Witam,
Założyłem sobie nowe konto w banku, z którym nie miałem doświadczenia.
Oraz wykupiłem pakiet z dostępem do internetu.
Aby móc korzystać z konta przez WWW musiałem wygenerować swoje klucze
publiczne oraz prywatne. Następnie te klucze są wysyłane do banku i na ich
podstawie bank generuje certyfikat autentyczności. Taki certyfikat bank
tylko mi, po sprawdzeniu dowodu osobistego, dostarcza osobiście. Następnie
na podstawie tego certyfikatu ja generuje (przez WWW) kolejny certyfikat,
który umożliwi mi korzystanie z własnego konto.
Problem powstał przy wręczaniu certyfikatu generowanego przez bank. Okazało
się, że ten certyfikat był wygenerowany dla zupełnie innej osoby, z innego
miasta.
Czy jest to poważny błąd banku? Jeżeli tak, to czy bank może ponieść
konsekwencje, takiego błędu?
Pozdrawiam

do góry

RObi wrote:
>
> Witam,
> Założyłem sobie nowe konto w banku, z którym nie miałem doświadczenia.
> Oraz wykupiłem pakiet z dostępem do internetu.
> Aby móc korzystać z konta przez WWW musiałem wygenerować swoje klucze
> publiczne oraz prywatne. Następnie te klucze są wysyłane do banku i na ich
> podstawie bank generuje certyfikat autentyczności. Taki certyfikat bank
> tylko mi, po sprawdzeniu dowodu osobistego, dostarcza osobiście. Następnie
> na podstawie tego certyfikatu ja generuje (przez WWW) kolejny certyfikat,
> który umożliwi mi korzystanie z własnego konto.
> Problem powstał przy wręczaniu certyfikatu generowanego przez bank. Okazało
> się, że ten certyfikat był wygenerowany dla zupełnie innej osoby, z innego
> miasta.
> Czy jest to poważny błąd banku? Jeżeli tak, to czy bank może ponieść
> konsekwencje, takiego błędu?
> Pozdrawiam

Opisales dokladnie stan bezpieczenstwa transakcji elektronicznych.
Coz z tego ze jest szyfrowanie, klucze, gdy te klucze dostaje inna
osoba.
Z tego powodu wlasnie ludzie sie obawiaja handlu elektronicznego,
internetowego, transakcji elektronicznych, dokumentow elektronicznych.

Twoje szanse na odszkodowanie sa raczej zadne, gdyz na skutek bledu
wszedles w posiadanie informacji przeznaczonych dla innej osoby.
Co najwyzej tamta osoba moze oczekiwac zadoscuczynienia.

Jacek
--
World's First Holographic Computer incorporating Self(EGO) Technology
fit to solve NP problems (knapsack algorithm) at light speed in n**@
time. Presentation at Ig Nobel Prize Ceremony (October, 2002 Harvard)

do góry

>
> Twoje szanse na odszkodowanie sa raczej zadne, gdyz na skutek bledu
> wszedles w posiadanie informacji przeznaczonych dla innej osoby.
> Co najwyzej tamta osoba moze oczekiwac zadoscuczynienia.
>

Ale warto rowniez zadac pytanie gdzie sa "informacje" osoby
wysylajacej ten post - czy przydakiem tez bank wyslal ich gdzie indziej.

Pozdrawiam
Dan

do góry

Daniel /Dan/ Sniegon wrote:
>
> >
> > Twoje szanse na odszkodowanie sa raczej zadne, gdyz na skutek bledu
> > wszedles w posiadanie informacji przeznaczonych dla innej osoby.
> > Co najwyzej tamta osoba moze oczekiwac zadoscuczynienia.
> >
>
> Ale warto rowniez zadac pytanie gdzie sa "informacje" osoby
> wysylajacej ten post - czy przydakiem tez bank wyslal ich gdzie indziej.

To mozna sprawdzic w banku.
Ale on pytal o konsekwencje jakie powinien poniesc bank:
"
Czy jest to poważny błąd banku? Jeżeli tak, to czy bank może
ponieść konsekwencje, takiego błędu?
"

Banki sie myla, bo myla sie ich pracownicy, bo myla sie z zasady ludzie,
bo taka maja nature.
Istotne zatem jest sprawdzenie przez nadzor bankowy procedur
bezpieczenstwa wewnetrznego i zewnetrznego obrotu dokumentow.
I nadzor miedzybankowy czy organ udzielajacy licencji , takie
kompetencje maja.
Ale trudno mowic o konsekwencjach , jakie poniesie bank.
Bo wobec kogo ?
Juz predzej pracownik dostanie mniejsza premie lub zostanie zwolniony
przy nastepnej okazji.

