BGŻOptima Digipass PIN

[Damian News]

Witam,

Wreszcie i do mnie dotarł Digipass i PIN do niego :)
Aktywacja przebiegła OK.

Ale mam małe pytanko. Gdybym chciał zmienić PIN do tego ustrojstwa bo np.
podejrzewam że mi go ktoś podpatrzył to jak to zrobić?

Próbowałem zadzwonić do banku ale chyba już wyłączyli telefony i nie można
się dodzwonić.

Pozdrawiam
Damian

[Piotr Gałka]

Użytkownik "Damian News" <ser...@serwis.net.pl> napisał w wiadomości
news:4edd1222$1...@news.home.net.pl...

Też się nad tym zastanawiałem.
Zawsze można poprosić o nowego digipassa - pisali, że gratis.

Może jest gdzieś jakaś instrukcja do samego digipassa. W końcu zastosowane
algorytmy nie powinny być tajne.
1 - przy logowaniu - generuje kody w jakiejś sekwencji? Ciekawe po ilu
1-kach w ciemno nie uda się zalogować ?
2 - kod wg żądanego numeru.
3..0 - może gdzieś zmiana PINu.
P.G.

[radar]

W dniu 2011-12-05 19:57, Piotr Gałka pisze:

> Zawsze można poprosić o nowego digipassa - pisali, że gratis.

U mnie nie lepiej. Właśnie dotarł PIN a ja nie wiem jaki mam numer
klienta. Próbowałem 8 ostatnich cyfr rachunku i dupa. W umowie nic nie
ma, jest po 20-tej i kolejna doba na 4,6%...

--
radar

[neoniusz]

W dniu 05.12.2011 20:11, radar pisze:

>> Zawsze można poprosić o nowego digipassa - pisali, że gratis.
>
> U mnie nie lepiej. Właśnie dotarł PIN a ja nie wiem jaki mam numer
> klienta. Próbowałem 8 ostatnich cyfr rachunku i dupa. W umowie nic nie
> ma, jest po 20-tej i kolejna doba na 4,6%...
>

Numer klienta byl w liscie dolaczonym do digigówna.

[radar]

W dniu 2011-12-05 20:20, neoniusz pisze:

> Numer klienta byl w liscie dolaczonym do digigówna.

No to c***, nakarmiłem tym rano niszczarkę...
Nie mogli normalnie... w umowie... ech...

--
radar

[Damian News]

Użytkownik "radar" <_sara_@_post_._pl_> napisał w wiadomości
news:jbj5vn$3vm$1...@news.dialog.net.pl...

Dobre naprawdę jesteś niezły gość :)
To teraz nic tylko posklejać i będziesz miał swój numer klienta.
Co aż tak nie lubisz dokumentów z banków żeby przed przeczytaniem że
niszczyć ?

Pozdrawiam

[radar]

W dniu 2011-12-05 20:37, Damian News pisze:

> To teraz nic tylko posklejać i będziesz miał swój numer klienta.

Oj tam oj tam, zdarza się ;)

--
radar

[AS]

> Ale mam małe pytanko. Gdybym chciał zmienić PIN do tego ustrojstwa bo np.
> podejrzewam że mi go ktoś podpatrzył to jak to zrobić?

Znalazłem odpowiedź na to pytanie tutaj:
http://www.bgzoptima.pl/pomoc/digipass_demo/default.aspx

[osa]

W dniu 2011-12-05 19:49, Damian News pisze:
> Witam,

>
>
> Ale mam małe pytanko. Gdybym chciał zmienić PIN do tego ustrojstwa bo np.
> podejrzewam że mi go ktoś podpatrzył to jak to zrobić?

Po włączeniu digipass'a i podaniu starego PINu przytrzymaj strzałkę i
wtedy będzie dwa razy chciał nowy PIN ;)

[Damian News]

Użytkownik "osa" <o...@gazeeeeeeta.pl.ee> napisał w wiadomości
news:jbjcde$7u4$2...@inews.gazeta.pl...

Nie ma jak porządna grupa dyskusyjna :)
Dzięki w imieniu swoim i reszty grupowiczów

Pozdrawiam
Damian

[Damian News]

Użytkownik "AS" <NoSpam...@poczta.onet.pl> napisał w wiadomości
news:jbjcbj$2pav$1...@news2.ipartners.pl...

[Damian News]

Użytkownik "osa" <o...@gazeeeeeeta.pl.ee> napisał w wiadomości
news:jbjcde$7u4$2...@inews.gazeta.pl...

A może wiesz jeszcze ile razy można się pomylić przy wpisywaniu PIN-u i co
potem.
Osobiście na razie nie chcę tego testować, może za jakiś czas jak spadną % i
można będzie poczekać na nowego ;)

A może pani Anna zna odpowiedź :)

Damian

[osa]

W dniu 2011-12-05 22:53, Damian News pisze:

>
> A może wiesz jeszcze ile razy można się pomylić przy wpisywaniu PIN-u i
> co potem.

