Hirdetés

2018. december 12., szerda

Gyorskeresés

Hozzászólások

(#1) SwissBread


SwissBread
(újonc)

Valószínű hogy amúgy is megvan nekik ez az adat csak ellenőrzésre használják. Nyílván te se örülnél annak ha mindeki aki kicsit is ismer téged eltudna járni a nevedben.

<script type=text/javascript> Document.write(aláírás); </script>

(#2) Victor Súgó válasza SwissBread (#1) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Ahogy annak sem, ha bárki, aki hozzáfér az e-mailhez (bárhol, akár nálam, akár út közben, akár náluk) bármit el tudna követni a nevemben az automatán keresztül.
Egyébként, ha szigorúan vesszük a GDPR előírásait, meg a józan észt, akkor a PIN kódokat is úgy tárolják, ahogy a jelszavakat: hash-elve, ettől kezdve nekik nincs meg, csak a hash.
Legalábbis én nem tárolnám visszafejthető formában, még akkor sem, ha csak négy számjegy.

(#3) Gdi


Gdi
(senior tag)

Akkor menj be személyesen egy ügyfélszolgálati pontra és azonosítsd magad a személyiddel.
Szerinted mire van az a pin?

A GDPR ebben az esetben eléggé hátráltató tényező... Azonosítsd be magad úgy, hogy ne legyél beazonosítható... Egyébként maga a pin nem hashelt formában sem hordoz személyes adatot. Te törlöd kimenő levelek közül, akkor más az email fiókodba bejutáskor már nem fér hozzá, a szolgáltató meg nem őrizheti a végtelenségig.

[ Szerkesztve ]

''Milliárdnyi meggyilkolt csillag sikolya elhal az éj békéjében, és a kétségbeesésnek csak néhány, törékeny, kőbevésett szó áll ellen.''

(#4) Victor Súgó válasza Gdi (#3) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Arra, hogy az automatánál igazoljam magam, nem arra, hogy e-mailben elküldjem. Pláne nem akkor, mikor olyan programhibát kellene nyomozni, ami saccra minden ügyfélnél egyformán hülyeséget mutathat. :)

Egyébként volt példa olyanra is, másik szolgáltatónál, hogy automata kéri az ügyfélazonosítót, pin kódot, közli, hogy az azonosítás rendben, majd a telefonos ügyintéző megkért, hogy diktáljam be neki újra. Én meg csak pislogtam, hogy mi van?

(#5) Gdi


Gdi
(senior tag)

Ja az újrahitelesítéses dologba én is belefutottam. Fura. De ettől függetlenül még mindig olyan adatkezelésről van szó ami nem sérti a védelmi előírásokat.

''Milliárdnyi meggyilkolt csillag sikolya elhal az éj békéjében, és a kétségbeesésnek csak néhány, törékeny, kőbevésett szó áll ellen.''

(#6) Hieronymus


Hieronymus
(senior tag)
LOGOUT blog

Én segítek neked.
Küld el nekem minden banki adatodat PÜ-ben és elintézem minden problémádat.
A PÜ mégiscsak biztonságosabb mint az email. :DD :DD :DD

[ Szerkesztve ]

Ha értelmetlen hozzászólásommal találkozol, az nem a véletlen műve. A Fantasztikus tag, címre hajtok! Muszáj hozzászólnom.

(#7) Victor Súgó válasza Gdi (#5) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Adatkezelés nem azonos az adatok tárolásával. És egy jelszó jellegű adatot kódolatlanul, visszafejthetően tárolni, szerintem nem felel meg a kellő biztonsággal kezelt adatnak, de ez tényleg inkább GDPR téma, nem az, hogy küldünk-e e-mailben pin-t vagy jelszót.

(#8) Hieronymus válasza Gdi (#5) üzenetére


Hieronymus
(senior tag)
LOGOUT blog

"De ettől függetlenül még mindig olyan adatkezelésről van szó ami nem sérti a védelmi előírásokat."

Pénzintézet nem kér emailban személyes adatot.
Nem lök át adategyeztetésre levélből webhelyre.
Nem viselkedik adathalászként, mivel rendelkezik a számlatulajdonos minden adatával.

Ha értelmetlen hozzászólásommal találkozol, az nem a véletlen műve. A Fantasztikus tag, címre hajtok! Muszáj hozzászólnom.

(#9) t72killer válasza SwissBread (#1) üzenetére


t72killer
(Jómunkásember)
LOGOUT blog (1)

emailben nem létezik és hivatalos azonosítás és ügyintézés, ennyi. Olyan nincs, hogy jelszót, hitelkártyaazonosítót vagy pin-kódot bárkinek mailben elküldjek, nem az óvodában vagyunk.