Ale mysle ze pisemne wyjasnienie tej sprawy z bankiem bedzie
dostateczne. W koncu nie nalezy oczekiwac zamkniecia banku lub
likwidacji uslugi.

Wlasciwa jest grupa pl.biznes.banki
i tam idzie fut

Jacek
--
World's First Holographic Computer incorporating Self(EGO) Technology
fit to solve NP problems (knapsack algorithm) at light speed in n**@
time. Presentation at Ig Nobel Prize Ceremony (October, 2002 Harvard)

do góry

Użytkownik "RObi"
> Problem powstał przy wręczaniu certyfikatu generowanego przez bank. Okazało
> się, że ten certyfikat był wygenerowany dla zupełnie innej osoby, z innego
> miasta.
> Czy jest to poważny błąd banku?

To niczym nie grozi - uzasadnienie:
mam w przegladarce trzy certyfikaty wygenerowane przez bank dla trzech roznych
osob uzywajacych tej samej przegladarki do dostepu do swojego internetowego
rachunku - oczywiscie w Fortis Banku bo inne banki takich zabezpieczen nie
stosuja ;-)
Login i haslo musza sie zgadzac z certyfikatem wiec i tak wchodzac na swoj
rachunek www musze wskazac swoj certyfikat
*** blad ***

do góry

> To niczym nie grozi

Niestety ale nie moge sie zgodzi z szanownym przedmowca :)
Jedno z zabezpieczen (ktorymi w koncu banki sie chwala) poszlo sie jeb..c
wiec nie mozna stwierdzic ze jest to malo ...
Haslo i login mozna zdobyc i co wtedy ? Zawsze to prosciej niz np. wydobyc
prywatny klucz z systemu ...

Wszystki banki stosuja wiele zabezpieczen roznoczesnie (np. w WBKBZ mozna
miec na raz : haslo, login, token >token tez na osobny pin<, limity
przelewow ) i jesli jakies jedno zostaje zlamane to teoretycznie wlamywacz
ma juz mniej roboty.

Jesli zabezpieczenie opieraloby sie tylko na certyfikacie to chyba nie
byloby sensu pytac sie tak jak ktos pyta sie w temacie ;)


AndY

do góry

Użytkownik "AndY"
> > To niczym nie grozi
>
> Niestety ale nie moge sie zgodzi z szanownym przedmowca :)
> Jedno z zabezpieczen (ktorymi w koncu banki sie chwala) poszlo sie jeb..c
> wiec nie mozna stwierdzic ze jest to malo ...
> Haslo i login mozna zdobyc i co wtedy ? Zawsze to prosciej niz np. wydobyc
> prywatny klucz z systemu ...

nic wtedy - to o czym piszesz nie ma nic wspolnego z kluczem prywatnym, na
dodatek tego klucza nie ma w systemie bo mam go tylko ja na dyskietce (w
przyszlosci na karcie kryptograficznej)

> Jesli zabezpieczenie opieraloby sie tylko na certyfikacie to chyba nie
> byloby sensu pytac sie tak jak ktos pyta sie w temacie ;)

dlatego ze się nie opiera tylko na tym wiec podeslanie innego certyfikatu niczym
nie grozi.
jesli ktos ma twoj ceryfikat (twoj klucz publiczny podpisany przez bank) to
sobie go wczyta do przegladarki i juz.
Jesli pozna twoj login to probujac hasla moze ci zablokowac rachunek, a jak zna
i haslo to zobaczy co masz na rachunku - i koniec.
Zeby zrobic operacje finansowa musi miec twoj klucz prywatny i znac do niego
haslo.

a w takim citi wystarczy poznac czyjs login i haslo (jakims snifferem) i juz
przez internet mozna zrobic z kasa z twojego rachunku co dusza zapragnie. Co
oczywiscie nie przeszkadza marketingowi w reklamie takiego produktu !
*** blad ***

do góry