Nie mam pojęcia i mam nadzieję, że togo nie odkryję przypadkiem - tak
jak przypadkiem wywołałem akcję zmiany pinu ;)

Ale jak zablokujesz PIN to można go odblokować telefonicznie,
przynajmniej tak napisali gdzieś na stronie optimy. Ale ja bym im tam
nie wierzył... w systemie transakcyjnym napisali że są online, a nie są...

[witrak()]

radar <_sara_@_post_._pl_> wrote on 2011-12-05_21:17

> W dniu 2011-12-05 20:37, Damian News pisze:
>> To teraz nic tylko posklejać i będziesz miał swój numer klienta.
>
> Oj tam oj tam, zdarza się ;)
>

Niektórym częściej ;-)

witrak()

[Q]

> No to c***, nakarmiłem tym rano niszczarkę...
> Nie mogli normalnie... w umowie... ech...

Widocznie bog tak chcial i ma w tym jakis plan,
tzn. wbrew pozorom zrobiles bardzo dobrze -
- nawet nie wiesz ile czasu i nerwow wlasnie
sobie zaoszczedziles :).

Naprwade nie warto zawracac sobie glowe gniotem BGZOptima:
- ciezko przelac tam kase
- ciezko odzyskac ja w miare szybko
- ciezko zalozyc tam lokate
- od wczoraj probuje zalozyc tam jakakolwiek lokate i dupa - wyskakuja bledy

[radar]

W dniu 2011-12-06 09:02, Q pisze:

> - nawet nie wiesz ile czasu i nerwow wlasnie
> sobie zaoszczedziles :).

no właśnie nie zaoszczędziłem nerwów, od 24.11 do dziś miałem nie
założona lokatę


--
radar

[radar]

W dniu 2011-12-06 08:35, witrak() pisze:

>> Oj tam oj tam, zdarza się ;)
> Niektórym częściej ;-)

Jeśli doliczyć upadek z drzewa z piłą spalinową, wejście na gwóźdź i
atak taczki w potylicę to... może... ;-)


--
radar

[radar]

W dniu 2011-12-06 09:02, Q pisze:

> - nawet nie wiesz ile czasu i nerwow wlasnie
> sobie zaoszczedziles :).

A tak w ogóle:
16.11 otwarcie konta
23.11 weryfikacja
24.11 robię inicjujący z powiązanego i lokata się nie zakłada
25.11 wysyłka digipasu (konsultant kłamał, że priorytet)
28.11 wysyłka hasła (konsultant kłamał, że priorytet)
01.12 dostawa digipasa
05.12 dostawa PIN; zgubiłem login (ale się znalazł)
06.12 problemy z założeniem lokaty; od 24.11 kasa leży na 4,6%
06.12 infolinia zwraca sygnał zajętości
06.12 lokata założona, uff


--
radar

[Piotr Gałka]

Użytkownik "radar" <_sara_@_post_._pl_> napisał w wiadomości

news:jbj8rr$5i1$1...@news.dialog.net.pl...

>W dniu 2011-12-05 20:37, Damian News pisze:
>> To teraz nic tylko posklejać i będziesz miał swój numer klienta.
>
> Oj tam oj tam, zdarza się ;)
>

A niszczarka nie ma wstecznego biegu ?
P.G.

[Piotr Gałka]

Użytkownik "AS" <NoSpam...@poczta.onet.pl> napisał w wiadomości
news:jbjcbj$2pav$1...@news2.ipartners.pl...

Znalazłem opis digipassa na stronie producenta, ale mimo kilku pdf-ów nie
znalazłem opisu zmiany PINu, ani opisu realizowanych algorytmów.
Jedynie informacja, że toto posiada RTC. Więc kody do logowania mogą być
generowane nie według sekwencji tylko według czasu.
Zawsze mnie zastanawia jak to jest z rozjeżdżaniem się zegarów. Skoro
generowany kod ważny 36s to by znaczyło, że bank musi rejestrować (na
podstawie wpisywanych kodów) jaki jest stan zegara u każdego klienta.
P.G.

[Piotr Gałka]

Użytkownik "osa" <o...@gazeeeeeeta.pl.ee> napisał w wiadomości

news:jbjglf$n9u$1...@inews.gazeta.pl...

>W dniu 2011-12-05 22:53, Damian News pisze:
>>
>> A może wiesz jeszcze ile razy można się pomylić przy wpisywaniu PIN-u i
>> co potem.
>
> Nie mam pojęcia i mam nadzieję, że togo nie odkryję przypadkiem - tak jak
> przypadkiem wywołałem akcję zmiany pinu ;)
>
> Ale jak zablokujesz PIN to można go odblokować telefonicznie, przynajmniej
> tak napisali gdzieś na stronie optimy.

