Je ten PIN bezpecny?

[luky]

No, hlavně vůbec není problém se zaregistrovat bez čísla mobilu...

tak teď jsem asi mimo. To je novinka? Jak se potom přihlašovat ?

[ViR]

No, hlavně vůbec není problém se zaregistrovat bez čísla mobilu...

tak teď jsem asi mimo. To je novinka? Jak se potom přihlašovat ?

Ne to není novinka. To funguje snad od samého počátku Odoriku. Do registračního formuláře na https://www.odorik.cz/registrace.html prostě nezadáte mobil (račte si prosím povšimnout, že číslo mobilu je nepovinné), čímž, pravda, nedostanete deset korun na vyzkoušení, že. Ale systém vás zaregistruje v pohodě bez toho. A přihlašovat se pak můžete na https://www.odorik.cz/ucet/?login_method=credentials emailem, který jste zadal při registraci (pořízeným třeba jen pro tento účel) a čtyřčíselným PINem.

[helmut.niederman]

Prosím vás co je v dnešní době bezpečné ? Vždyť se podívejte na naše banky, mají zdá se nejmodernější IT technologie a stejně jsou prolomitelné. A díky funkci bezkontaktních karet vám kartu mohou zločinci vykrást i na 50 metrů.
Odorik by pochopitelně musel investovat fůru peněz do většího zabezpečení ale Odorik není Banka ani státní orgán. Ten PIN se mi zdá dostatečný. Neřešil bych to.

[luky]

tak to mi řekněte kolik musí stát navýšení PINu ze 4 číslic na vyšší počet, třeba šest. Resp.mi ukažte jedinou jinou službu, která je takto zabezpečena. A nikdo se nezruinoval "investici"

[helmut.niederman]

Řeknu to takto všeobecně, každé další navýšení bezpečnosti stojí nemalé peníze. Například moje banka o chlup vylepšila internetové bankovnictví místo identifikačního čísla a PINU se mohu přihlašovat loginem ( například JNovak ) a mnou zvoleným heslem ( např. Bezpecne911bankovnictvi )
Tento o chlup zvýšená bezpečnost stála banku řádově desítky tisíc korun.

Štve mne nejvíc, že všichni řvou a nadávají jak máme u nás drahé bankovní poplatky a dalších sto nesmyslných poplatků navíc, ale už se ti křiklouni nezabývají tím, že abychom měli bezpečné internetové bankovnictví nebo lepší výběr peněz z bankomatu stojí dost peněz a musíme to logicky zaplatit my.
Podívejte se do zahraničí, tam sice neúčtují jak se říká nesmyslné poplatky za to tam mají děravou bezpečnost a nulové pojištění proto třeba v Eurozoně je bankovnictví v háji a musí se na to udělat evropská směrnice. Z pohledu Evropy, jsou na tom české banky mnohem lépe ale něco to stojí a to musí někdo zaplatit, kdo jiný než klienti. Je to jakási dań za to, že tu nemáme " kyperský " problém. Ale to už jsem vzdálil od tématu, tak se omlouvám

[luky]

ano, vzdálil....
Co kolik stojí je relativní. Stejně tak můžu říct, že zvýšit počet cifer v PINu je otázka chvilky. Plus čas na odzkoušení.

[ViR]

tak to mi řekněte kolik musí stát navýšení PINu ze 4 číslic na vyšší počet, třeba šest. Resp.mi ukažte jedinou jinou službu, která je takto zabezpečena. A nikdo se nezruinoval "investici"

Ale proč by se to navyšovalo, když ten implicitní systém vůbec nemusíte používat a můžete mít kombinaci v podstatě tajného "jména" třeba o dvaceti znacích a ano, čtyřmístného číselného hesla? Ale podstatou je ta kombinace, kterou, když na to přijde, můžete každý týden (nebo i třikrát denně) měnit.

[luky]

jak jsem napsal, máme tady stovky možná tisíce eshopů, služeb, mailů, samoobsluh a nikde to není problém. Řeči o obrovských investicích mě nepřesvědčily. Nápady tady padly, díky všem, ale přijde mi přirozenější, věc vyřešit snadno a jednou provždy.... nic, jdu spát. Dobrou noc

[Iwo]

ViR: Ale ja naprosto netuse, ze bude zabezpeceni pres 4-mistny PIN jsem ten system pouzivat zacal a ted uz z toho nevede cesta zpet, takze to opravdu neni reseni!

helmut.niederman: Asi jsem tu s tim prirovnanim k platebni karte nemel zacinat, ale tam jde opravdu o sekundarni bezpecnostni prvek, coz si lide naprosto neuvedomuji a kartu pouzivaji jako by se nechumelilo, odkladaji ji z ruky v obchode atd. Bezkontaktni platba funguje cca. do 0,5m, takze ti to na vetsi vzdalenost nikdo nezneuzije - nepis nesmysly! Kazdopadne Odorik nema PIN jako sekundarni bezpecnostni prvek, takze je to stejne prirovnani nevhodne. Pokud se budeme zabyvat bankama, tak mBank a FIO maji velmi dobre zabezpeceni, presto jsou bez poplatku. mBank ma 8mistne identifikacni neverejne cislo + libovolne heslo s pozadavkem na urcitou delku, kazdou operaci je nutno potvrdit SMS heslem. Je snad u Odorika nutno zmenu v nastaveni potvrzovat SMS heslem?

Jak tu nekdo psal, ze Odorik na pozadani zmeni PIN na bezpecnejsi. To jako Odorik zna ten PIN? Ten PIN teda maji ulozen nekde v textove podobe a proti kontroluji jestli sedi zadany PIN a cislo, ktere maji nekde ulozene? To jako vazne? To se takhle ale nedela, to je dalsi bezpecnostni chyba, uklada se jen hash hesla (PINu) a kontroluje se zda sedi hash zadaneho cisla a ulozeny hash, nekontroluje se primo to cislo (mimochodem v bankach to takto doufam pouzivaji vsechny), stejne tak to takto delaji ruzna cloudova uloziste.

Verim, ze zmena z PINu na jmeno a heslo, muze stat nejake penize a ze pro Odorika jakozto nizkonakladoveho VOIP operatora to muze byt ne uplne prijemny zasah do stavu financi, ale zmenit system ze 4mistneho PINu na 6mistny opravdu nemuze byt velky financni problem, proste tu moznost pridaji do soucasneho kodu, verim, ze to muze byt pro zkuseneho programatora otazka dvou tri dnu + tak tyden na otestovani, to nebude zadny horentni naklad, ktery by si Odorik nemohl dovolit.

[Pitomec]

Devítimístné přihlašovací číslo + čtyřmístný PIN, to je poměrně slušné zabezpečení, aby to někdo prolomil jen tak.