#5: hogymihogyan?? MINDEN alapvető épeszű biztonsági megfontolást sért a jelszavak-pinkódok emailes furikázása! Szerinted hányan olvassák a "privát" mailedet, akár egy kontinenssel arrébb "célzott marketing" címen? Vagy alkalmasint ha nem törlöd azt a bizonyos emailt/az "okos dolgozó" nem törli, és mondjuk 3éven belül felnyomják valamelyik szervert (ld Yahoo botrány) és az okos kis hekkerlagoritmusok párosítják veled a még aktív kódot, csodát láthatsz.

Ahogy az asszonyt se küldöm le egy szál bikiniben+brilliánsgyűrűkkel a nyóckerbe későesti sétára, úgy a legértékesebb adataimat se kürtölöm világgá. Nem kell hozzá ultramodern geeknek lenni, régesrég megmondta a magyar közmondás, hogy az a "titok" amit 3 ember tud, már nem titok.

[ Szerkesztve ]

"A win98 biztonságos, ui már vírust sem írnak rá 10 éve."

(#10) wetomi


wetomi
(fanatikus tag)

Kicsit túl van ez lihegve.

Kiadtad az ügyintézéshez azt a fene fontos "PIN kódot"? Kb 3 kattintás megváltoztatni az online felületen.

Mert ugye a fene nagy tudatos adatvédő felhasználók mindenhol több 10 karakteres csuda jelszavakat adnak meg, de a szolgáltatós kódjukat éveken keresztül őrizgetik és a legtöbbször simán elfelejtik.

Adatvédelmi szempontból az talán nem aggályos, hogy 4-6 karakteres "jelszavatok" van a szolgáltatóhoz? Gondolom havonta cserélitek is, mert olyan nagy kockázatot jelent ez a gyenge védelem.

(#11) Victor Súgó válasza wetomi (#10) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Ismered azt a kifejezést, hogy "áldozathibáztatás"?
Mert ez kb. az.
A 4-6 számjegy kötött, a rendszer adottsága, bonyolultabbat, hosszabbat nem adhatok meg.
Ha normálisan van tárolva (a jelek szerint nem), akkor még mindig kisebb kockázatot jelent ha évekig azonos, mint az, ha e-mailben megadom, amit aztán bárki olvashat.
Egyébként meg nem minden pin kód változtatható. Sajnos.
Hadd ne mondjak konkrét cégeket, ahol esélyem sem volt változtatni!

(#12) wetomi válasza Victor Súgó (#11) üzenetére


wetomi
(fanatikus tag)

Kíváncsi vagyok a konkrét cégre, mert nekem csak a propellerrel van tapasztalatom.

Telenornál pl pár kattintás megváltoztatni az online felületen az ügyfél és a kártyaszintű jelszót is, ha magánszemély a tulajdonos és megfelelő szintű a regisztrációd. Céges előfizetésnél nyilván megfelelő papírok kellenek az ügyfél szintű jelszóhoz és személyes ügyintézés.

Megint csak Telenor, ha az online felületen bejelentkezel, akkor legalább kártya szinten azonosítva vagy, nem kell külön jelszót megadni, ha csak nem másik kártyával kapcsolatban szeretnél ügyet intézni.

Ugye ott az elektronikus űrlap is, de a hiteles elektronikus aláírás is megfelel náluk az azonosításhoz.

Vagy küldenél inkább a postai levelet, aláírással, vagy akár tértivevénnyel? A postai levelet lehetetlen elolvasni, az aláírást nyilván nem hamisítják és minden ügyintéző grafológus.

Az a tapasztalatom az ilyen problémákkal, hogy a felhasználók nem értik, hogy egyes helyzetek milyen egyszerűen megoldhatóak, mert nincs aki elmagyarázná nekik a lehetőségeiket és ezért a sértődött felhasználó az aktuális buzzwördökkel tarkítva felfújja a dolgot.

