21/04/2011
ΟΣΕ και μυστική φράση κλειδί
Χρησιμοποιώντας πριν 2 μέρες το νέο σύστημα ηλεκτρονικής κράτησης εισητηρίων του ΟΣΕ αντιμετώπισα το εξής παράδοξο. Μετά την επικύρωση της πιστωτικής μου κάρτας και αφού είχα δώσει και τα ονόματα των συνεπιβατών μου, το σύστημα μου ζητούσε να δώσω μια “μυστική φράση-κλειδί” που θα την ήξερα μόνο εγώ και ο ελεγκτής των εισητηρίων. Αδυνατούσα να καταλάβω που χρειάζεται αυτό και έτσι την επόμενη μέρα το απόγευμα (στις 18:00) έστειλα ένα email στην διεύθυνση που αναφέρει το website ζητώντας πληροφορίες για το κλειδί.
Το email μου:
Καλησπέρα
καταρχήν συγχαρητήρια για το σύστημα online κράτησης εισητηρίων. Ήταν κάτι που χρειαζόταν εδώ και χρόνια.
Έχω μια απορία όμως, ποιά είναι η λογική πίσω από την χρήση “μυστικής φράσης-κλειδί” ? Εφόσον το εισητήριό μου αναφέρει επάνω τον κωδικό του, έχει το ονομά μου και θα έχω και εγώ ταυτότητα επάνω μου…τι επιπλέον προσθέτει στην ασφάλεια του ΟΣΕ αυτή η φράση ?
Με τιμή,
Στις 21:50 (!!!!) την ίδια μέρα πήρα την εξής απάντηση:
Καλησπέρα,
Η μυστική φράση έχει να κάνει με τις περιπτώσεις όπου θέλετε να κάνετε δώρο το εισιτήριο ή το βγάζετε για λογαριασμό κάποιου τρίτου, ο οποίος προφανώς δεν θα φέρει μαζί του την πιστωτική κάρτα με την οποία εκδόθηκε ο τίτλος. Και δεδομένου ότι Ελλάδα είμαστε και δεν είναι όλοι οργανωμένοι να κουβαλάνε μαζί τους ταυτότητες κλπ, εισάγαμε την ιδέα του μυστικού κωδικού σαν ένα επιπρόσθετο μέτρο για να μπορείτε να εξασφαλίσετε το εισιτήριο σας και να αποδείξετε ότι είστε ο πραγματικός του κάτοχος.
Κατ’ αυτό τον τρόπο μπορείτε να εξασφαλίσετε την αγορά σας σε περίπτωση που κάποιος αντιγράψει το εισιτήριο σας ή το τυπώσει (πράγμα καθόλου δύσκολο *) και ανεβεί στο τρένο προσποιούμενος ότι είστε εσείς. Στην περίπτωση αυτή αν και οι δύο δεν φέρετε ταυτότητα ή πιστωτική κάρτα, μόνο ο μυστικός κωδικός μπορεί να ξεδιαλύνει την κατάσταση, ο οποίος κωδικός βρίσκεται τυπωμένος μόνο στην λίστα που έχει ο ελεγκτής.
* το παρόν σύστημα έχει σχεδιαστεί με την λογική ότι κάποιοι και θα τυπώσουν εισιτήρια 3ων πέρα από τα δικά τους και θα προσπαθήσουν να τα χρησιμοποιήσουν, και ότι κάποιοι άλλοι θα τα φωτοτυπήσουν / Photoshop-άρουν. Οπότε το “τί πληροφορία είναι μοιρασμένη σε ποιο έγγραφο” είναι πολύ προσεκτικά σχεδιασμένο.
Σε κάθε περίπτωση, η εισαγωγή του “μυστικού κλειδιού” είναι προαιρετική για την αγορά του εισιτηρίου.
Με εκτίμηση,
Δεν θα σχολιάσω την εξήγηση που πήρα, αλλά το γεγονός πως κάποιος από το δημόσιο τομέα μου απάντησε σε email την ίδια μέρα και μάλιστα βράδυ. Εκπληκτικό!
Filed by kargig at 11:05 under Greek,Privacy
Tags: Ελλάδα, κλειδί, ΟΣΕ, τραίνο, ΤΡΑΙΝΟΣΕ, τρένο, φράση
17 Comments | 14,346 views
Καλή ιδέα μου φαίνεται. Όπως και να ‘χει, απ’ τη στιγμή που είναι και optional, είναι θετικό.
Ζήτησες άδεια για να δημοσιεύσεις το email; 😛
Βρίσκω κάποια λογικά σφάλματα κι άλματα, όπως πχ.
Ρε Dude, και τι συμβαίνει εάν κάποιος προσποιηθεί τον Ελεγκτή ?
Εσύ πως μπορείς να τον κάνεις verify ?
