@RobotKuchenny9000: Dobrze, żeby świadomość takich problemów wzrosła i ludzie oczekiwali od banków rozwiązań na pozomie XXI wieku.
Dlaczego banki potrafią wewnętrzenie korzystać z rozsądnych technologii typu U2F, ale klientom oferuje się jedynie rozwiązania oparte o SMS lub aplikację mobilną? Zazwyczaj nie ma nawet opcji wyłączenia powrotu do SMSów jako wariantu awaryjnego.
Dziesiątki lat temu mBank wprowadził papierowe hasła jednorazowe (może inne banki też, ale tylko u nich to widziałem wtedy). To
Dziesiątki lat temu mBank wprowadził papierowe hasła jednorazowe (może inne banki też, ale tylko u nich to widziałem wtedy). To była dużo bezpieczniejsza metoda, do tego w miarę tania - w banku są to rekordy w bazie danych, u Ciebie są to papierki w portfelu.
@wojciechka1: Papierowe hasła nie dają żadnego bezpieczeństwa z prostej przyczyny - wpisując kod nie masz wiedzy co tak naprawdę potwierdzasz a w przypadku podmiany strony może
@orczysty: Operator mógłby wysłać smsa + wykonać automatyczne połączenia z nagraną wiadomością "Duplikat karty zostanie aktywowany za 48h. W przypadku podejrzenia oszustwa prosimy o kontakt z numerem xxx xxx xxx". W 99% przypadków by pomogło.
Operatorzy mogli by mieć API do współpracy z bankami i wymieniać takie informacje - tj. jeżeli wydawany jest duplikat karty SIM to informowane są banki, które automatycznie kontaktują się wtedy z użytkownikiem na nową kartę wymagając dodatkowej weryfikacji danych przed wznowieniem kanału bankowości elektronicznej...
@tall_underhill: wszyscy #!$%@? w tym kraju mają wszystko gdzieś... A potem płacz, że jest nad regulacja i brak wolnego rynku... Jak w Polsce nie powiesz, że coś ma by tak i tak i nie dasz do tego przepisów + urzędnika który to nic nie działa.
Kuźwa przecież u operatora od razu wiadomo kto to zrobił, kamery tez są w każdym punkcie. Niech się sami bujają i płacą odszkodowania i zwrot kasy. Szybciutko by się to ukróciło.
Już nawet gry online mają weryfikację dwuetapową gdzie dostęp do konta przez osoby niepowołane jest niemożliwy. Natomiast w banku wystarczy znać login, pesel, nazwisko paniejskie matki i już mamy dostęp. Nie trzeba nawet telefonu. Po co inwestować w zabezpieczenia, lepiej dać na reklamę z Kondratem czy innym celebrytą o lokatach na których się nie zarabia.
Do dziś pamiętam, jak zakładałem konto w ING 10 lat temu, i dostałem instrukcje do wersji online, babeczka mówi mi tak: Proszę ustawiać łatwe hasło, bez liczb i znaków specjalnych, bo jak pan zapomni to musi pan przyjść do banku odblokować xD
Niektóre banki mają możliwość zakładania tzw. lokat bezpiecznych, czyli do zerwania ich trzeba z dowodem pojawić się w banku. Zawsze to lepiej niż normalnie trzymać na koncie, czy trzymać pieniądze na lokacie którą można zerwać online i wyczyścić konto.
@miedzywymiarowy_szympans: Tak samo powinno być u operatorów sieci komórkowych, np. potrzebuję telefon który będzie wykorzystywany m.in. w bankowości więc nie zezwalam na automatyczny duplikat karty SIM w kilka sekund tylko taki który będzie uwarunkowany np. wysłaniem nowej karty pocztą tradycyjną na mój adres. Może to być uciążliwe jeśli zgubimy/zniszczymy kartę no ale powinien być wybór.