Na stronie producenta digipassa też widziałem info (wśród listy
wypunktowywanych cech), że można zdalnie odblokować, ale nic dokładniej.
P.G.

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on
2011-12-06_11:58

>
> Znalazłem opis digipassa na stronie producenta, ale mimo kilku
> pdf-ów nie znalazłem opisu zmiany PINu, ani opisu realizowanych
> algorytmów.
> Jedynie informacja, że toto posiada RTC. Więc kody do logowania
> mogą być generowane nie według sekwencji tylko według czasu.
> Zawsze mnie zastanawia jak to jest z rozjeżdżaniem się zegarów.
> Skoro generowany kod ważny 36s to by znaczyło, że bank musi
> rejestrować (na podstawie wpisywanych kodów) jaki jest stan zegara
> u każdego klienta.

Raczej nie. Cała seria dla określonego odbiorcy masowego może mieć
ten sam czas startu zegara. Tylko sekwencje muszą się różnić, ale
to jest zagwarantowane, bo stan zegara jest szyfrowany innym
kluczem dla każdego klienta. A klucz jest skojarzony z numerem
seryjnym w pliku, który odbiorca dostaje wraz z transportem.
Oczywiście, jeśli zegar się rozjeżdza, to można dla konkretnej
sztuki pamiętać przesunięcie. Ale większość się nie rozjeżdża.

witrak()

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości
news:jbksk6$7fv$1...@srv.cyf-kr.edu.pl...

>
> Raczej nie. Cała seria dla określonego odbiorcy masowego może mieć
> ten sam czas startu zegara. Tylko sekwencje muszą się różnić, ale
> to jest zagwarantowane, bo stan zegara jest szyfrowany innym
> kluczem dla każdego klienta. A klucz jest skojarzony z numerem
> seryjnym w pliku, który odbiorca dostaje wraz z transportem.
> Oczywiście, jeśli zegar się rozjeżdza, to można dla konkretnej
> sztuki pamiętać przesunięcie. Ale większość się nie rozjeżdża.
>

Nie sądzę, aby digipassy miały zegary rubinowe.
Te lepsze kwarce zegarkowe mają 20ppm fabrycznej dokładności (najlepsze to
chyba 10ppm).
20ppm to 10 minut na rok.
Generatory z kompensacją temperatury dają chyba 1ppm, ale wymagają kilku uA
zamiast 300nA - zużyją baterię 10 razy szybciej, a producent deklaruje 5 lat
pracy, a dla tych wyprodukowanych od 2011 10 lat pracy.
P.G.

[zlotowinfo]

Użytkownik "radar" <_sara_@_post_._pl_> napisał w wiadomości

news:jbklrj$r55$1...@news.dialog.net.pl...

u mnie prawie tak samo ;p
tylko że jak ja zadzwoniłem, zjebałem odrazu
zaproponowali założenie lokat
i reklamację odsetek do dnia weryfikacji

bez weryfikacji, nie można mieć lokat
ale na koncie 4,6% kasę można mieć
więc po co tak kombinują/wkurwiają?

--
http://glosuj.zasms.pl/?glosowania/voip/operatorzy/
http://glosuj.zasms.pl/?glosowania/voip/najgorszy_operator/
http://glosuj.zasms.pl/?glosowania/finanse/banki/

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on

2011-12-06_12:54

Nie wiem, nie jestem z elektroniką na bieżąco, ale gwarancja
stabilności częstotliwości kwarców dotyczy standardowego
przedziału temperatur, zaś digi... i inne tokeny leżą zwykle w
szufladzie w pokoju w temperaturze od 18 do 25 stopni (tylko w
lecie do 28), a w tym zakresie mają pewnie o rząd wielkości lepszą
stabilność. A co do baterii - teraz czip jest mikroskopijny, więc
nawet te malutkie tokeny RSA (Eurobank, VWbank, Toyota itp) mają
sporą baterię. Jeśli nie oszczędają i dają srebrowe, to nawet nie
bardzo oszczędny token parę lat pochodzi...

Oczywiście nie twierdzę, że w takim przedziale się nie
rozsynchronizuje, ale te starsze (6-cyfrowe) są nawet przy
1-minutowym czasie ważności na niecałe dwa lata (1000000 minut) i
w tym czasie taka dokładność może wystarczyć (pomijając te z
ogonów rozkładu Gaussa).

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości

news:jbl41m$atk$1...@srv.cyf-kr.edu.pl...

