forum.odorik.cz

Pitomec píše:Devítimístné přihlašovací číslo + čtyřmístný PIN, to je poměrně slušné zabezpečení, aby to někdo prolomil jen tak.

Taky jde o to co by nabouráním do účtu získal,nějakých pár minut voláni po kterém zůstane číslo volaného ip adresa dost na to aby se mu to pěkně nevyplatilo.

když to bude neřád, tak hned změní hesla, získá vaší identitu, vaše klienty, to komu voláte (pokud voláte jen babičce nebo na nádraží, kdy jede vlak, tak vás to netrápí). A podle IP něco zjistíte? Už jste slyšel o TOR?

Iwo píše:Jak tu nekdo psal, ze Odorik na pozadani zmeni PIN na bezpecnejsi. To jako Odorik zna ten PIN? Ten PIN teda maji ulozen nekde v textove podobe a proti kontroluji jestli sedi zadany PIN a cislo, ktere maji nekde ulozene? To jako vazne? To se takhle ale nedela, to je dalsi bezpecnostni chyba, uklada se jen hash hesla (PINu) a kontroluje se zda sedi hash zadaneho cisla a ulozeny hash, nekontroluje se primo to cislo (mimochodem v bankach to takto doufam pouzivaji vsechny), stejne tak to takto delaji ruzna cloudova uloziste.

Je pravda, že když zapomenete password, tak vám služba pošle na mail nové heslo nebo zabezpečený formulář pro zadání nového PINu. Nikdy neposílají stávající heslo. Osobně bych nerad držel a spravoval cizí hesla

zase se opakuju, pokud posíláte celý PIN v sms na objednání callbacku (na 773080830), taky to není úplně ono.Ideální by byl SU pin a pak nějaký "pin" pro callback

jinak, zmínila se mBanka...jsou dnes banky, které vám umožní měnit nejen password, ale i přihlašovací jméno dle libosti

závěr: komu stačí 4 místný pin, ať ho používá, věřím, že nás, kteří bychom chtěli lepší zabezpečení, nebude málo

Asi by stačilo, aby Odorik uvedl, kolik případů zneužití PIN za svoji historii řešil a bude hned jasno, jestli je potřeba něco měnit nebo zachovat status quo

to je pravda. Zase, Odorik se stal virtuálním operátorem, přibudou mu klienti, a všude kde je něco zajímavé, kde je hodně lidí a začínají se točit peníze, objeví se existence, které chtějí škodit nebo se obohatit. To je prostě praxe. Jinak svoji paranoiu mám rád

luky píše: Jinak svoji paranoiu mám rád

Pořád je ale lepší být trochu paranoidní a snažit se věci zabezpečit než si říkat "mě se to nemůže stát".

JPT píše:

luky píše: Jinak svoji paranoiu mám rád

Pořád je ale lepší být trochu paranoidní a snažit se věci zabezpečit než si říkat "mě se to nemůže stát".

Kolik míváte nabito kreditu u Odorik? Podle mne úroveň zabezpečení má být přiměřená možné ztrátě, která by vznikla při prolomení. A to u naprosté většiny uživatelů myslím je splněno. Za dobu používání Odorik jsou moje úspory na telefonování větší, než průměrná částka na kterou mám svůj účet nabitý. I kdyby mi někdo celý můj aktuální kredit jednou protelefonoval, tak už jsem na tom stejně vydělal.

Já bych se spíš přimlouval aby někde v rozhraní šlo zobrazit informace o přihlášeních - úspěšných i neúspěšných (IP adresa + datum a čas).
A kdo bude zkoušet 10 000 kombinací? Jestli při zapomenutí PIN nový na požádání dostanu na můj registrovaný E-mail tak toto mi připadá jako nejsnáze napadnutelné místo.

https://www.odorik.cz/ucet/nastaveni_volani.html a zvolíš Historie přihlášení

na emailu nemám peníze, ale heslo si chráním. Bezpečnost není luxus. A tady už nejde o přístup na nějaký funclub, ale regulérní placenou službu.

v.kopp píše: Kolik míváte nabito kreditu u Odorik? Podle mne úroveň zabezpečení má být přiměřená možné ztrátě, která by vznikla při prolomení.

Max. 100Kč.
Původně jsem začal psat o tom, že tu nemám moc peněz v kreditu, že by měl člověk volit zabezpečení podle rizik a velikosti částek o které jde a že na platební kartě mám taky jen 4 číselný PIN, ale na účtu taky neni moc peněz, ale pak jsem se do toho nějak zamotal, tak jsem to smázl a nechal tam jen to, že je lepší být trochu paranoidní...

luky píše:na emailu nemám peníze, ale heslo si chráním. Bezpečnost není luxus. A tady už nejde o přístup na nějaký funclub, ale regulérní placenou službu.

Pokud se člověk bude přihlašovat šifrovaně a ten PIN nebude v systému v plaintextu a bude nastavený nějaký nízký počet pokusů špatně zadaného hesla, tak by se snad do účtu ze strany zneužití na serveru nebo po cestě neměl nikdo jednoduše dostat i když má ten PIN/heslo jen 4 čísla. Nejsu odborník, ale snad se nemýlím. SSL připojení se snad ještě nedá prolomit.