"J.F." <j...@p...onet.pl> writes:

> Nie bardzo wiem co sie mialo instalowac

Soft autoryzujący oczywiście, no bo przecież nie tokeny.

> http://www.emc.com/security/rsa-securid/rsa-securid-
hardware-tokens.htm

Miałem na myśli raczej to:
http://www.emc.com/microsites/authentication-manager
-8/index.htm

>> ... weryfikując te kody przez logowanie się jako klienci banku
>> i zlecając pewne "testowe" operacje (np. przelewy)? Sprytne :-)
>
> Nie, nie wiem zreszta czy by mogli - wszak nie wiedza ktory token bank
> dal klientowi.

To jest prawda, ale nie należy zapominać, że numery tokenów nie
były wcześniej nigdy klasyfikowane jako informacja zastrzeżona (co
oznacza, że dostęp do nich mogło mieć wiele osób), można je było także
odczytać np. z tokenów (obejrzenie obudowy tokena przez inną osobę nie
było żadnym wskazaniem do jego wycofania) itd.

To tak jakby nagle ktoś stwierdził, że nazwy użytkowników są tak samo
tajne jak hasła.

> Ale przeciez musza dac bankowi program czy inne narzedzie do
> sprawdzania kodow, wiec dobrze wiedza co ktory token pokazuje ...

Ale ta wiedza miała być tylko przekazywana klientowi, bez pozostawiania
przez producenta kopii dla siebie.
Jasne jest że jeśli jakaś firma w dziedzinie bezpieczeństwa coś takiego
mówi, to mówi (każdy rozsądny zakłada, że agencje mogą mieć dostęp do
takich rzeczy) - ale żeby pozwolić sobie na wypłynięcie takich danych?

Na szczęście rynek się rozwinął :-)
--
Krzysztof Hałasa

do góry