>
> Nie wiem, nie jestem z elektroniką na bieżąco, ale gwarancja
> stabilności częstotliwości kwarców dotyczy standardowego
> przedziału temperatur,

Parametr o którym pisałem dotyczy temperatury dokładnie 25 st.
Przykład:
http://www.euroquartz.co.uk/Portals/0/32.768-3x8.pdf
można zamówić w tolerancji od +-5ppm do +-50ppm w 25 st.C (cena pewnie
zależy od ppm).
Do tej stałej odchyłki dochodzi odchyłka przy zmianach temperatury (wykres,
nie zależy czy kupiło się 5ppm czy 50ppm) i odchyłka wynikająca ze starzenia
(5ppm/rok).

Można kalibrować każdą sztukę do 0ppm w 25 st.C i wtedy pozostaje tylko
wpływ temperatury i starzenia się, ale to podnosi koszty produkcji,a ze
względu na solidną zależność od temperatury i tak niczego nie gwarantuje.

> zaś digi... i inne tokeny leżą zwykle w
> szufladzie w pokoju w temperaturze od 18 do 25 stopni (tylko w
> lecie do 28), a w tym zakresie mają pewnie o rząd wielkości lepszą
> stabilność.

Mój noszę w plecaku, a tam szybko temperatura wyrównuje się do zewnętrznej
(jak będzie -10 to mamy -50ppm).

> Oczywiście nie twierdzę, że w takim przedziale się nie
> rozsynchronizuje, ale te starsze (6-cyfrowe) są nawet przy
> 1-minutowym czasie ważności na niecałe dwa lata (1000000 minut) i
> w tym czasie taka dokładność może wystarczyć (pomijając te z
> ogonów rozkładu Gaussa).

Głowy bym za to nie dawał - wolałbym system, który śledzi stan zegarów u
klientów według podawanych kodów.
P.G.

[Waldek]

Użytkownik "Piotr Gałka" <piotr...@CUTTHISmicromade.pl> napisał w
wiadomości news:4eddf56f$1...@news.home.net.pl...

>
>>
> Znalazłem opis digipassa na stronie producenta, ale mimo kilku pdf-ów nie
> znalazłem opisu zmiany PINu, ani opisu realizowanych algorytmów.
> Jedynie informacja, że toto posiada RTC. Więc kody do logowania mogą być
> generowane nie według sekwencji tylko według czasu.
> Zawsze mnie zastanawia jak to jest z rozjeżdżaniem się zegarów. Skoro
> generowany kod ważny 36s to by znaczyło, że bank musi rejestrować (na
> podstawie wpisywanych kodów) jaki jest stan zegara u każdego klienta.

- a moze jeszcze odbiornik DCF powinien byc wbudowany
i gniazdko za zewnetrzny zasilacz ? LOL

[Q]

>> Zawsze mnie zastanawia jak to jest z rozjeżdżaniem się zegarów. Skoro
>> generowany kod ważny 36s to by znaczyło, że bank musi rejestrować (na
>> podstawie wpisywanych kodów) jaki jest stan zegara u każdego klienta.
>
> - a moze jeszcze odbiornik DCF powinien byc wbudowany
> i gniazdko za zewnetrzny zasilacz ? LOL

Akurat Piotr dobrze kombinuje,
ale chyba nie jestes w stanie tego pojac :P

[Waldek]

Użytkownik "Q" <n...@spam.pl> napisał w wiadomości
news:jbm2f6$fbn$1...@news.task.gda.pl...

Kombinowanie mnie tu malo interesuje
albo sie zna zasade/algorytm dzialania albo nie

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on

2011-12-06_16:25

> Mój noszę w plecaku, a tam szybko temperatura wyrównuje się do
> zewnętrznej (jak będzie -10 to mamy -50ppm).
>
>> Oczywiście nie twierdzę, że w takim przedziale się nie
>> rozsynchronizuje, ale te starsze (6-cyfrowe) są nawet przy
>> 1-minutowym czasie ważności na niecałe dwa lata (1000000 minut) i
>> w tym czasie taka dokładność może wystarczyć (pomijając te z
>> ogonów rozkładu Gaussa).
>
> Głowy bym za to nie dawał - wolałbym system, który śledzi stan
> zegarów u klientów według podawanych kodów.

Jasne, i zawsze taki mechanizm jest - inaczej nie dałoby się
zrobić procedury synchronizacji na telefon :-)

Mnie szło o to, że jednak potrzeba recznej synchronizacji nie jest
zbyt częsta, a automatyczna jest jednak nieco ryzykowna.

witrak()

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości

news:jbnejj$3mq$1...@srv.cyf-kr.edu.pl...

> Mnie szło o to, że jednak potrzeba recznej synchronizacji nie jest
> zbyt częsta, a automatyczna jest jednak nieco ryzykowna.
>

Nie widzę nic specjalnie ryzykownego w automatycznej synchronizacji.
P.G.

[Piotr Gałka]

U�ytkownik "Waldek" <m...@nie.dam> napisa� w wiadomo�ci
news:jbm91h$6nr$1...@node2.news.atman.pl...

