W dniu 2019-09-18 o 11:13, J.F. pisze:

>> A mi kołata się informacja, że PSD2 wymusza dwie rzeczy:
>> dwuskładnikowe uwierzytelnienie dla klienta, żeby strata loginy i
>> hasła nie była wystarczająca do zalogowania się do banku. A druga
>> rzecz, to nakazuje wystawić bankom API do komunikacji. Żeby właśnie
>> taka firma obsługująca płatności wchodziła po API, a nie udając
>> logowanie szeregowego klienta.
>
> Dokladnie.
> Przy czym celem dyrektywy jest raczej umozliwienie szerokiego
> zaistnienia takich firm ...

Jak dla mnie, to jest rozdzielenie kanałów komunikacji w celu większej
kontroli nad nimi. User loguje się na konto po webie, instytucja
finansowa po udostępnionym API. Jak taka firma wykorzystująca API banków
dostanie z jakiegoś powodu bana, to wyłączasz jej dostęp do API i już
sobie nie poszarżują. Gdy "po staremu" wchodzi logując się jako normal
user do web GUI banku, bank nie ma możliwość zweryfikowania czy to user
faktycznie czy ktoś "w imieniu" usera sie zalogował.

No chyba że zadziała na szerszą skale to:
https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
Prezentacja działania:
https://www.youtube.com/watch?v=y-zKCDqnP3k

Wtedy nawet po pijaku będą problemy z dostępem do własnego konta ;)
Ale można to tak zrobić, że jak taka żaróweczka się zapali na czerwono,
to nie zablokuje dostępu do konta, tylko uruchomi dodatkowy sposób
uwierzytelnienia, np właśnie sms, albo potwierdzenie mobilną aplikacją.
:)

Wtedy wilk syty i owca cała, nie ma komplikacji dla usera że trzeba coś
za każdym razem potwierdzać, a w razie "W" od wielkiego dzwony user
przepisze ten sms i pożar ugaszony :)



--
viktorius

do góry

A co za różnica, czy wirtualna przedpłacona czy np. fizyczna podpięta do rachunku
walutowego AliKa zasilanego w miarę potrzeby?


-----
> Ja mam do takich celów wirtualną kartę przedpłaconą.
> Doładowuję sobie tyle, ile chcę wydać, i korzystam.
> Tylko zawsze mam tam trochę górki, bo parę rzeczy płaci się z niej automatycznie.

do góry

W dniu 2019-09-18 o 12:23, viktorius pisze:

>
> No chyba że zadziała na szerszą skale to:
> https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
> Prezentacja działania:
> https://www.youtube.com/watch?v=y-zKCDqnP3k
>
> Wtedy nawet po pijaku będą problemy z dostępem do własnego konta ;)
> Ale można to tak zrobić, że jak taka żaróweczka się zapali na czerwono,
> to nie zablokuje dostępu do konta, tylko uruchomi dodatkowy sposób
> uwierzytelnienia, np właśnie sms, albo potwierdzenie mobilną aplikacją.
> :)
>
> Wtedy wilk syty i owca cała, nie ma komplikacji dla usera że trzeba coś
> za każdym razem potwierdzać, a w razie "W" od wielkiego dzwony user
> przepisze ten sms i pożar ugaszony :)
>
>
>

https://zaufanatrzeciastrona.pl/post/jak-bankowi-zlo
dzieje-szybko-dostosowali-sie-do-zmian-w-logowaniu/

Czyli ładnie żarło, ale szybko zdechło. Chyba faktycznie bez tego
digital fingerprint każdy sposób zabezpieczenia konta oparty na danych
podawanych przez człowieka będzie skazany na porażkę. Ile by stopni
zabezpieczeń nie było, zawsze znajdzie się user, który będzie ślepo
podawał wszystkie potrzebne dane do autoryzowania.

--
viktorius

do góry

W dniu 18.09.2019 o 10:47, Piotr Gałka pisze:
> W dniu 2019-09-17 o 22:14, sirapacz pisze:
>
>> W trustly podajesz POŚREDNIKOWI dane logowania do banku i on w twoim
>> imieniu się loguje i definiuje przelew. No kiła okrutna.
>
> Jak kilka lat temu usłyszałem o tym (na p.b.b), że ludzie podają jakimś
> firmom dane do logowania do swojego konta to najbardziej mnie zaskoczyła
> informacja (chyba link prowadził do niebezpiecznik.pl) że jak któryś
> bank (na 90% w Niemczech) próbował zablokować taką możliwość to firma
> wystąpiła do sądu i wygrała. Że niby bank stosuje praktyki
> monopolistyczne i ogranicza konkurencji dostęp do świadczenia usług
> (poprawność polityczna - wolny dostęp do rynku i konkurencyjność to
> podstawowe prawa). Sąd nakazał bankowi umożliwić takie działanie firmom
> trzecim.
> Oni tam są chyba raczej zacofani w stosunku do nas i nie mają czegoś
> takiego jak płatności natychmiastowe więc jak firmy chciały coś w tym
> guście zrealizować to mogły to tylko tak.
>
> Jak pierwszy raz usłyszałem, że wkrótce wejdzie (wtedy to był czas
> przyszły) dyrektywa PSD2 i logowanie do banku będzie wymagało
> dodatkowego uwierzytelnienia to moje pierwsze skojarzenie było właśnie z
> tą sprawą. Uznałem, że ktoś zrozumiał, że takie rozdawanie loginów i
> haseł jest łagodnie mówiąc idiotyzmem i postanowił to zablokować innym
> kanałem. Teraz klient będzie musiał nie tylko podać login i hasło, ale
> jeszcze zainstalować na smartfonie jakąś aplikację, która odeśle sms do
> takiej firmy. Zapewne mniej ludzi się na to zdecyduje, ale wiadomo:
> "Tylko dwie rzeczy są nieskończone: wszechświat oraz ludzka głupota,
> choć nie jestem pewien co do tej pierwszej." Albert Einstein
> P.G.
>

