W dniu 21.05.2022 o 13:06, Krzysztof Halasa pisze:
> Dawid Rutkowski <d...@w...pl> writes:
>
>> Miała być tylko apka, ale krzyk się podniósł, więc złośliwe debile
>> "poprawili" - do wyboru jest też SMS, ale z linkiem do zalogowania się
>> w ST i potwierdzenia.
>
> To jest w ogóle bardzo niebezpieczny mechanizm - uczy klientów klikania
> w linki z SMSów. Tej wady nie ma 3DS z kodem w SMSie - jeśli nawet ktoś
> przejmie treść takiego SMSa, to najwyżej zatwierdzi konkretną
> transakcję, są limity itd. Natomiast podstawiając klientowi fałszywą
> sesję można zrobić praktycznie wszystko.
> Tej wady nie ma także apka w telefonie, aczkolwiek oczywiście ma inną,
> jeśli jest to urządzenie, które jednocześnie służy do zlecania operacji
> i ich zatwierdzania.

Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka na
komputerze' plus 'aplikacja'.

Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na swoim
telefonie.

MJ