>
>>> - a moze jeszcze odbiornik DCF powinien byc wbudowany
>>> i gniazdko za zewnetrzny zasilacz ? LOL
>>
>> Akurat Piotr dobrze kombinuje,
>> ale chyba nie jestes w stanie tego pojac :P
>>
> Kombinowanie mnie tu malo interesuje
> albo sie zna zasade/algorytm dzialania albo nie

Gdyby wszyscy tak my�leli to ludzko�� nadal by nie umia�a rozpala� ognia.
P.G.

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on

2011-12-07_16:36

W granicach wąskiego przedziału (1 cykl na parę miesięcy) to
rzeczywiście nie. Ale wyobraź sobie trojana, który w twoim
komputerze opóźnia wysyłanie hasła. Przy automatycznej
synchronizacji po kilkunastu przelewach trojan ma już
zaoszczędzone całe jedno hasło, co jednak zauważyć jest dość
trudno. Wtedy czeka na wysokie saldo i wykonuje ten jeden przelew
bez możliwości zauważenia go przez użytkownika (tuż po wylogowaniu).

witrak()

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości

news:jbo65h$bue$1...@srv.cyf-kr.edu.pl...

>> Nie widzę nic specjalnie ryzykownego w automatycznej synchronizacji.

> W granicach wąskiego przedziału (1 cykl na parę miesięcy) to
> rzeczywiście nie. Ale wyobraź sobie trojana, który w twoim
> komputerze opóźnia wysyłanie hasła. Przy automatycznej
> synchronizacji po kilkunastu przelewach trojan ma już
> zaoszczędzone całe jedno hasło, co jednak zauważyć jest dość
> trudno. Wtedy czeka na wysokie saldo i wykonuje ten jeden przelew
> bez możliwości zauważenia go przez użytkownika (tuż po wylogowaniu).
>

Nie wiem, czy zegar służy tylko do logowania, czy też do haseł (może kiedyś
sprawdzę).
Jakby nawet też do haseł to trojan nie ma żadnego dodatkowego hasła (ilość
jest ta sama).
Po podaniu przez użytkownika ostatniego hasła trojan musi udać dla
użytkownika, że operacja się udała (wykonać jej nie może, bo potrzebuje tego
hasła dla siebie) a potem korzystając z tego hasła wykonać swoją operację.
Ale taka możliwość nie jest skutkiem automatycznej synchronizacji.
Jak zakładamy obecność trojana, to powyższe jest równoważne udaniu dla
użytkownika, że się zrobiło to co chciał i wykonaniu w tym samym czasie
swojego przelewu.
Automatyczna synchronizacja w żaden sposób nie ułatwiła według mnie zadania.
W opisie digipassa było coś, że producent dostarcza jakąś aplikację - nie
wiem, czy autoryzacje nie są w ogóle robione za pośrednictwem ich serwera.
Kwestie obsługi zegarów byłyby wtedy załatwiane przez serwer producenta.
P.G.

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości

news:jbksk6$7fv$1...@srv.cyf-kr.edu.pl...

> Oczywiście, jeśli zegar się rozjeżdza, to można dla konkretnej
> sztuki pamiętać przesunięcie. Ale większość się nie rozjeżdża.

Informacyjnie.
Zmierzyłem zegarek w moim digipassie. Wyszło mi, że w warunkach pokojowych
śpieszy się 0,23s/dobę.
Dokładność pomiaru szacuję na 0,05s/dobę.
Ch-ka jest taka, że zarówno ogrzanie jak i oziębienie spowoduje zwolnienie.
Jak go trochę ogrzałem (trochę mocniej niż w kieszeni) to spadł do 0s/dobę a
potem na lekki -.
Jest dokładniejszy niż myślałem, ale i tak uważam, że bez jakiegoś śledzenia
zegarów system miałby za wiele błędów.
P.G.

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on

2011-12-07_19:11

>
> Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości
> news:jbo65h$bue$1...@srv.cyf-kr.edu.pl...
>
>>> Nie widzę nic specjalnie ryzykownego w automatycznej
>>> synchronizacji.
>
>> W granicach wąskiego przedziału (1 cykl na parę miesięcy) to
>> rzeczywiście nie. Ale wyobraź sobie trojana, który w twoim
>> komputerze opóźnia wysyłanie hasła. Przy automatycznej
>> synchronizacji po kilkunastu przelewach trojan ma już
>> zaoszczędzone całe jedno hasło, co jednak zauważyć jest dość
>> trudno. Wtedy czeka na wysokie saldo i wykonuje ten jeden przelew
>> bez możliwości zauważenia go przez użytkownika (tuż po
>> wylogowaniu).
>>
> Nie wiem, czy zegar służy tylko do logowania, czy też do haseł
> (może kiedyś sprawdzę).
> Jakby nawet też do haseł to trojan nie ma żadnego dodatkowego
> hasła (ilość jest ta sama).
> Po podaniu przez użytkownika ostatniego hasła trojan musi udać dla
> użytkownika, że operacja się udała (wykonać jej nie może, bo
> potrzebuje tego hasła dla siebie) a potem korzystając z tego hasła
> wykonać swoją operację.