[ Szerkesztve ]

(#13) Victor Súgó válasza wetomi (#12) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Egyébként egyre szebb: most néztem meg az első levelezésemet, akkor úgy indult, hogy küldjem el a PIN kódot is e-mailben.
A legfrissebb válaszuk szerint ők nem kérnek PIN-t e-mailben. Kár, hogy megvan az első válaszuk, amiben ennek hiányára hivatkozva utasítanak el bármiféle "ügyintézést" :DD

(#14) wetomi válasza Victor Súgó (#13) üzenetére


wetomi
(fanatikus tag)

Örülök, hogy találtál egy ilyen ellentmondást, de igazából ott tartunk még mindig, hogy ők adatvédelmi okokból még nem kezdték meg irányodba az érdemi ügyintézést/tájékoztatást, mivel az adott ügyintézési csatorna feltételei szerint te nem igazoltad, hogy jogosult vagy az érintett előfizetéssel kapcsolatban eljárni.

Nem akarlak hibáztatni, nehogy félreértsd, de olyan érzésem van, hogy a saját dolgodat nehezíted, holott van megoldás.

Ahelyett pl, hogy felhívod az ügyfélszolit. IVR-ben beazonosítod magad és jelzed az ügyintézőnek, hogy legyen kedves rögzíteni az alkalmazással kapcsolatos panaszodat, amit 30 napon belül megválaszolnak.

Vagy egyszerűen megadod a kért "pin-t" válaszban, ők ügyintéznek, aztán megváltoztatod a "pin-t".

És akkor még nem tudom, hogy melyik szolgáltatóról van szó. Nem tudom, hogy te vagy az előfizetés tulajdonosa, vagy csak használója, magánszemély, vagy céges előfizető vagy-e? Mert ezeknek kihatása lehet az ügymenetre az azonosítás miatt.

(#15) Victor Súgó válasza wetomi (#14) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Nem megoldást keresek, egyszerűen égnek áll a hajam az adott cég hozzáállásától.
Szerintem mióta létezik e-mail, azóta alapszabály, hogy ilyen jellegű adatot nem küldünk el vele.

Ja, egyébként telefonon is próbálkoztam, kevés sikerrel. Így kerültem az e-mail-es végpontjukhoz.
De ennek nincs igazán jelentősége, mert itt az a borzasztó, hogy tképp megkérnek, tegyem a kulcsot a lábtörlő alá, de istenbizony nem árulják el senkinek... :)

[ Szerkesztve ]

(#16) Apollyon válasza wetomi (#14) üzenetére


Apollyon
(Korrektor)

Egyetértek, a bejegyzés írójával.

Még régebben megkerestek egy banktól, és azonosításomhoz kérték az anyja nevéből a vezetéknevet, meg a születési dátumból az egyik megadott tagot.

Ez a jó megoldás, nem pedig egy PIN kód, amivel hozzá lehet férni bármilyen szinten is valakinek a felhasználói fiókjához.

Ahol mégis PIN-t, vagy hasonló szintű jelszavat kérnek azonosításhoz, annál a cégnél elég komoly továbbképzésre van szükség cybersecurity témából.

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

(#17) wetomi válasza Apollyon (#16) üzenetére


wetomi
(fanatikus tag)

Végre konstruktívak vagyunk!

Ez egy jó ötlet, bár ugye haver, exfeleség, szomszéd még mindig könnyen kitalálhatja ezeket a személyes adatokat. Jah, és ezeket "pin" kódokat könnyen módosíthatjuk, akár minden ügyintézés után, de a személyes adatokat nem.

Mondjatok még javaslatokat: Hogyan szeretnétek magatokat azonosítani a szolgáltatóval való e-mail-es kommunikáció során?

[ Szerkesztve ]

(#18) t72killer válasza wetomi (#17) üzenetére


t72killer
(Jómunkásember)
LOGOUT blog (1)

Nekem a jelszóból bizonyos karaktereket szoktak kérdezni telefonos ügyintézésnél, pl a 8-10 karakteres jelszóból kéri a 2., 5, 6 és 8. karaktert, ennyi. Persze, ahol négyszámjegyű pinkódokkal dolgoznak, ez nem megoldás.

Egyébként az egész email-ügyintézéses koncepció rossz, mi a garancia arra, hogy más (leginkább asszony/férj, vagy épp a bejelentkezve tartott gép elé ülő rokon), akinek nincs ügyintézési joga, nem kezd el a másik nevében intézkedni? Az email-jelszavaikat rengetegen megadják a párjuknak, ilyen-olyan okokból, nem kell rögtön orosz-kínai állami hackercsoportokkal dobálódzni ahhoz, hogy félremenjen a dolog.

[ Szerkesztve ]

"A win98 biztonságos, ui már vírust sem írnak rá 10 éve."

(#19) Victor Súgó válasza wetomi (#17) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

PGP/GPG. Kizárólag.
Mondjuk az jó kérdés, hogy a szolgáltató adja-e a kulcsokat, mert akkor... khm...
Ezen túl maradna a normális webes ügyfélszolgálat valami üzenő és esetleg chat felülettel.

