Dnia Wed, 15 Jun 2005 23:08:37 +0200, Kamil Jońca napisał(a):
> Jacek Osiecki wrote:
> [...]

>>>Z drugiej strony bardzo chciałbym wiedzieć jak wygląda weryfikacja
>>>wskazań tokena po stronie banku.

>> http://www.ebanki.px.pl/technika/uwierz_bankowi.html

> "System internetowy oczywiście potrafi zweryfikować czy hasło jest
> prawidłowe"

> To bardzo mało mówi :-(

Ale to że token ma wszyty DES i "tajny klucz" - już trochę mówi.

> Bo jeśli bank sobie liczy hasło tak jak to robi token, to pojawia się
> dziura ze strony pracowników banku, a jeśli tylko jest w stanie
> zweryfikować, to może to i dobrze ?

Otóż mówi tyle, że generalnie to żaden pracownik banku nie musi mieć
możliwości dostępu do kodu przypisanego klientowi - wszystko odbywa się
automagicznie. Owszem, jakiś tam programista czy inny "insajder" może
wszystko - ale tego zagrożenia prawie nie da się wyeliminować. Taki człowiek
zresztą może ukraść pieniądze znacznie łatwiej :)

Większe bezpieczeństwo by było, gdybyśmy w takim tokenie mieli algorytm
niesymetryczny i bank by posiadał tylko klucz publiczny. Tylko że... i tak
przecież bank będzie generował tę parę kluczy :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004