Nie,nie. Przeciwnie - symulując brak opóźnienia a od strony banku
spóźnianie się zegara doprowadza do sytuacji, w której klient
wprowadza *następne* hasło, mimo, że poprzednie jest jeszcze
ważne. W pewnym momencie oczywiście musi oszukać klienta, że źle
wprowadził hasło (przy logowaniu) i o od tej chwili do wylogowania
uzytkownika ma w zapasie jedno hasło, o którem user nic nie wie.

> Ale taka możliwość nie jest skutkiem automatycznej synchronizacji.

Taka jak opisałem powyżej jak najbardziej ma. Gdyby synhronizacja
nie była automatyczna, to user musiałby rozmawiać z infolinią z
chwilą osiągnięcia przez opóźnienie pełnego cyklu.

> Jak zakładamy obecność trojana, to powyższe jest równoważne udaniu
> dla użytkownika, że się zrobiło to co chciał i wykonaniu w tym
> samym czasie swojego przelewu.

To jest jednak trudniejsze, a przede wszystkim wymaga więcej pracy
- trzeba symulować całą stronę (albo właściwie kilka) - jeśli
użytkownik nie ma być od razu zaalarmowany. W opisanym przeze mnie
schemacie można sobie wyobrazić, że trojan włącza się tylko w
strumień komunikacji opóźniając wysyłanie niektórych requestów, a
swoje działanie aktywne przeprowadza tylko, gdy ma już "hasło
zapasowe w kolejce". Oczywiście, aby to było opłacalne, cracker
musiałby zainfekować wiele kompów i po jakimś czasie zezwolić im
na wykonanie fraudu 9 po czym likwidować interes.

> W opisie digipassa było coś, że producent dostarcza jakąś
> aplikację - nie wiem, czy autoryzacje nie są w ogóle robione za
> pośrednictwem ich serwera. Kwestie obsługi zegarów byłyby wtedy
> załatwiane przez serwer producenta.

Bardzo sensowne. Dla Vasco ZTCW tak było.

witrak()

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on

2011-12-07_20:21

To w pewnym sensie ułatwia bezpieczną automatyczną synchronizację,
bo jeśli zegar w normalnych warunkach może się tylko śpieszyć, to
hasło może "zaginąć" z sekwencji, a dosynchronizowanie powoduje
tylko jego unieważnienie po stronie banku.
To całkowicie uniemożliwia zastosowanie schematu, który w
poprzednim poście opisałem.

pozdr.

witrak()

[Waldek]

Użytkownik "Piotr Gałka" <piotr...@CUTTHISmicromade.pl> napisał w

wiadomości news:4edf8c4b$1...@news.home.net.pl...

>>>
>> Kombinowanie mnie tu malo interesuje
>> albo sie zna zasade/algorytm dzialania albo nie
>

> Gdyby wszyscy tak myśleli to ludzkość nadal by nie umiała rozpalać ognia.

W tym wypadku jest to wywazanie otwartych drzwi
bo urzadzenie jest i dziala w oparciu o okreslony schemat.
Kombinowanie ma sens gdy sie tworzy cos nowego.

[Jarek Andrzejewski]

On Wed, 07 Dec 2011 20:42:57 +0100, "witrak()" <wit...@hotmail.com>
wrote:

>ważne. W pewnym momencie oczywiście musi oszukać klienta, że źle
>wprowadził hasło (przy logowaniu) i o od tej chwili do wylogowania
>uzytkownika ma w zapasie jedno hasło, o którem user nic nie wie.

ale chyba to hasło "ma" tylko przez minutę (czy ile tam trwa "okienko"
ważności)? Potem i tak przestanie być ważne.
--
pozdrawiam,
Jarek Andrzejewski

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości

news:jbodln$e6a$1...@srv.cyf-kr.edu.pl...

> Nie,nie. Przeciwnie - symulując brak opóźnienia a od strony banku
> spóźnianie się zegara doprowadza do sytuacji, w której klient
> wprowadza *następne* hasło, mimo, że poprzednie jest jeszcze
> ważne. W pewnym momencie oczywiście musi oszukać klienta, że źle
> wprowadził hasło (przy logowaniu) i o od tej chwili do wylogowania
> uzytkownika ma w zapasie jedno hasło, o którem user nic nie wie.
>

Zakładasz, że user w odpowiednich odstępach robi kolejne operacje, abyś za
każdym razem mógł użyć poprzednie hasło zamiast aktualnego. Poprzez
odpowiednie opóźnienia transmisji w tę i w tę stronę nie da się aż tak
podporządkować usera (no chyba, że go nie dziwi, że strona działa jakby
chciała i nie mogła ;-)
To się ogólnie nie trzyma kupy.
P.G.