(#20) Apollyon válasza wetomi (#17) üzenetére


Apollyon
(Korrektor)

A PIN kódokat valóban meg lehet változtatni, és a személyes adatokat ugyan nem, de egyrészt a személyes adatokat nem szoktuk jelszóként felhasználni, másrészt a továbbra sem jelszóként, hanem ügyintézés során adategyeztetés szempontjából megadott személyes adatok nem adnak hozzáférést semmilyen fiókhoz.

Az email-es ügyintézés egyébként annak tartalmától függetlenül már egy támadható pont. Persze ide rakhatnánk ellenpéldának az emailes jelszóemlékeztetőt, de ami ott szerepel adat az sem permanens, hanem nagy valószínűséggel belépéskor azonnal meg kell változtatni.

Hivatalos ügyeket és/vagy pénzügyi teendőket meg nem intézünk ennyire könnyen támadható protokollokon. Pl. a bankom is reklámozta nekem a mobilos alkalmazásukat, én meg leoltottam őket, hogy nem kéne rávenni az embereket, hogy a lyukas oprendszeres telefonjukon intézzék a pénzes dolgaikat. Főleg, rengeteg ember ma már mobilon böngészik, rákattint minden hülyeségre, és ki tudja mennyi malware van már a telefonján...

Szóval én azt mondom, hogy maradjon vagy a telefonos azonosítás megadott telefonszámról, vagy a személyes ügyintézés.

Illetve, valamilyen internet alapú cucc is mehetne ugyan, titkosítással, feltéve ha mobiltelefonon (androidon, ios-en) nem működik.

Még mielőtt írnád, hogy de az asztali gép is támadható: igen, de egy windowsra / linuxra naprakészen jönnek a biztonsági frissítések, míg a telefonokra általában nem.

Haver / exfeleség dologra meg azt mondom, hogy az ilyen közel álló személyek nem hinném, hogy tudnának akkora kárt okozni, amekkora bajt megkockáztatnak, jobban tartanék inkább az erre a területre specializálódott (csalás) profi bűnbandáktól.

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

(#21) Victor Súgó válasza Apollyon (#20) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

https://itcafe.hu/tema/a_nagy_linux_topic/hsz_27488-27488.html
Ennyit a naprakészen tartott, rendszeresen update-elt rendszerekről. :(

(#22) Apollyon válasza Victor Súgó (#21) üzenetére


Apollyon
(Korrektor)

Nincs áthatolhatatlan rendszer...

De amit példát felhoztam, az ettől független, azért egy telefonon lévő android sokkal sebezhetőbb, mint a legtöbb x86-on futó egyéb OS.

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

(#23) Victor Súgó válasza Apollyon (#22) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Ezt nem vitatom. Nekem is rángatózni kezdett a szemem, mikor a bankom jött a mobil appjával...

(#24) wetomi


wetomi
(fanatikus tag)

(#18) t72killer
Egyébként az egész email-ügyintézéses koncepció rossz, mi a garancia arra, hogy más (leginkább asszony/férj, vagy épp a bejelentkezve tartott gép elé ülő rokon), akinek nincs ügyintézési joga, nem kezd el a másik nevében intézkedni? Az email-jelszavaikat rengetegen megadják a párjuknak, ilyen-olyan okokból, nem kell rögtön orosz-kínai állami hackercsoportokkal dobálódzni ahhoz, hogy félremenjen a dolog.

Ezért találta ki a szolgáltató az ügyfélbiztonsági kódot/jelszót/pin kódot, hogy még ha más is használja a levelező rendszert, azt a kódot csak te, mint tulajdonos, vagy ügyintézésre jogosult tudja és a szolgáltató. Ha nem akarod írásban megadni, akkor irány az webform, vagy IVR azonosítás után rögzíttesd telefonon a gondod, bajod.

(#19) Victor Súgó
már most is elfogadott a hiteles elektronikus aláírás az e-maileknél. Ha gondolod, titkosított zip-ben is elküldheted a leveled, de ahhoz, hogy miért fogyott el a mobilnetem, de ahhoz fölösleges.

webes ügyfélszolgálat valami üzenő és esetleg chat felülettel Mert az ügyfélszolgálat szempontjából a chat másik felén bárki ülhet, ezért valamivel azonosítanod kéne magad, pl jelszó, vagy bejelentkezni az online profilba, vagy pl facebook hitelesítés. Erre már van példa manapság is

(#20) Apollyon
Személyes adatokkal való azonosítás most is van sok esetben, ha egy meghatározott telefonszámon beszélsz. Ez általában az érintett telefonszámot jelenti és csak a kártya tulajdonosa járhat el.

