> Nonsens. BTW: tokeny powstaly po to, by zredukowac uciazliwosci
> zwiazane z obsluga hasel jednorazowych.

Wiesz co tokeny powstały na długo-długo wcześniej zanim ktoś wymyślił
hasła jednorazowe ... i były używane do zupełnie innych celów nie
związanych często z bankami ...
http://www.rsasecurity.com/node.asp?id=1156
A co do haseł jednorazowych vs token .... to hasła jednorazowe są po
prostu tańsze dla banku !!! i dlatego są tak popularne.

Dla banku obsługa serwera RSA/SecureID dla np. 10 tys userów z tokenami
to dość poważny wydatek - i jeszcze licencja za używanie !
A takie hasełka są tanie i w miarę bezpieczne ....

Ostatnio modne są hasła przez SMS ... - wydaje mi się, że
bezpieczniejsze od papierowych (nie ma pośrednictwa poczty .... hasła
nie leżą gdzieś i nikt ich nie podejrzy).

>> W BMank/BreBank ... znając tylko hasło wejściowe na konto ... można
>> bez znajomości haseł jednorazowych wykonywać przelewy zdefiniowane ;)
>> - też dla mnie poważne niedociągnięcie !
>
> Wystarczy ich nie definiowac. Zlodziej moze miec problem w wyciagnieciu
> pieniedzy od np. gazowni.

Tylko po to jednak są te przelewy zdefiniowane aby umilić i przyśpieszyć
pracę ... a nie utrudnić życie !
Bank powinien tak zaprojektować system aby był bezpieczny i funkcjonalny
! dlatego każda operacja z MOIMI pieniędzmi powinna być zatwierdzana
jakimś kluczem (czy to będzie token czy lista haseł)

>
>> Wyciągnąć takie hasła wejściowe nie trzeba być man-in-the-middle.
>> Wystarczy nadsłuchiwać transmisji w dowolnej sieci - a metod na
>> robienie tego jest b. wiele ... a nie każda sieć ma switch'e z
>> autodetekcją/blokadą MAC ... przeważnie są to zwykłe tanie
>> ... tajwany - gdzie nawet nie trzeba przepełniać bufora ... aby
>> słuchać wszystkiego ;).
>
> Nonsensy. Zalozenie jest takie, ze karta transmisja w sieci jest
> potencjalnie podsluchiwana. I mimo to SSL/TLS/itp. zapewnia poufnosc,
> pod warunkiem zastosowania sie do kilku prostych zasad.
> Nie zeby przecietny klient sie do nich stosowal.

Ty mówisz o idealnym świecie a życie życiem ;)
Kto ze zwykłych userów stosuje się chociażby do elementarnych zasad ....
Wystarczy, że pojawi się jakiś nieznane okienko i kliknij OK lub Anuluj
i już przeciętny user ma dylemat ....
Co do podsłuchów w LAN to temat rzeka !
Bardzo dużo ludzi ma internet w sieciach osiedlowych ;) - tamto dopiero
można słuchać ....
Jeśliby infrastruktura LAN/WAN była idealna to tak ... ale jak jest w
rzeczywistości ;) - jak się robi sieci po kosztach - to nikt nie dba o
bezpieczeństwo.

> To oczywiscie prawda, z tym ze sieci WiFi maja sie do tego nijak, gdyz
> nie sa czescia samego komputera jak bezpiecznego urzadzenia (szyfrowanie
> nie odbywa sie "w sieci").

Ale są po drodze transmisji pakietów !
i jeśli są (o zgroza beż żadnego kodowania - ogólnodostępne) to
powodzenia w pracy w takiej sieci ... - one się nadają co najwyżej do
przeglądania stron WWW.

pozdr.
NB