On Thu, 12 Dec 2024 23:46:33 +0100, nadir wrote:
> W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:
>> Na taj stronie to taki bez przycisków akurat ;P
> To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat
> przycisk.
> https://pl.wikipedia.org/wiki/Token_(generator_kod%C
3%B3w)#/media/Plik:Token_Verisign.JPG
> Dodatkowo cytat ze strony:
> "Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie
> posiadają przycisku lub posiadają tylko jeden przycisk wywołujący
> wyświetlenie kodu."

Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
biurku ...

J.

do góry

W dniu 13.12.2024 o 13:46, J.F pisze:

> Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
> biurku ...

Ale to jest ten drugi etap uwierzytelniana, wcześniej trzeba jeszcze
znać login i hasło.
Poza tym telefon też można ukraść/zgubić/zostawić na biurku, o
bezpieczeństwo trzeba odpowiednio zadbać. No i na taki token ma jeszcze
jedną zaletę, nikt się na niego nie włamie.

do góry

W dniu 13 gru 2024 o 15:50, nadir pisze:

> Poza tym telefon też można ukraść/zgubić/zostawić na biurku

Telefony czasami są zabezpieczone hasłami...

Ktoś kiedyś (ponoć zawodowiec) złamał takie zabezpieczenie -- SIMKą,
której wpisał kilkakrotnie zły PIN i którą odblokował PUKiem, przy
okazji odblokowując cały telefon...

--
`_._ _,-'""`-._ .`'.-. ._. .-.
(,-.`._,'( |\`-/| '.'O`-,` .,; o.' eneuel@@gmail.com '.O_'
`-.-' \ )-`( , o o) `-:`-'.'.`\.'.' '~'~'~'~'~'~'~'~' o.`.,t
-bf- `- \`_`"'-.o'\:/.d`|'.p \; https://www.eneuel.ct8.pl \|/..s

do góry

W dniu 13.12.2024 o 16:06, Eneuel Leszek Ciszewski pisze:

> Telefony czasami są zabezpieczone hasłami...

A tokeny można zabezpieczyć w sejfie, szufladzie, pod poduszką. Co kto woli.

do góry

On Fri, 13 Dec 2024 15:50:55 +0100, nadir wrote:
> W dniu 13.12.2024 o 13:46, J.F pisze:
>> Ale on tak sobie zabezpiecza, bo można go ukraść/zgubić/zostawić na
>> biurku ...
>
> Ale to jest ten drugi etap uwierzytelniana, wcześniej trzeba jeszcze
> znać login i hasło.
> Poza tym telefon też można ukraść/zgubić/zostawić na biurku, o
> bezpieczeństwo trzeba odpowiednio zadbać.

ale telefon ma hasło czy dwa.

> No i na taki token ma jeszcze
> jedną zaletę, nikt się na niego nie włamie.

Natomiast ma też wadę, że nie wiadomo co się autoryzuje.
To na wypadek, jak trafisz na fałszywą stronę, czy ktoś przechwyci
ruch.

I tu by się przydało, że np klawiszami wklepujesz w token kwotę,
i jego kod tylko tę kwotę autoryzuje.

Albo jakas szyfrowana łączność bank -> token i wyświetlacz na nim.

No i wszystko to ma apka na telefonie.

J.

do góry

On Thu, 12 Dec 2024, nadir wrote:

> W dniu 12.12.2024 o 19:49, Dawid Andrzej Rutkowski pisze:
>
>> Na taj stronie to taki bez przycisków akurat ;P
>
> To szare po lewej stronie wyświetlacza ciekłokrystalicznego to akurat
> przycisk.

Rzeczywiście, na powiększeniu widać.
Na małym zdjęciu wyglądało jak dziura z widocznym w niej tłem.
Tzn. oczywiście wiem, że widzę coraz gorzej :(

> https://pl.wikipedia.org/wiki/Token_(generator_kod%C
3%B3w)#/media/Plik:Token_Verisign.JPG
> Dodatkowo cytat ze strony:
> "Tokeny OTP wyświetlają kod zmieniany zwykle co 60 sekund i nie posiadają
> przycisku lub posiadają tylko jeden przycisk wywołujący wyświetlenie kodu."

Czyli prawdziwy token Jamesa Bonda.
Moje miały przez cały czas wyświetlanie.

To właściwie po co ten guzik? Dla "bezpieczeństwa"?
Bo jak widać nie dla oszczędzania baterii.

Swoją drogą w tych tokenach zawsze mnie zachwycała stabilność zegarka.
Jak oni zrobili taki, co przez 5 lat mylił się max. 5s (przyjmuję, że
większy błąd przy zmianie co 60s powodowałby już bezużyteczność,
choć były też takie, które miały też pokazywane odliczanie tego czasu
i zalecenia w instrukcji, że jak "zostawało już mało kreseczek"
to trzeba było poczekać na nowy kod - choć to z kolei nie chroniło
zbytnio przed przyśpieszeniem).

do góry

Dawid Andrzej Rutkowski <d...@w...pl> writes:

[...]
>
> Swoją drogą w tych tokenach zawsze mnie zachwycała stabilność zegarka.
> Jak oni zrobili taki, co przez 5 lat mylił się max. 5s (przyjmuję, że
Nie zrobili.
W momencie werfyikacji był sprawdzany nie tylko "bieżący" token, ale też
"poprzedni" (z poprzedniego okna czasowego) i "następny" gdy okazało
się, że pasuje np. następny - sytem weryfikujący odpowiednio korygował
dryf czasu.
(Przynajmniej tak to jest zrobione tam gdzie widziałem)

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/
Uwolnić słonia !!!

do góry