Persze a telefonos ügyintéző nem ismeri az ügyfél hangját, tehát bárki bediktálhatja az előfizető adatait, de ebben az esetben nem a szolgáltató a hibás, hogy elhiszi, az emberünk pl megfázott, hanem az követ el adatvédelmi visszaélést, aki más helyett diktálja be az adatokat. Innentől nem a szolgáltató felelőssége az esetleges következmény.

Haver / exfeleség dologra meg azt mondom, hogy az ilyen közel álló személyek nem hinném, hogy tudnának akkora kárt okozni, amekkora bajt megkockáztatnak, jobban tartanék inkább az erre a területre specializálódott (csalás) profi bűnbandáktól

Bűnbandák? Elég ha mondjuk egy családi vita miatt kikerül egy hívásrészletezés, mert hát a feleség milyen kárt okozhat, ha megcsalják? Ha a híváslistát elküldik egy újságírónak, vagy ilyenek. Egy híváslista tartalmazhat kompromittáló telefonszám+időpont adatokat. Ez most csak egy példa volt.

Örülök amúgy, hogy gondolkoztok az ügyön, de valószínűleg nem ültetek a "másik" oldalon, míg én igen.

Félreértés ne essék, nem mondom, hogy tökéletes a mostani általánosan alkalmazott rendszert, de higgyétek el, a hatóság már ugrott volna a dologra, ha annyira gáz lenne. Csak át kéne jobban gondolni a felhasználóknak is az egyéb lehetőségeket, nem pedig felfújni.

Az új, egyszerű és biztonságos megoldások a szolgáltató dolgát is megkönnyítenék, de ugye elég széles az ügyfélkör, a mai napig van akinek problémát okoz pl az e-mail fiók kezelése vagy az elektronikus számla használata.

De ha gondoljátok, visszatérhettek a postai levélhez, aláíráshoz, mert azok nem törhetőek fel és nem hamisíthatóak.

[ Szerkesztve ]

(#25) Polllen válasza wetomi (#24) üzenetére


Polllen
(PH! nagyúr)

Tehát azért mert már ültél a másik oldalon, megadhatom e-mailben a PIN kódom, ha megkeresnek... Nekem ez nem tűnik valós érvnek.

"Odamentem egy párhoz...négyen voltak!"

(#26) wetomi válasza Polllen (#25) üzenetére


wetomi
(fanatikus tag)

Nem. De egy azonosítási folyamatot el kell végezni. Ennek vannak technikai feltételei és van emberi oldala is és ezek között kell megtalálni egy egyensúlyt.

Manapság talán túlhaladtunk már egyes lehetőségeken, de ennek ellenére továbbra is több lehetőséget kínálnak a szolgáltatók.

Ami miatt továbbra is ..szom a rezet, az az, mint ahogy a posztíró is írta, ő már nem is akar más megoldást a konkrét ügyben, inkább csak vergődik tovább az ügyön előrelépés nélkül. Csak szeretném felhívni az idetévedők figyelmét, hogy oké, hogy nem tökéletes, a mostani rendszer, de van más lehetőség az azonosításra, addig amíg nem lesz előrelépés a szolgáltatók részéről.

(#27) Victor Súgó válasza wetomi (#24) üzenetére


Victor Súgó
(lelkes újonc)
LOGOUT blog (1)

Nem a titkosítás a lényeg, hanem a hiteles, elektronikus aláírás.

(#28) Polllen válasza wetomi (#26) üzenetére


Polllen
(PH! nagyúr)

Akkor ennyi a történet.

Az eredeti posztból nekem az jött le, hogy egy biztonsági incidenst írtak le. Ami durva. Az, hogy más is így 2018 végén, az rendben van.

"Odamentem egy párhoz...négyen voltak!"

(#29) wetomi válasza Victor Súgó (#27) üzenetére


wetomi
(fanatikus tag)

Amúgy jó dolog lehetne pl az új e-személyi használata is az elektronikus aláíráshoz, akár otthon is.

Én most a nyáron csináltattam az új személyit, kérdezte is az ügyintéző, hogy kérek-e otthoni kártyaolvasót. 26 000 Ft-ért rémlik. Nem kértem... Most hirtelen más árat nem tudok mondani.

Copyright © 2000-2018 PROHARDVER Informatikai Kft.