Θα πρέπει κι εσύ να εισάγεις μια Κωδική Φράση, που θα την ξέρει μόνο ο Ελεγκτής, ώστε να γίνει το 4 step handshake.
βλ. έφοδο στο στρατό:
– 4 (έφοδος)
– 5 (στρατιώτης)
Όχι δεν ζήτησα, γι αυτό και δεν δημοσίευσα στο blog post το όνομα του ανθρώπου που μου απάντησε σεβόμενος πως ίσως δεν θα το ήθελε.
Θεωρώ πως η απαντησή του όμως δεν περιέχει προσωπικά στοιχεία ή κρίσεις και θα έπρεπε να βρίσκεται δημόσια στο website του συστήματος ηλεκτρονικής κράτησης, στο FAQ. Σίγουρα δεν είμαι ο πρώτος που είχε αυτή την απορία.
Έχω χρησιμοποιήσει και εγώ το ίδιο σύστημα και τολμώ να πω ότι η συγκεκριμένη μέθοδος είναι το λιγότερο τραγική. Εδώ τυπώνουμε boarding passes online για άλλους, στα εισιτήρια του ΟΣΕ κολήσαμε;
Γενικότερα η δυνατότητα online κράτησης εισιτηρίων είναι ιδιαίτερα σημαντική και είναι πολύ θετικό ότι ο οργανισμός προχώρησε στην υλοποίησή της. Κατά τα λοιπά όμως η συγκεκριμένη εφαρμογή έχει *πολύ* σοβαρά προβλήματα ασφάλειας τόσο στο business logic όσο και στο τεχνικό της κομμάτι.
Εμένα γιατί μου φαίνεται αρκετά καλή ιδέα;
Για την υλοποίηση δε ξέρω βέβαια. 😛
Well well, έχει ένα μεγάλο bug η απάντηση του νομίζω…
Αν δεν κάνω λάθος, είμαστε υποχρεωμένοι να έχουμε μαζί μας την ταυτότητά μας… Να μην αναφερθώ στο ότι είναι τουλάχιστον αστείο να ταξιδεύουμε χωρίς ταυτότητα.
@Evaggelos Balaskas : Νομίζω πως είναι γνωστό σε όλους ότι απόλυτη ασφάλεια δεν υπάρχει… Δηλαδή δεν πρέπει να κάνουμε τίποτα ?
@chrys
α. Κανένας νόμος δεν ορίζει ότι χρειάζεσαι ταυτότητα για να ταξιδέψεις.
Η ταυτότητα είναι απλά ένα μέσο ταυτοποίησης, το δίπλωμα ένα άλλο, το διαβατήριο επίσης. Η ταυτότητα χρειάζεται μονάχα για την εξακρίβωση στοιχείων με την αστυνομία (εγώ είμαι εγώ, γιατί το λέει η ταυτότητα).
ΔΕΝ πρέπει να δίνεις την ταυτότητά σου σε κανέναν άλλο, ούτε καν στο ξενοδοχείο όταν στην ζητάνε. ΔΕΝ σε υποχρεώνει ο νόμος να παρουσιάσεις ταυτότητα, ειδικά σε πολίτες (αυτό εξακριβωμένος και μάλιστα σε “καλό-ακριβό” ξενοδοχείο.
β. Dude, η λύση είναι πολύ πιο απλή. Για κάθε κράτηση να σου δίνει έναν μοναδικό κωδικό κράτησης. Σε κάθε σταθμό τρένου, έχει μηχάνημα εκτύπωσης εισιτηρίων, πληκτρολογείς τον κωδικό και σου τυπώνει χάρτινα εισιτήρια με barcode. Περνά ο ελεγκτής με το μηχάνημα (είναι φθηνό & φορητό), σκανάρει το barcode.
Το πρόβλημα είναι να ταξιδέψεις με έγκυρο εισιτήριο, εισιτήριο που έχεις πληρώσει. Τα περί ταυτοποίησης ανήκουν σε άλλες εποχές (μέρα που είναι σήμερα, μακριά από εμάς).
άντε να έχει κι έναν αριθμό θέσης επάνω. Όλα τα υπόλοιπα είναι περιττά.
α. Η ταυτότητα δεν χρησιμεύει μόνο για την εξακρίβωση στοιχείων με την αστυνομία αλλά επειδή είναι αλήθεια πως δε έχω και ιδιαίτερες γνώσεις για το τι λέει ο νόμος, δεν θα επιμείνω σε αυτό.