@papucha: Ostatnio był wyciek danych z Virgin mobile. Pytałem się ich jakie środki podjęli aby zapobiec wyłudzeniom kart. Odpisali wymiająco, że podjęli środki, nie napisali dokładnie jakie. Gdy nadal naciskałem, to coś tam pobąkiwali, że większy nacisk będzie na weryfikację osob.
Takie rzeczy jak numery telefonów (karty SIM) czy konta e-mail (nawet darmowe) powinny mieć opcję dobrowolnej rejestracji na podstawie dowodu czy paszportu. Żeby utrudnić wyrobienie duplikatu SIM bez odpowiedniej weryfikacji,
To jest chore, bo to bank ustala zasady zabezpieczeń i opieranie ich na numerze telefonu obciąża operatora. Czy bank ma na to umowę z operatorem? Jeśli nie, jeśli nie ma uzgodnionych szczegółów to o czym w ogóle mowa. Nie wiem jakim wygibasem prawnym bronią się banki, ale tu nie powinno być w ogóle dyskusji. To problem pomiędzy bankiem, a operatorem.
Problem polega na tym że karta sim jest traktowana jako prawidłowe potwierdzenie tożsamości. I to nie tylko przez banki.
Cały system cyfrowej administracji traktuje sms jako prawidłowe potwierdzenie tożsamości użytkownika.
A operatorom sie po prostu nie opłaca stawać się takim "bezpiecznym weryfikatorem poprawności posiadania tej karty sim". Dlatego nie wprowadzają bezpiecznego rozwiązania.
I pomimo wszystkich wad tego rozwiązania i słabości w postaci podmiany sim - będzię on stosowany, bo jest prosty, powszechnie
Wielka mi mecyja... Niech przyjmują tylko kartą opłatę za nową simkę. I to jeszcze niech się dogadają z bankami, aby ten terminal zawsze chciał pin (niezależnie od kwoty) i już. Terminal przy tym jako customowa usługa terminalowa i już - firmy wszak mogą się dogadywać.
A też nie obraziłbym się, gdyby tylko fizycznie wetknięte karty czytał - znacznie trudniej z tym coś manipulować. Problem solved i nie trzeba przy tym ani dużo
No cóż obecne zabezpieczenia są do dupy. Nie wiem na ile są bezpieczne tokeny RSA ale ja nadal to używam, nawet jakbym go zgubił to trzeba znać jeszcze login i hasło.
Nie korzystać z aplikacji bankowych na telefonie. Kropka.
Jak już koniecznie musicie, to z konta wyłącznie do drobnych płatności, a nie tego gdzie trzymacie oszczędności i pensję.
Pro tip: Klienci indywidualni z naprawdę dużą kasą trzymają ją na kontach vipowskich, często bez ustanowionego dostępu internetowego. Robią przelewy idąc z drukiem do banku. Istnieją ku temu powody.
Jak zawsze pomysłów za miliony, kosmiczne systemy logowania przetwarzania ....
Proste zasady: Powinno się w banku czy u operatora wprowadzić dodatkowe klauzulę / druk w której zaznaczamy że likwidację lokat podejmuję tylko w wybranej placówce bankowej osobiście, nie zamierzam brać kredytu w żadnym innym banku niż podany poniżej i w żadnym innym oddziale na terenie Polski. Kwoty powyżej XXX zł będą wymagała autoryzacji telefonicznej i sekretnego hasła lub inne do wyboru i
Podstawowa zasada: nie używajcie do kontaktu z bankiem numeru telefonu, którego używacie na co dzień. Lepiej mieć osobny numer tylko na potrzeby kontaktu z bankiem. Kupcie sobie prepaida, co pół roku wyślecie jakiegoś SMS-a za 30 gr., żeby nie wygasło wam konto i nikt nie będzie znał waszego numeru związanego z kontem bankowym
Komentarze (198)
najlepsze
Dlaczego banki potrafią wewnętrzenie korzystać z rozsądnych technologii typu U2F, ale klientom oferuje się jedynie rozwiązania oparte o SMS lub aplikację mobilną? Zazwyczaj nie ma nawet opcji wyłączenia powrotu do SMSów jako wariantu awaryjnego.