[Piotr Gałka]

Użytkownik "Waldek" <m...@nie.dam> napisał w wiadomości
news:jboohn$opa$1...@node2.news.atman.pl...

>
>>>>
>>> Kombinowanie mnie tu malo interesuje
>>> albo sie zna zasade/algorytm dzialania albo nie
>>
>> Gdyby wszyscy tak myśleli to ludzkość nadal by nie umiała rozpalać ognia.
>
> W tym wypadku jest to wywazanie otwartych drzwi
> bo urzadzenie jest i dziala w oparciu o okreslony schemat.
> Kombinowanie ma sens gdy sie tworzy cos nowego.
>

Drzwi byłyby otwarte, gdyby opis działania był opublikowany (może jest tylko
nie znalazłem).
Zapytałem, bo może ktoś po prostu wie i by napisał to i ja bym wiedział.
Mnie interesuje kombinowanie, aby zrozumieć jak się pewne problemy
rozwiązuje (jak przestanie mnie interesować to będę się musiał zastanowić
czy jeszcze żyję).
Jest tysiące postów na tysiącach grup. Zdecydowana większość mnie nie
interesuje i się po prostu nie odzywam. Dlatego zdziwiłem się jak na moje że
kombinuję jak to jest zrobione uzyskałem informację "... mnie ... mało
interesuje".
Z rozjeżdżaniem się zegarów walczyłem 15 lat temu. Wtedy opracowałem sobie
metodę pomiaru opartą o nośną DCF aby przeprowadzać kalibrację na produkcji.
Mój problem się rozwiązał, gdy urządzenia zyskały możliwość pobierania czasu
z serwerów internetowych, ale digipassy nie mają (chyba ;-)) takiej
możliwości, a wiem, że nie zwiększając radykalnie zapotrzebowania na prąd
nie da się zapewnić dokładności rzędu 30s przez kilka lat.
P.G.

[Q]

> Mnie interesuje kombinowanie, aby zrozumieć jak się pewne problemy
> rozwiązuje (jak przestanie mnie interesować to będę się musiał zastanowić
> czy jeszcze żyję).

Niektorych interesuje jak np. dziala taki token
a innych co o pani Jadzi powiedziala pani Gienia spod dziewiatki.

Mnie tez interesuje zasada dzialania takiego tokena
i Twoje "kombinowanie" uwazam, za calkiem sensowne :).

[Waldek]

Użytkownik "Q" <n...@spam.pl> napisał w wiadomości

news:jbqnuh$1tp$1...@news.task.gda.pl...

Alez mozecie sobie kombinowac na rozne sposoby
tylko ze bez wzgledu na to co wykombinujecie
i tak nie bedziecie miec pewnosci ze tak wlasnie jest na 100%
o ile producent badz jego kontrahent tego nie ujawni ;)

Mnie swego czasu zaintrygowal krotki paseczek wygladajacy
na metalowa tasme, a'la tasma magnetofonowa
/metka bezpieczenstwa/ ktora jest deaktywowana
po przejsciu przez kase, a jesli nie to generuje alarm
przy przechodzeniu przez bramke.
Niby proste, a jednak nie znalazlem jednoznacznych
a satysfakcjonujacych odpowiedzi :)

[Q]

> Mnie swego czasu zaintrygowal krotki paseczek wygladajacy
> na metalowa tasme, a'la tasma magnetofonowa
> /metka bezpieczenstwa/ ktora jest deaktywowana
> po przejsciu przez kase, a jesli nie to generuje alarm
> przy przechodzeniu przez bramke.

Jestes pewien, ze jest "deaktywowana"?
Tak sobie mysle, jaki bylby sens takiej deaktywacji...

No bo jak "naznaczony" towar przejdzie przez kase,
to nie idzie przez wykrywacze
a jesli nie przejdzie przez kase, to ma "zadzialac".
Wiec po co deaktywowac?
Po co komplikowac cos co z zasady ma byc
proste i niezawodne?

[Piotr Gałka]

Użytkownik "Waldek" <m...@nie.dam> napisał w wiadomości

news:jbqvnf$24q$1...@node2.news.atman.pl...