Προσωπικά πάντως το θεωρώ πολύ μεγάλη βλακεία να ταξιδεύει κάποιος χωρίς ταυτότητα…
β. Το αρχικό σου σχόλιο νομίζω πως δεν ήταν για το αν υπάρχει καλύτερη λύση. Το ποιες λύσεις υπάρχουν για να κάνεις ταυτοποίηση είναι άλλο θέμα και άλλο θέμα το αν μπορεί κάποιος να προσποιηθεί πως είναι ο ελεγκτής. Αντίστοιχα μπορεί κάποιος να “πειράξει” το μηχάνημα εκτύπωσης εισιτηρίων. Κάποια στιγμή πρέπει να βάζουμε όρια γιατί μετά γυρίζουμε γύρω γύρω από το θέμα και δεν έχουμε κανένα αποτέλεσμα.
Αποψή μου είναι πως είναι σημαντικό ότι ψάχνουν να βρουν τρόπους για καλύτερη ταυτοποίηση των πελατών τους. Εκεί που δεν με έπεισε η απάντηση είναι οι λόγοι που το κάνουν αυτό. Ο τρόπος παλι με τον οποίο θέλουν να πετύχουν την ταυτοποίηση είναι άλλο μεγάλο θέμα συζήτησης…
Αλλά είναι αλήθεια πως το πιο εντυπωσιακό είναι το σχόλιο στο τέλος του post (περί γρήγορης απάντησης) και με το οποίο οφείλω να πω πως συμφωνώ απόλυτα !!!! 🙂
AAAAAAAAAAXAXAXAXA! Μυστικη φραση κλειδι λεει.
Πολυ Jamesbondικο ακουγεται.
Εγώ μια χαρά το βρίσκω το μέτρο. Με δεδομένο ότι λογικά χρήμματα για να βάλουν μηχανήματα να τυπώνουν επι τόπου tickets ή κάποιο άλλο αυτοματοποιημένο σύστημα, τότε ο τρόπος που διάλεξαν είναι ο καλύτερος δυνατός.
*ότι λογικά χρήμματα δεν υπήρχαν*
Ένα πολύ θετικό βήμα στον ΟΣΕ! Μπράβο!
Έχω μία αντίστοιχη εμπειρία από την διεύθυνση διαβατηρίων της αστυνομίας. Έστειλα mail σχετικά με τα ψηφιακά πιστοποιητικά και μάλιστα ρωτούσα για αρκετά τεχνικά θέματα και για θέματα policy. Έλαβα απάντηση σε δύο μέρες και έ-μ-ε-ι-ν-α! Δεν περίμενα ότι θα έπαιρνα ποτέ μία τόσο καλή απάντηση. Πολύ καλή ανάλυση όλων των θεμάτων που έθιξα από άτομο που όπως φαίνεται ήξερε καλά την δουλειά του. Μάλιστα μου έδωσαν και ένα άλλο mail να συνεχίσουμε αν θέλω την επικοινωνία μας, όχι το γενικό της διεύθυνσης διαβατηρίων αλλά το ειδικό για το PKI.
Πάντα είχα απορία στο συγκεκριμένο σύστημα τι θα γίνει εάν για μυστική φράση βάλει κανείς pasokremoutra η idiwtikopoihshtwra. Τελικά δέν το δοκίμασα (καθότι σκόπευα να φτάσω Θεσσαλονίκη) και προτίμησα να βάλω κάποιον αριθμό. Το αποτέλεσμα ήταν ο παρακάτω διάλογος στο τραίνο:
-Εισιτήριο
-Ορίστε
(το κοιτάζει μπρος πίσω σα να μην είχε δεί ποτέ ξανά εκτυπωμένο εισιτήριο στη ζωή του και μου το δίνει πίσω. Ούτε λίστα, ούτε verification ούτε ταυτότητα).
-Καλώς.
Η αλήθεια είναι οτι περίμενα κάτι του στύλ:
-Λένε οτι οι ιαγουάροι πεθαίνουν απο κατάθλιψη στο Ναγκόρνο Καραμπάχ.
-Έχω ακούσει οτι το σάλιο τους μπορεί να λαδώσει χίλιες τρομπέτες.
Αλλά μάλλον είμαι επηρεασμένος απο ταινίες.
Καλησπέρα σας,
αγόρασα σήμερα το βράδυ στις 21:30 ένα εισητήριο από Λάρισα για Αθήνα για τις 9 Αυγούστου χρησιμοποιώντας την πιστωτική μου κάρτα.Ναι μεν είδα στην οθόνη το εισητήριο μου και ένα κωδικό εισητηρίου απλά δεν μου έχει σταλεί κάποιο email.
Πρέπει να κάνω κάτι εγώ;Από που θα παραλάβω το εισητήιό μου;
Ευχαριστώ
Γεια σας και από εμένα. Θέλω να κλείσω και γω τα εισητήρια μου έτσι αλλά δεν έχω εκτυπωτή. Θα πρέπει να πάω στο σταθμό?
καμία απάντηση?