Nie trzeba telefonu, jeszcze są banki z tokenem. Ale trudno taki
znaleźć.

--
Cezary Grądys
c...@w...onet.pl

do góry

On 2019-09-17, Queequeg <q...@t...no1> wrote:
> In pl.misc.elektronika Marcin Debowski <a...@i...zoho.com> wrote:
>
>> Wyskakuje mi jakaś wiadomość, że np. szwagierka poleca taką i taką
>> stronę. Sprawdzam u niej bo mi do niej ta strona nie pasuje i słyszę, że
>> pierwsze słyszy. Nie zdarza się to często ale się zdarza. Jeszcze teścia
>> to bym może podejrzewał, że gdzieś mu się przez przypadek kliknie, ale
>> to były sformułowania właśnie typu poleca.
>
> Może poleca = kliknęła kiedyś "lubię to" i już nie pamięta?

Może, ale prawdę mówiąc nie sądzę, bo zwyczajnie, nie pasowało mi to
(tematyka strony) do jej profilu.

--
Marcin

do góry

On 2019-09-17, sirapacz <n...@s...pl> wrote:
>
>> Wyskakuje mi jakaś wiadomość, że np. szwagierka poleca taką i taką
>> stronę. Sprawdzam u niej bo mi do niej ta strona nie pasuje i słyszę, że
>> pierwsze słyszy. Nie zdarza się to często ale się zdarza. Jeszcze teścia
>> to bym może podejrzewał, że gdzieś mu się przez przypadek kliknie, ale
>> to były sformułowania właśnie typu poleca.
>>
>
> a może posty wysyłane w imieniu szwagierki? były szkodliwe programy (nie
> znam źródła co to dokładnie było) ale wieszało na stronach zaatakowanych
> osób linki do szkodliwej treści albo spam reklamowy

To były "zareklamowania" jakiś w sumie niskoprofilowych stron/firm
polskich tematycznie podobnych do niczego czym się i szwagierka i ja
interesujemy. To juz może jakiś błąd, bo FB wydaje się mieć w tych
swoich patologicznych aplikacjach mocno nasrane i może się sami gubią.

--
Marcin

do góry

ąćęłńóśźż <...@...pl> wrote:

> A co za różnica, czy wirtualna przedpłacona czy np. fizyczna podpięta do
> rachunku walutowego AliKa zasilanego w miarę potrzeby?

Żadna.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

do góry

In pl.misc.telefonia sirapacz <n...@s...pl> wrote:

>> W dzisiejszych czasach to już nie paranoja tylko rozsądek...
>
> smutne, bo prawdziwe.
> smutniejsze, bo ludzie nie zdają sobie z tego sprawy.

Jeszcze smutniejsze, że jest cała masa takich, którzy sobie zdają, ale im
to nie przeszkadza na tyle, żeby skorzystać z łatwo dostępnych alternatyw.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

do góry

ąćęłńóśźż <...@...pl> wrote:

> IMHO nie da się odinstalować, przynajmniej u mnie.

Ale można nie konfigurować, można też wyłączyć. Jest opcja "disable
application", przynajmniej u mnie. Większość tego dodanego przez
producenta syfu mam powyłączane.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

do góry

> Jeszcze smutniejsze, że jest cała masa takich, którzy sobie zdają, ale im
> to nie przeszkadza na tyle, żeby skorzystać z łatwo dostępnych alternatyw.
>
Ale to już jest kalkulacja wynikająca z oszacowania ryzyka. Co innego
jak robisz to świadomie znając konsekwencje i aktywnie szukając zagrożeń
a co innego totalne wywalenie na swoją prywatność, prywatność znajomych itd.
Jednym z problemów przy założeniu sobie prawdziwego konta jest
oznaczanie na zdjęciach.... nawet jak nie masz zdjęcia to zawsze
znajdzie się ktoś kto ci zrobi, powiesi w sieci i oznaczy - i
pozamiatane. Numer ze zdjęciem owcy nie wyjdzie ;)

do góry