I tu by się przydało, że np klawiszami wklepujesz w token kwotę,
i jego kod tylko tę kwotę autoryzuje.

Albo jakas szyfrowana łączność bank -> token i wyświetlacz na nim.

No i wszystko to ma apka na telefonie.

J.

On Thu, 12 Dec 2024, nadir wrote:

> W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:
>
>> Na taj stronie to taki bez przycisków akurat ;P
>
> To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat 
> przycisk.

Rzeczywiście, na powiększeniu widać.
Na małym zdjęciu wyglądało jak dziura z widocznym w niej tłem.
Tzn. oczywiście wiem, że widzę coraz gorzej :(

> https://pl.wikipedia.org/wiki/Token_(generator_kod%C3%B3w)#/media/Plik:Token_Verisign.JPG
> Dodatkowo cytat ze strony:
> "Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie posiadają 
> przycisku lub posiadają tylko jeden przycisk wywołujący wyświetlenie kodu."

Czyli prawdziwy token Jamesa Bonda.
Moje miały przez cały czas wyświetlanie.

To właściwie po co ten guzik? Dla "bezpieczeństwa"?
Bo jak widać nie dla oszczędzania baterii.

Swoją drogą w tych tokenach zawsze mnie zachwycała stabilność zegarka.
Jak oni zrobili taki, co przez 5 lat mylił się max. 5s (przyjmuję, że 
większy błąd przy zmianie co 60s powodowałby już bezużyteczność,
choć były też takie, które miały też pokazywane odliczanie tego czasu
i zalecenia w instrukcji, że jak "zostawało już mało kreseczek"
to trzeba było poczekać na nowy kod - choć to z kolei nie chroniło
zbytnio przed przyśpieszeniem).

Dawid Andrzej Rutkowski <drutkow1@wp.pl> writes:

[...]
>
> Swoj± drog± w tych tokenach zawsze mnie zachwyca³a stabilno¶æ zegarka.
> Jak oni zrobili taki, co przez 5 lat myli³ siê max. 5s (przyjmujê, ¿e
Nie zrobili.
W momencie werfyikacji by³ sprawdzany nie tylko "bie¿±cy" token, ale te¿
"poprzedni" (z poprzedniego okna czasowego) i "nastêpny" gdy okaza³o
siê, ¿e pasuje np. nastêpny - sytem weryfikuj±cy odpowiednio korygowa³
dryf czasu.
(Przynajmniej tak to jest zrobione tam gdzie widzia³em)

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/
Uwolniæ s³onia !!!

Date: Wed, 11 Dec 2024 16:49:30
From: nadir
> W dniu 11.12.2024 o 16:20, J.F pisze:

>> Uwaga - Firefox przy każdej aktualizacji traci to potwierdzenie,
>> i karta kodów się szybko skończy.

> Wiem, ale wyłączenie aktualizacji FF rozwiązuje ten problem.

>> Tylko czy PKOBP ma jeszcze karty kodów?

> Ma, nawet wydaje nowe karty jak skończą się kody na starej, nie wiem
> tylko czy dla nowo założonych kont można sobie wybrać ten fjuczer?

>> Wydaje mi się, że najchętniej to na apkę przechodzą,
>> aczkolwiek ... reklamują własnie klucze sprzętowe.

> To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
> innego producenta tego przy niektórych mailach, ale jakoś przed
> bankowością mam opory.

Moim zdaniem właśnie w bankowości ma to sens, bo jest to o wiele
trudniejsze do nadużycia przez przestępców. W szczególności jest odporne
na ataki Man-in-the-middle.

>> Może to jest rozwiązanie
>>
>> https://www.pkobp.pl/klient-indywidualny/aplikacja-iko-ipko/bezpieczenstwo/logowanie-z-kluczem-bezpieczenstwa

> Jeżeli to klucz tylko do logowania, to nie rozwiązuje problemu, bo nadal
> trzeba by apką potwierdzać przelewy, a właśnie z tym jest problem.

A to fakt. Po pierwsze powinno to zastępować wszelkie potwierdzenia w
apce, a po drugie powinna być opcja dodania co najmniej dwóch kluczy.
Pisałem do obsługi klienta, to odpisali, że jak więcej klientów
zarejestruje klucze, to może dodadzą.

Pozdrawiam,
Dominik
--
Fedora   https://fedoraproject.org
Deep in the human unconscious is a pervasive need for a logical universe that
makes sense. But the real universe is always one step beyond logic.
        -- from "The Sayings of Muad'Dib" by the Princess Irulan

Dominik 'Rathann' Mierzejewski <_wstaw_nick_@greysector.net> writes:

>> To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
>> innego producenta tego przy niektórych mailach, ale jakoś przed
>> bankowością mam opory.
>
> Moim zdaniem właśnie w bankowości ma to sens, bo jest to o wiele
> trudniejsze do nadużycia przez przestępców. W szczególności jest odporne
> na ataki Man-in-the-middle.

Raczej wątpię. Nie wiem o jaki klucz chodzi, ale na MITM to może być
odporna aplikacja w telefonie, a nawet SMSy (aczkolwiek są tam inne
zagrożenia, i pozostaje kwestia tego, gdzie jest ten MITM). Natomiast
w jaki sposób taki klucz miałby chronić przed MITM?

Takie klucze chronią przed np. użyciem danej usługi przez kogoś innego
np. w środku nocy, bez wiedzy ofiary (że w ogóle coś się dzieje). Ale
do ochrony przed MITM potrzebne jest bezpieczne urządzenie, które będzie
służyć jako interface użytkownika przy danej operacji - taki klucz
raczej nie ma takiej funkcji.
--
Krzysztof Hałasa