Dziesiątki lat temu mBank wprowadził papierowe hasła jednorazowe (może inne banki też, ale tylko u nich to widziałem wtedy). To
@wojciechka1: Papierowe hasła nie dają żadnego bezpieczeństwa z prostej przyczyny - wpisując kod nie masz wiedzy co tak naprawdę potwierdzasz a w przypadku podmiany strony może
W 99% przypadków by pomogło.
@maryan: albo które wogóle nie istnieją.... była kiedyś taka reklama - szwindel
@ap0linary: jasne. Jak mały przedsiębiorca dostaje zapłatę 50.000 za fakturę, to natychmiast leci kupować złoto :)
Proszę ustawiać łatwe hasło, bez liczb i znaków specjalnych, bo jak pan zapomni to musi pan przyjść do banku odblokować xD
Ostatnio był wyciek danych z Virgin mobile. Pytałem się ich jakie środki podjęli aby zapobiec wyłudzeniom kart. Odpisali wymiająco, że podjęli środki, nie napisali dokładnie jakie. Gdy nadal naciskałem, to coś tam pobąkiwali, że większy nacisk będzie na weryfikację osob.
Takie rzeczy jak numery telefonów (karty SIM) czy konta e-mail (nawet darmowe) powinny mieć opcję dobrowolnej rejestracji na podstawie dowodu czy paszportu. Żeby utrudnić wyrobienie duplikatu SIM bez odpowiedniej weryfikacji,
Cały system cyfrowej administracji traktuje sms jako prawidłowe potwierdzenie tożsamości użytkownika.
A operatorom sie po prostu nie opłaca stawać się takim "bezpiecznym weryfikatorem poprawności posiadania tej karty sim".
Dlatego nie wprowadzają bezpiecznego rozwiązania.
I pomimo wszystkich wad tego rozwiązania i słabości w postaci podmiany sim - będzię on stosowany, bo jest prosty, powszechnie
Niech przyjmują tylko kartą opłatę za nową simkę. I to jeszcze niech się dogadają z bankami, aby ten terminal zawsze chciał pin (niezależnie od kwoty) i już. Terminal przy tym jako customowa usługa terminalowa i już - firmy wszak mogą się dogadywać.
A też nie obraziłbym się, gdyby tylko fizycznie wetknięte karty czytał - znacznie trudniej z tym coś manipulować.
Problem solved i nie trzeba przy tym ani dużo
Może zdążysz dobiec do budki telefonicznej zadzwonić do banku zanim zniknie kasa
@papucha: i dobrze robisz
Jak już koniecznie musicie, to z konta wyłącznie do drobnych płatności, a nie tego gdzie trzymacie oszczędności i pensję.
Pro tip:
Klienci indywidualni z naprawdę dużą kasą trzymają ją na kontach vipowskich, często bez ustanowionego dostępu internetowego. Robią przelewy idąc z drukiem do banku. Istnieją ku temu powody.
Proste zasady: Powinno się w banku czy u operatora wprowadzić dodatkowe klauzulę / druk w której zaznaczamy że likwidację lokat podejmuję tylko w wybranej placówce bankowej osobiście, nie zamierzam brać kredytu w żadnym innym banku niż podany poniżej i w żadnym innym oddziale na terenie Polski. Kwoty powyżej XXX zł będą wymagała autoryzacji telefonicznej i sekretnego hasła lub inne do wyboru i
Ja zostawiam na koncie 300-500 PLN, a reszte wyplacam w gotowce( ͡° ͜ʖ ͡°)
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
@Lilac: a niektóre banki używają numeru PESEL jako dodatkowego uwierzytelnienia