>
> Mnie swego czasu zaintrygowal krotki paseczek wygladajacy
> na metalowa tasme, a'la tasma magnetofonowa
> /metka bezpieczenstwa/ ktora jest deaktywowana
> po przejsciu przez kase, a jesli nie to generuje alarm
> przy przechodzeniu przez bramke.
> Niby proste, a jednak nie znalazlem jednoznacznych
> a satysfakcjonujacych odpowiedzi :)

Moja hipoteza jest taka.
Podobno rozsypanie w powietrzu chmury aluminiowych paseczków odpowiedniej
długości oślepia radary.
Rezonując z częstotliwością radaru pochłaniają one energię no i radar nie
widzi odbitej fali.
Jeśli w takim paseczku umieszczonym w polu o konkretnej f powstają prądy a
więc i straty to być może takie obciążenie pola między bramkami da się
wykryć.
Deaktywacja polegałaby na przepaleniu paseczka odpowiednio silnym polem
(może być specjalne przewężenie). Powstałe dwa paseczki już mają inną f
rezonansu i bramki ich nie widzą.
Ale to jest tylko hipoteza.
P.G.

[Piotr Gałka]

Użytkownik "Q" <n...@spam.pl> napisał w wiadomości

news:jbr0t8$pgg$1...@news.task.gda.pl...

>
> No bo jak "naznaczony" towar przejdzie przez kase,
> to nie idzie przez wykrywacze

Jak nie idzie, kiedy idzie.
P.G.

[Waldek]

Użytkownik "Piotr Gałka" <piotr...@CUTTHISmicromade.pl> napisał w

wiadomości news:4ee10c49$1...@news.home.net.pl...

> Deaktywacja polegałaby na przepaleniu paseczka odpowiednio silnym polem
> (może być specjalne przewężenie). Powstałe dwa paseczki już mają inną f
> rezonansu i bramki ich nie widzą.
> Ale to jest tylko hipoteza.

IMO zupelnie bledna ;)
- a skoro lubisz hipotezy to pierwszy wynik z gugla
http://pytamy.pl/title,jak-dzia-aj-zabezpieczenia-w-sklepach,pytanie.html?smclgnzlticaid=6d860

[witrak()]

Piotr Gałka <piotr...@CUTTHISmicromade.pl> wrote on

2011-12-08_10:31

Zastanów się: to okienko pojawia się za każdym razem, gdy user
robi dwa przelewy pod rząd. Z praktyki bankowej wiadomo, że prawie
wszędzie opłaca się przelewać z oszczędnościowego na bieżące i
dopiero z tego na docelowe, jeśli tylko jest to do innego banku.
Wszędzie tam, gdzie nie ma koszyka, powoduje to robienie przelewów
seriami.
Szansa na pojawienie się korzystnej sytuacji (tzn. okienka do
spożytkowania) jest duża. Natomiast, gdy nie ma serii, to po
prostu trojan traci okienko, a user w najgorszym razie widzi, że
mu przelew trwał minutę.

> To się ogólnie nie trzyma kupy.

Bo ja wiem ?

witrak()

[Piotr Gałka]

Użytkownik "witrak()" <wit...@hotmail.com> napisał w wiadomości

news:jbsdvj$q0c$1...@srv.cyf-kr.edu.pl...

>
> Zastanów się: to okienko pojawia się za każdym razem, gdy user
> robi dwa przelewy pod rząd. Z praktyki bankowej wiadomo, że prawie
> wszędzie opłaca się przelewać z oszczędnościowego na bieżące i
> dopiero z tego na docelowe,

Od niedawna mam konto w BZWBK i postąpiłem zgodnie z tym standardem, a potem
się kapnąłem, że u nich jak mam zrobić przelew do innego banku to lepiej
(jeśli dobrze czytam) przelać na oszczędne i z niego dalej (ale to też dwa
po kolei).

Co do meritum dyskusji to sobie odpuszczam.
P.G.

[Piotr Gałka]

Użytkownik "Waldek" <m...@nie.dam> napisał w wiadomości

news:jbrcva$g61$1...@node2.news.atman.pl...

>
>> Deaktywacja polegałaby na przepaleniu paseczka odpowiednio silnym polem
>> (może być specjalne przewężenie). Powstałe dwa paseczki już mają inną f
>> rezonansu i bramki ich nie widzą.
>> Ale to jest tylko hipoteza.
>
> IMO zupelnie bledna ;)
> - a skoro lubisz hipotezy to pierwszy wynik z gugla
> http://pytamy.pl/title,jak-dzia-aj-zabezpieczenia-w-sklepach,pytanie.html?smclgnzlticaid=6d860
>

Najpierw myślałem, że to namagnesowane paseczki, ale jakoś nie potrafię
sobie wyobrazić pewnego wykrywania ich w bramkach.
P.G.

[xbartx]

Dnia Mon, 05 Dec 2011 20:27:54 +0100, radar napisał(a):

> No to c***, nakarmiłem tym rano niszczarkę... Nie mogli normalnie... w
> umowie... ech...

IMO zadzwoń do nich, to pewnie po zweryfikowaniu Ciebie ktoś Ci poda ten
numer.



--
xbartx